POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE SIMETRIK INC

En cumplimiento a lo dispuesto en la Ley 1266 de 2008, la ley Estatutaria 1581 de 2012 y sus Decretos Reglamentarios, la Guía de Responsabilidad Demostrada de la Superintendencia de Industria y Comercio y demás guías complementarias, así como los lineamientos establecidos por el Reglamento General de Protección de Datos (RGPD) y la Ley General de Protección de Datos Personales (LGPD), la empresa SIMETRIK INC, SIMETRIK SAS, sus filiales y subsidiarias (en adelante “SIMETRIK”), adopta la presente política para el Tratamiento de Datos Personales, la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el ejercicio de sus actividades de negocio.

En el presente documento se describen los mecanismos por medio de los cuales SIMETRIK garantiza un manejo adecuado de los Datos Personales recolectados en sus bases de datos, con el fin de permitir a los titulares el ejercicio del derecho de su derecho fundamental habeas data y protección de la privacidad.


OBLIGACIONES:Esta política es de obligatorio y estricto cumplimiento para SIMETRIK.

DISPOSICIONES GENERALES.

  1. DE LAS PARTES INTERVINIENTES

    1. RESPONSABLE O ENCARGADO DEL TRATAMIENTO DE INFORMACIÓN O DATOS PERSONALES:

      2. SIMETRIK INC, sociedad estadounidense del Estado de Delaware, con domicilio en la ciudad de San Francisco, California, identificada con EIN No. 61-1863197, en su calidad de matriz.

      SIMETRIK S.A.S, sociedad colombiana, constituida bajo las leyes de la República de Colombia, con domicilio en la ciudad de Bogotá D.C., identificada con NIT. 901.030.030-8, en su calidad de sociedad filial.

      • Objeto social de SIMETRIK INC y SIMETRIK S.A.S: Desarrollo de software en la nube y prestación de servicios tecnológicos en la nube (SaaS)
      • Página Web: simetrik.com
      • Teléfono: +57 312 8865624

      Parágrafo. Para los casos en los cuales se recolecten datos personales de personas no ciudadanos o no residentes colombianos o la actividad de recolección suceda fuera del territorio colombiano se aplicará el marco normativo y las herramientas técnicas propias de la jurisdicción donde está definido el domicilio principal de SIMETRIK SAS, como responsable principal del tratamiento de los datos personales. El ejercicio de derechos de los titulares se dará conforme a lo establecido en esta política incluyendo las normas de referencia y las mejores prácticas aplicables.

    2. TITULARES DE LA INFORMACIÓN

      3. Clientes, Proveedores, Contratistas, Subcontratistas, Visitantes, Colaboradores o Empleados de SIMETRIK, que hayan suministrado la información o Datos Personales en virtud del servicio prestado por ésta.

  2. OBJETO

    3. La presente Política establece las directrices generales para la protección y el Tratamiento de Datos Personales al interior de SIMETRIK, permitiendo de esta manera fortalecer el nivel de confianza entre el Responsable y los Titulares, y otros encargados del manejo y tratamiento de datos personales, con relación a la obtención, registro, manejo, transferencia y tratamiento de los datos de carácter personal que realiza SIMETRIK en el ejercicio ordinario de su objeto social.

  3. ALCANCE.

    4. Esta Política de Tratamiento y Protección de Datos Personales será aplicada a todas las bases de datos y/o archivos que incluyan Datos Personales que sean objeto de Tratamiento por parte de SIMETRIK como Responsable del Tratamiento de Datos Personales

