Políticas de cumplimiento

POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES

1. RESPONSABLE DEL TRATAMIENTO DE DATOS
Razón Social: DIABONOS S.A.S.
NIT: 890901264-3
Domicilio principal Calle 31 44 109 Medellín, Antioquia, Colombia.
Correo: protecciondedatos@diabonos.com
Página web: https://www.diabonos.com

2. MARCO LEGAL

DIABONOS S.A.S., se ampara en la Constitución Política de Colombia que establece en el artículo 15 el derecho de protección de datos personales “como el derecho de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas”.
Asimismo, en la Ley 1581 del 17 de octubre de 2012 que establece las Disposiciones Generales para la Protección de Datos Personales en Colombia, reglamentada por los Decretos 1377 de 2013 y 886 de 2014 (hoy incorporados en el Decreto único 1074 de 2015).

3. DEFINICIONES

Las siguientes definiciones son para la correcta interpretación y entendimiento de la política:

Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato privado: Es un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización previa, informada y expresa. Bases de datos que contengan datos como números telefónicos y correos electrónicos personales; datos laborales, sobre infracciones administrativas o penales, administrados por administraciones tributarias, entidades financieras y entidades gestoras y servicios comunes de la Seguridad Social, bases de datos sobre solvencia patrimonial o de crédito, bases de datos con información suficiente para evaluar la personalidad del titular, bases de datos de los responsables de operadores que presten servicios de comunicación electrónica.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o del servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato semiprivado: Es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como son: bases de datos que contengan información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

Dato sensible: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

4. PRINCIPIOS RECTORES DE LA PROTECCIÓN DE DATOS

Frente al tratamiento de datos, se establecen los siguientes principios rectores conforme al artículo 4 de la Ley 1581 de 2012 que constituye las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio de datos personales:

Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet y otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados conforme a la Ley.

Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012 y en los términos de esta.

Principio de finalidad: El tratamiento obedece a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual es informada al Titular.

Principio de legalidad: El tratamiento de los datos se ajusta a lo establecido en la Ley 1581 de 2012 y en el Decreto reglamentario 1377 de 2013. Así como también, a lo estipulado en el Capítulo 25 del Decreto 1074 de 2015 y demás normas que la regulan y/o complementan.

Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del Titular obtenido por cualquier medio que permita ser consultado con posterioridad.

Principio de seguridad: La información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El responsable del tratamiento tiene la responsabilidad de implantar las medidas de seguridad correspondientes y de ponerlas en conocimiento de todo el personal que tenga acceso, directo o indirecto, a los datos. Los usuarios que accedan a los sistemas de información del responsable del tratamiento deben conocer y cumplir con las normas y medidas de seguridad que correspondan a sus funciones. Estas normas y medidas de seguridad se recogen en el Manual Interno de Seguridad, de obligado cumplimiento para todo usuario y personal de la empresa. Cualquier modificación de las normas y medidas en materia de seguridad de datos personales por parte del responsable del tratamiento ha de ser puesta en conocimiento de los usuarios.

Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. En el momento de solicitar la autorización al titular, el responsable del tratamiento deberá informarle de manera clara y expresa lo siguiente, conservando prueba del cumplimiento de este deber:

 El tratamiento al cual serán sometidos sus datos y la finalidad de este.

El carácter facultativo de la respuesta del titular a las preguntas que le sean hechas cuando estas traten sobre datos sensibles o sobre datos de niños, niñas o adolescentes.

Los derechos que le asisten como titular.

La identificación, dirección física, correo electrónico y teléfono del responsable del tratamiento.

Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

5. TRATAMIENTO Y FINALIDADES DE LAS BASES DE DATOS

DIABONOS S.A.S., en el desarrollo de su actividad empresarial, lleva a cabo el tratamiento de datos personales relativos a personas naturales que están contenidos y son tratados en bases de datos destinadas a finalidades legítimas, cumpliendo con la Constitución y la Ley.

Los datos personales recolectados (nombre, cédula, dirección, teléfono, correo electrónico, datos familiares y otros datos requeridos) son tratados bajo las siguientes finalidades:
Gestión de clientes, gestión de proveedores, gestión contable, fiscal y administrativa, reporte y/o consulta centrales de riesgo, gestión de pagos y cobros, gestión de facturación, histórico de relaciones comerciales, requerimiento por organismos de control, envío de ofertas de productos, mercadeo y publicidad, atención y seguimiento de requerimientos de autoridad judicial o administrativa, verificación de datos y referencias, gestión de nómina, gestión de trabajo temporal, prestaciones sociales, prevención de riesgos laborales, promoción y selección de personal, capacitaciones.

En la recolección de datos, en algunos casos se solicitará información sensible como la huella biométrica e imágenes fotográficas, dicha autorización es voluntaria y se realizará para los fines anteriormente expuestos.