  4. DEFINICIONES
    1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
    2. Autoridad de Protección de Datos: Es la autoridad encargada de vigilar y supervisar que en el Tratamiento de Datos Personales se respeten los principios, derechos y garantías de los Titulares.
    3. Aviso de Privacidad:Es el documento físico, electrónico o en cualquier otro formato conocido o por conocer, que es puesto a disposición del Titular con el fin de informar sobre el Tratamiento de sus Datos Personales. En el aviso de Privacidad se comunica a los Titulares la información relativa a la existencia de las políticas de Tratamiento de información que serán aplicables, la forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los Datos Personales.
    4. Base de Datos:Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
    5. Causahabiente: Persona que por sucesión o transmisión adquiere los derechos de otra persona.
    6. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
    7. Datos sensibles:Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
    8. Delegado de Protección de Datos:Es la persona natural que cumple con el perfil establecido por la ley y que tiene como función la vigilancia y control sobre la aplicación de la Política de Tratamiento de Datos Personales.
    9. Encargado del Tratamiento:Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable delTratamiento.
    10. Habeas Data:Derecho que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.
    11. Responsable del Tratamiento:Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
    12. Titular(es): Persona natural cuyos Datos Personales sean objeto de Tratamiento.
    13. Tratamiento:Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
    14. Violación de la seguridad de Datos Personales: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los Datos Personales conservados o tratados, o la comunicación o acceso no autorizado a dichos datos.
  5. PRINCIPIOS RECTORES APLICABLES EN MATERIA DE DATOS PERSONALES

    6. Los principios que se establecen a continuación constituyen los parámetros generales que SIMETRIK aplica y salvaguarda en el ejercicio de los procesos de captura, registro, manejo, uso y Tratamiento de Datos Personales:

    1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento de los Datos Personales se efectuará dentro del marco legal vigente y en las demás disposiciones que la desarrollen, de acuerdo con la autorización que otorgue el Titular.

    2. Principio de finalidad:El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al Titular.

      3. El Tratamiento de los Datos Personales, se efectuarán durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justifiquen el Tratamiento.

      Una vez cumplida las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, se procederá a la supresión de los Datos Personales suministrados

    3. Principio de libertad:El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

    4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
    5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
    6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.
    7. Principio de seguridad: La información sujeta a Tratamiento por el Responsable o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento
    8. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de esta.
    9. Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables,fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

    10. Interpretación integral de los derechos constitucionales: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 15 de la Constitución y con los derechos constitucionales aplicables.
    11. Principio de Necesidad: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.
  6. CATEGORÍAS ESPECIALES DE DATOS
    1. Dato Personal

      2. Es cualquier información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley.

      Los datos personales pueden ser públicos, semiprivados o privados y Sensibles.

      1. Dato Privado: Es cualquier información que se refiere a la vida privada de una persona como lo son sus datos personales, tales como, correo electrónico personal, teléfono, dirección de vivienda, datos laborales, nivel de escolaridad, sobre infracciones administrativas o penales, los datos administrados por algunas entidades como tributarias, financieras o de la seguridad social, fotografías, videos, y cualquier otro dato que referencien el estilo de vida de la persona.

        2. El titular tiene derecho a controlar cuando y quien puede acceder a esa información que hace parte de su vida privada.

      2. Dato semiprivado: Es el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas

        3. Los datos semiprivados tienen una limitante y es que requiere orden de autoridad administrativa o judicial y que sea para los fines propios de sus funciones.
        Como, por ejemplo: historias crediticias, datos financieros, reporte en las centrales de riesgo, precisando que este tipo de datos requieren de autorización previa del titular para ser reportados a las bases de datos, o centrales de riesgos.

      3. Dato Sensible: Esta categoría se refiere a todos aquellos datos que se relacionan con el nivel más íntimo de la persona y cuyo uso indebido puede generar su discriminación. No puede ser objeto de tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se encuentre incapacitado y su obtención haya sido autorizada expresamente.

        4. Se consideran datos sensibles aquellos que revelan características como origen étnico o racial, datos de salud, preferencia sexual, filiación política, religión, ideología, afiliación a sindicatos, organizaciones sociales, datos biométricos, entre otros.

        Se prohíbe el tratamiento de datos sensibles con excepción de los siguientes casos:

        • Cuando el Titular otorga su consentimiento.
        • El Tratamiento es necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado.
        • El tratamiento es efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad.
        • El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
        • El Tratamiento tenga una finalidad histórica, estadística o científica, en este último caso deben adoptarse las medidas conducentes a la supresión de identidad de los Titulares

      4. Dato Biométrico: La biometría hace referencia a cualquier información concerniente a personas físicas identificadas o identificables y a las tecnologías que miden y analizan los parámetros y características del cuerpo humano, parámetros físicos que son únicos en cada persona para poder comprobar su identidad como lo son las huellas dactilares o el iris del ojo, fotografías, cámaras de video vigilancia, placas dentales, aunque los científicos también son capaces de identificar a un individuo por su voz, su palma de la mano o rasgos del rostro.

      5. Datos de niños, niñas y adolescentes: En cuanto a los datos personales de los niños, niñas y adolescentes se debe tener en cuenta que se prohíbe su tratamiento, salvo aquellos que por su naturaleza son públicos.
        Se puede dar el tratamiento de estos, siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes

  7. FINALIDAD

    8. La información recolectada por SIMETRIK tiene como principal finalidad permitir el adecuado desarrollo del objeto social de la compañía en lo que tiene que ver con el cumplimiento del objeto del contrato celebrado con el Titular de la información, así mismo se tienen en cuenta otras finalidades como:

    • Dar cumplimiento a las obligaciones contraídas por Simetrik con el Titular de la Información
    • Transferir datos personales fuera del país a la compañía matriz de Simetrik
    • Prestar los servicios ofrecidos por Simetrik aceptados en el contrato suscrito
    • Transmitir los datos personales fuera del país a terceros con los cuales Simetrik haya suscrito un contrato de tratamiento de datos y sea necesario entregársela para el cumplimiento del objeto contractual.
    • Suministrar la información a terceros con los cuales Simetrik tenga relación contractual y que sea necesario entregársela para el cumplimiento del objeto contratado.

    Por consiguiente, quien acceda a los servicios y/o productos de SIMETRIK, deberá suministrar de manera voluntaria sus datos ciertos de identificación física o personal, como son entre otros: nombre, apellidos, identificación, edad, género, teléfono, dirección física y electrónica, país, ciudad y demás datos necesarios que le sean solicitados en el proceso de registro como empleado, proveedor, visitante, o cliente de SIMETRIK.

  8. LIMITACIONES

    9. Limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales.

    Limitación al uso de la información. Los datos personales y los datos de los usuarios enviados a través de las plataformas y en general la información generada, producida, almacenada, enviada o compartida en la prestación de los servicios de Simetrik, no podrán ser objeto de comercialización, ni de explotación económica de ningún tipo, salvo autorización expresa del titular de los datos y de conformidad con los límites que impone la Ley de Protección de Datos de Carácter Personal

  9. PROHIBICIONES
    • El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización
    • El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización
    • El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular

    • El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

    • El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares;

    • Los datos personales no serán utilizados con fines comerciales o de mercadeo salvo se esté autorizado expresamente para ello

  10. TRATAMIENTO
    1. TRATAMIENTO DE DATOS

      2. SIMETRIK manifiesta ser responsable del tratamiento de los Datos Personales que hayan sido suministrados por los TITULARES y que se encuentren almacenados en bases de datos o medios de almacenamiento de su propiedad o manejo.
      La información que consta en las bases de datos de SIMETRIK es sometida a distintas formas de Tratamiento, como recolección, intercambio, actualización, tratamiento, reproducción, compilación, almacenamiento, uso, sistematización y organización, todos ellos de forma parcial o total en cumplimiento de las finalidades establecidas.
      La información podrá ser entregada, transmitida o transferida a entidades públicas, socios comerciales, contratistas, afiliados, filiales y subsidiarias, siempre y cuando se trate de cumplir con las finalidades establecidas.
      En todo caso, la entrega, transmisión o transferencia se hará previa suscripción de los documentos que sean necesarios para salvaguardar la confidencialidad de la información. Asimismo, en cumplimiento de deberes legales, SIMETRIK podrá suministrar la información personal a entidades judiciales o administrativas.
      Cuando SIMETRIK realice el Tratamiento de Datos Personales de Titulares residentes en el Exterior, adoptará las disposiciones en cumplimiento del Reglamento General de Protección de Datos (RGPD). Realizar una evaluación previa de impacto, cuando sea probable que un determinado Tratamiento de datos, por su naturaleza, alcance, fines o contexto, entrañe un alto riesgo para los derechos de los Titulares.
      La evaluación deberá: (i) contener una descripción de las operaciones del Tratamiento y los fines de este; (ii) una evaluación de la necesidad y proporcionalidad del Tratamiento; (iii) una evaluación de los riesgos para los derechos de los Titulares; y (iv) las medidas previstas para garantizar la protección a los Datos Personales.
      Consultar a la Autoridad de Protección de Datos antes de realizar un Tratamiento, cuando la evaluación previa de impacto muestre que el Tratamiento entrañaría un alto riesgo para los derechos de los Titulares, si no se toman las medidas necesarias para mitigarlo.