6. DERECHOS DE LOS TITULARES

Los titulares de los datos pueden ejercer una serie de derechos en relación con el tratamiento de sus datos personales.
Por lo anterior, como titular de la información puede ejercer los siguientes derechos:

a.Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

b.Solicitar prueba de la autorización otorgada salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en la Ley 1581 de 2012 y Decreto 1377 de 2013.

c.Ser informado previa solicitud, respecto del uso que les ha dado a sus datos personales.

d.Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente Ley y las demás normas que la modifiquen, adicionen o complementen.

e.Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que, en el tratamiento, la organización ha incurrido en conductas contrarias a esta Ley y a la Constitución.

f.Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

7. SOLICITUD DE AUTORIZACIÓN AL TITULAR DEL DATO PERSONAL

Con antelación y/o al momento de efectuar la recolección del dato personal, DIABONOS S.A.S., solicitará al titular del dato su autorización para efectuar su recolección y tratamiento, indicando la finalidad para la cual se solicita el dato, utilizando para esos efectos medios técnicos automatizados, escritos u orales, que permitan conservar prueba de la autorización y/o de la conducta inequívoca descrita en el artículo 2.2.2.25.2.2. sección 2 del capítulo 25 del Decreto 1074 de 2015 (Artículo 7 del Decreto 1377 de 2013).
En desarrollo de los principios de finalidad y libertad, la organización se limitará a recolectar aquellos datos personales que son pertinentes y adecuados para la finalidad descrita en el Manual de políticas para el tratamiento de datos, no se recolectará, almacenará, usará o circulará datos personales sin autorización del titular.

8. ATENCIÓN A LOS DERECHOS DE LOS TITULARES DE DATOS

Para ejercer sus derechos a conocer, actualizar, rectificar y/o suprimir o presentar alguna solicitud, queja o reclamo frente al manejo de los datos personales, se puede realizar a través del correo electrónico protecciondedatos@diabonos.com o acercarse a la oficina principal de DIABONOS S.A.S., en la dirección Calle 31 No. 44 109 Medellín, Antioquia, Colombia. Lo anterior, de acuerdo con el Manual de políticas de tratamiento de datos de la organización.

9. MEDIDAS DE SEGURIDAD

DIABONOS S.A.S. dando cumplimiento al principio de seguridad consagrado en el artículo 4 de la Ley 1581 de 2012, ha implementado medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de la información de los datos personales contenidos en las bases de datos, con el fin de evitar adulteración, pérdida de información, consulta sin autorización, uso inadecuado o fraudulento de los datos almacenados.

Asimismo, garantizamos que en la recolección, almacenamiento, uso y/o tratamiento, destrucción o eliminación de la información suministrada, nos apoyamos en herramientas tecnológicas de seguridad e implementamos prácticas de seguridad que incluyen: transmisión y almacenamiento de información sensible a través de mecanismos seguros, uso de protocolos seguros, aseguramiento de componentes tecnológicos, restricción de acceso a la información sólo a personal autorizado, respaldo de información, prácticas de desarrollo seguro de software, entre otros.

En caso de ser necesario suministrar información a un tercero por la existencia de un vínculo contractual, suscribimos contrato de transmisión para garantizar la reserva y confidencialidad de la información, así como, el cumplimiento de la presente Política del tratamiento de los datos, de las políticas y manuales de seguridad de la información y los protocolos de atención a los titulares establecidos en el Manual de protección de datos de DIABONOS S.A.S. En todo caso, adoptamos compromisos para la protección, cuidado, seguridad y preservación de la confidencialidad, integridad y privacidad de los datos almacenados.

10. DEBER DE INFORMAR AL TITULAR

Al momento de solicitar al titular la autorización para el tratamiento de datos, quien recolecte los datos personales debe informar de manera clara y expresa al titular lo siguiente: El tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de estos. En caso de que la organización responsable recolecte datos personales sensibles (origen racial o étnico, orientación sexual, filiación política o religiosa, etc.) o de niños y adolescentes; debe explicarle el carácter sensible que posee este tipo de información y, además, debe darle la opción al titular de elegir si responde o no dichas preguntas. También debe informar los derechos que tiene el titular de la información, al igual que la identificación, dirección física o electrónica y el teléfono de la organización o el responsable del tratamiento de los datos.

DIABONOS S.A.S., como responsable del tratamiento, deberá conservar prueba del cumplimiento de lo previsto en el presente numeral y, cuando el titular lo solicite, entregarle copia de esta.

11. REGISTRO NACIONAL DE BASES DE DATOS – RNBD

El término para registrar las bases de datos en el RNBD será el establecido legalmente. Asimismo, de acuerdo con el artículo 12 del Decreto 886 de 2014, los responsables del tratamiento deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos en la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Las bases de Datos que se creen con posterioridad a ese plazo deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.

12. VIGENCIA

Las bases de datos responsabilidad de DIABONOS S.A.S., serán objeto de tratamiento durante el tiempo que sea razonable y necesario para la finalidad para la cual son recabados los datos. Una vez cumplida la finalidad o finalidades del tratamiento, y sin perjuicio de normas legales que dispongan lo contrario, DIABONOS S.A.S., procederá a la supresión de los datos personales en su posesión salvo que exista una obligación legal o contractual que requiera su conservación. Por todo ello, dichas bases de datos han sido creadas sin un periodo de vigencia definido.

Cualquier cambio sustancial en las políticas de tratamiento de datos personales, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través del sitio web: https://diabonos.com/

Esta política corresponde a una versión resumida, en cumplimiento de lo señalado en la Ley 1582 de 2012, decretos reglamentarios y demás normas concordantes y vigentes.
La presente política de tratamiento permanece vigente desde 31 de diciembre de 2022, registrando actualización de su razón social el 21 de marzo de 2024 a DIABONOS S.A.S.