    2. TIPOS DE TRATAMIENTO DE DATOS PERSONALES

      1. TRATAMIENTO DE DATOS PERSONALES DE LOS EMPLEADOS

        2. La información recolectada por SIMETRIK de sus empleados tiene como finalidad principal:

        1. Almacenar los datos personales de los empleados, incluidos los que hayan sido obtenidos en desarrollo del proceso de selección.
        2. Dar cumplimiento a las obligaciones que impone la ley laboral a los empleadores y cumplir con las órdenes que impartan las autoridades colombianas competentes para tales efectos.
        3. Emitir certificaciones relativas a la relación que tiene el empleado con SIMETRIK.
        4. Cumplir con las obligaciones y el Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST) y otros Sistemas de Gestión.

        5. Gestionar las funciones desarrolladas por los trabajadores
        6. Consultar memorandos o llamados de atención
        7. Adelantar los procesos disciplinarios correspondientes.
        8. Contactar a familiares en casos de emergencia.
        9. Realizar los trámites de contratación de personal y cumplir con las obligaciones contractuales.
        10. Registrar su inscripción a capacitaciones, eventos, etc., listas de asistencias.
        11. Para el Tratamiento de Datos Personas Sensibles, SIMETRIK recolectará dicha información con la respectiva Autorización. Los Datos Personales Sensibles que sean recopilados serán almacenados en bases de datos y/o archivos independientes a los demás Datos Personales que sean objeto de Tratamiento por parte de SIMETRIK.
        12. La información recopilada, almacenada y tratada por SIMETRIK no podrá ser superior a veinte (20) años contados a partir de la terminación de la relación laboral, o de acuerdo con las circunstancias legales o contractuales que hagan necesario el manejo de la información, según lo dispone la Ley 594 de 2000 Ley General de Archivos.

      2. TRATAMIENTO DE DATOS PERSONALES DE ACCIONISTAS

        3. La información recolectada por SIMETRIK de sus accionistas tiene como finalidad principal:

        1. Permitir el ejercicio de los deberes y derechos derivados de la calidad de Accionista.
        2. Enviar invitaciones a eventos programados por la empresa y en general contactar al Accionista.
        3. Emitir certificaciones relativas a la relación del titular del dato con La Sociedad (operaciones comerciales y crediticias en las cuales se deba conocer la composición accionaria de SIMETRIK).
        4. Las demás establecidas específicamente en las autorizaciones que sean otorgadas por los Accionistas.
        5. Para el Tratamiento de Datos Personas Sensibles, SIMETRIK recolectará dicha información con la respectiva Autorización. Los Datos Personales Sensibles que sean recopilados serán almacenados en bases de datos y/o archivos independientes a los demás Datos Personales que sean objeto de Tratamiento por parte de SIMETRIK.
        6. La información recopilada, almacenada y tratada por SIMETRIK no podrá ser superior a cinco (5) años contados a partir de la fecha en que se pierda la calidad de accionista de la compañía.

      3. TRATAMIENTO DE DATOS PERSONALES DE CLIENTES

        4. SIMETRIK recolecta los Datos Personales de sus Clientes y usuarios a través de la suscripción de contratos de prestación de servicios en la nube y/o a través del dominio simetrik.com,en donde para efectos de la autenticación y acceso al servicio, se solicitará al Cliente y/o usuario, cierta información de identificación personal que pueda usarse para contactarlo o identificarlo ("Datos personales"). La información de identificación personal puede incluir, entre otros: dirección de correo electrónico, nombre, dirección, país, código postal, ciudad, cookies y datos de uso.
        SIMETRIK almacena los datos en una base de datos, la cual es calificada por la empresa como de reserva, y solo será revelada con la expresa autorización del titular o cuando una Autoridad Competente lo solicite.

        Las finalidades para las cuales son utilizados los Datos Personales de los Clientes de SIMETRIK son:

        1. Realización de gestiones para las etapas precontractual, contractual y pos contractual.
        2. Envío de invitaciones a eventos programados por la empresa.
        3. Envío de actualizaciones y novedades del software.
        4. Corroborar cualquier requerimiento que se ocasione en desarrollo del contrato celebrado.
        5. Cumplir con el objeto del contrato celebrado, incluyendo actividades de envío de correspondencia, cumplimiento, entre otros.
        6. Brindar soporte al cliente
        7. Monitorear el uso del software
        8. Detectar, prevenir y abordar problemas técnicos.
        9. Verificar casos en que se de incumplimiento de alguna de las partes
        10. Vinculación en general de cada cliente
        11. Realizar actividades de fidelización de clientes y operaciones de marketing, en cuyo caso los Datos Personales podrán ser tratados directa o indirectamente por el Responsable del Tratamiento o un Encargado del Tratamiento.
        12. Para los efectos de este Tratamiento de datos sensibles se recolecta la respectiva autorización que en todo caso será expresa y facultativa, indicando claramente los datos sensibles objeto de Tratamiento y la finalidad de este
        13. Los datos sensibles que sean recopilados serán almacenados en bases de datos y/o archivos independientes a los demás Datos Personales que sean objeto de Tratamiento. Así mismo, contará con adecuados sistemas de seguridad para el manejo de aquellos datos sensibles y su reserva
        14. En todo caso, la información no será objeto de Tratamiento por un período superior al tiempo que dure la relación del cliente con la empresa, y el tiempo adicional que se requiera de acuerdo con las circunstancias legales o contractuales que hagan necesario el manejo de la información, que en ningún caso podrá ser mayor a cinco (5) años contados a partir del momento de terminación de la relación.

      4. TRATAMIENTO DE DATOS PERSONALES DE PROVEEDORES

        5. SIMETRIK, recolecta los Datos Personales de sus Proveedores y los almacena en una base de datos la cual, aunque se compone en su mayoría de datos públicos, es calificada por la compañía como de reserva, y que, en el caso de datos privados, solo los revelará la empresa con la expresa autorización del titular o cuando una Autoridad Competente lo solicite.

        Las finalidades para las cuales son utilizados los Datos Personales de los Proveedores de SIMETRIK, son:

        1. Envío de invitaciones a contratar y realización de gestiones para las etapas precontractual, contractual y pos contractual
        2. Envío de invitaciones a eventos programados por la Compañía o sus vinculadas.
        3. Las demás establecidas específicamente en las autorizaciones que sean otorgadas por los propios proveedores.
        4. SIMETRIK, solo recaudará de sus proveedores los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar.
        5. SIMETRIK, solo recaudará de sus proveedores los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar.
        6. La recolección de los Datos Personales de empleados de los proveedores por parte de SIMETRIK, tendrá en todo caso como finalidad verificar la idoneidad y competencia de los empleados; es decir, una vez verificado este requisito, SIMETRIK, devolverá tal información al Proveedor, salvo cuando se autorice expresamente su conservación
        7. Así mismo, contará con adecuados sistemas de seguridad para el manejo de aquellos datos sensibles y su reserva
        8. En todo caso, la información no será objeto de Tratamiento por un período superior al tiempo que dure la relación del Proveedor con la empresa, y el tiempo adicional que se requiera de acuerdo con las circunstancias legales o contractuales que hagan necesario el manejo de la información, que en ningún caso podrá ser mayor a diez (10) años contados a partir del momento en que la relación del Proveedor con la empresa finalice.

      5. TRATAMIENTO DE DATOS PERSONALES DE REGISTRO DE VIDEO VIGILANCIA

        6. SIMETRIK recolecta datos biométricos de sus trabajadores y visitantes a través de sus Cámaras de Vigilancia y los almacena en una base de datos la cual es calificada por la compañía como de reserva, y solo será revelada con la expresa autorización del titular o cuando una Autoridad Competente lo solicite.
        Las finalidades para las cuales son utilizados los Datos Personales contenidos en las Cámaras de Vigilancia de SIMETRIK son

        1. Garantizar la seguridad en los ambientes laborales
        2. Permitir ambientes de trabajo adecuados para el desarrollo seguro de actividades laborales de la compañía.
        3. Controlar el ingreso, permanencia y salida empleados y contratistas en las instalaciones de la empresa.
        4. Para cumplir con el deber de información que le corresponde a SIMETRIK como administrador de Datos Personales, la empresa implementará Avisos de Privacidad en las zonas en donde se realice la captura de imágenes que impliquen Tratamiento de Datos Personales.
        5. En todo caso, la información no será objeto de Tratamiento por un período superior a treinta (30) días contados a partir de su recolección de acuerdo con las circunstancias legales o contractuales que hacen necesario el manejo de la información
      6. DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES

        7. SIMETRIK no realiza de forma directa el Tratamiento de Datos Personales de menores de Edad. Sin embargo, de forma particular la empresa recolecta y trata los Datos Personales de los hijos menores de edad de sus trabajadores, con la única finalidad de cumplir con las obligaciones que impone la ley a los empleadores en relación con las afiliaciones a sistema de seguridad social y parafiscales, y en particular para permitir el disfrute de los derechos fundamentales de los niños a la salud y a la recreación.

        En todo caso, SIMETRIK recolectará cuando corresponda la respectiva autorización para su Tratamiento, teniendo siempre de presente el interés superior del menor y el respeto de los derechos prevalentes de los niños, niñas y adolescentes.

  11. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES

    12. La empresa actualmente realiza Transmisión Internacional de Datos Personales, para realizar la Transmisión internacional de Datos Personales, además de informar al titular y contar con su autorización SIMETRIK se asegurará que la acción de transmitir esté regulada por un contrato y el anexo técnico que para tal fin desarrolle SIMETRIK tanto para la transmisión como transferencia y que contemple los requisitos fijados en Colombia por la Ley Estatutaria 1581 de 2012, sus decretos reglamentarios y demás normativa aplicable.

  12. PROTECCIÓN DE LA INFORMACIÓN SUMINISTRADA

    13. SIMETRIK protege los Datos Personales que son suministrados por los Titulares, mediante la adopción de directrices y controles encaminados a evitar el acceso, modificación, divulgación o destrucción no autorizada de la información almacenada en sus bases de datos.

    En cumplimiento de la obligación antes descrita, SIMETRIK adopta los siguientes protocolos:

    • Protocolos de seguridad, a través de la restricción de acceso a la información, como es el uso de cifrado de Datos Personales.

    • Controles en los sistemas de información para garantizar la confiabilidad, integridad y disponibilidad permanente de los Datos Personales.

    • Procesos constantes de verificación, evaluación y valoraciones sobre las medidas técnicas y de seguridad adoptadas para la protección de los Datos Personales

    • Protocolos de seguridad para evitar accesos no permitidos a bases de datos, almacenadas tanto de forma física como electrónica

    • Implementación y mejoramiento de controles en las instalaciones físicas, para proteger los datos que se encuentran contenidos de forma física, con el fin de mitigar el efecto nocivo que podría originar la materialización de algún riesgo al que se enfrenta los datos sensibles administrados por SIMETRIK.

    Sin perjuicio de lo anterior, SIMETRIK podrá revelar información personal cuando esta sea requerida por una Autoridad de Protección de Datos y/o por una entidad pública o administrativa en ejercicio de sus funciones legales. Para este caso, SIMETRIK deberá notificar a los Titulares con una antelación de tres (3) días hábiles antes de la fecha en que deba hacerse entrega de la información.

    En caso de presentarse una violación a la seguridad de los Datos Personales de Titulares residentes en la Unión Europea, el Responsable del Tratamiento notificará a la Autoridad de Protección de Datos competente, a más tardar dentro de las 72 horas después de que haya tenido constancia de la violación, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos de los Titulares.

    Si la notificación a la Autoridad de Protección de Datos competente no tiene lugar en el plazo de las 72 horas, la notificación deberá contener los motivos de la dilación en el tiempo.

    La notificación deberá contemplar como mínimo lo siguiente:

    Describir la naturaleza de la violación a la seguridad de los Datos Personales y cuando sea posible, el número aproximado de Datos Personales y de titulares afectados, y la clase de Datos Personales vulnerados.

    El nombre y lo datos de contacto del Delegado de Protección de Datos o de otro contacto con el cual pueda obtenerse más información.

    Describir las posibles consecuencias de la violación a la seguridad de los Datos Personales.

    Describir las medidas adoptadas por el Responsable del Tratamiento para mitigar la violación a la seguridad y sus posibles efectos negativos.

    A su vez, el Encargado de Tratamiento deberá notificar sin dilación al Responsable del Tratamiento, sobre las violaciones a la seguridad de los Datos Personales Titulares residentes en el exterior.

  13. AUTORIZACIÓN DE LOS TITULARES DE LOS DATOS PERSONALES

    14. Para el Tratamiento de los Datos Personales, SIMETRIK solicitará autorización previa e informada del Titular, que podrá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

    1. La autorización deberá contener por lo menos la siguiente información:
      • La identificación del Responsable del Tratamiento y del área encargada de la protección de los Datos Personales
      • El tipo de Datos Personales que serán objeto de Tratamiento
      • La finalidad para la que serán tratados los Datos Personales
      • Los derechos de los Titulares.
      • Los canales de comunicación por los cuales los Titulares podrán formular consultas y/o reclamos ante el Responsable del Tratamiento.
      • Los datos de contacto del Delegado de Protección de Datos
    2. Eventos en los cuales no es necesaria la autorización:
      • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial
      • Datos de naturaleza pública.
      • Casos de urgencia médica o sanitaria.
      • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
      • Datos relacionados con el Registro Civil de las Personas

  14. DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS

    1. DERECHOS DE LOS TITULARES

      2. Los Titulares de Datos Personales gozarán de los siguientes derechos, y de aquellos que les otorgue la ley:

      1. Los titulares tienen derecho a conocer qué datos personales se tienen de usted, para qué se utilizan y las condiciones del uso que les damos (Acceso). Asimismo, es su derecho solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta (Rectificación); que la eliminemos de nuestros registros o bases de datos cuando considere que la misma no está siendo utilizada conforme a los principios, deberes y obligaciones previstas en la ley (Cancelación); así como oponerse al uso de sus datos personales para fines específicos (Oposición).
      2. Conocer, actualizar y rectificar sus Datos Personales frente al Responsable del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
      3. Limitar u oponerse en todo momento, al Tratamiento de sus Datos Personales frente al Responsable o Encargado del Tratamiento. En caso de solicitar la limitación, el Responsable deberá obtener una nueva autorización por parte del Titular, que se ajuste a la limitación solicitada por este
      4. Obtener por parte del Responsable del Tratamiento confirmación de que sus Datos Personales están siendo tratados conforme a los fines autorizados.
      5. Solicitar al Responsable del Tratamiento, la portabilidad de los Datos Personales que le haya suministrado y a transmitirlos a otro Responsable del Tratamiento
      6. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
      7. Ser informado por el Responsable o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus Datos Personales.
      8. Presentar ante la Superintendencia de Industria y Comercio o la Autoridad de Protección de Datos competente, quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.
      9. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución. Sin perjuicio de lo anterior, el Titular podrá solicitar la supresión del dato cuando: (i) el Tratamiento ya no sea necesario conforme a los fines por los cuales fueron recopilados; (ii) se revoque la autorización del Tratamiento; y (iii) se oponga al Tratamiento.
      10. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

  15. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

    1. DEBERES DE SIMETRIK COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

      2. SIMETRIK como Responsable del Tratamiento de Datos Personales, cumplirá los siguientes deberes:

      1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
      2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
      3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
      4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
      5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible
      6. De ser aplicable, informar al Encargado del Tratamiento cualquier rectificación, supresión o limitación del Tratamiento que efectué el Titular.
      7. Garantizar que solo sea objeto de Tratamiento los Datos Personales que sean necesarios para cada uno de los fines específicos del Tratamiento.
      8. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
      9. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
      10. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
      11. Cuando el Tratamiento sea efectuado por parte de un Encargado, procurar elegir aquel que ofrezca garantías suficientes de conformidad con lo dispuesto en la presente Política de Tratamiento de Datos.
      12. Suscribir con el Encargado del Tratamiento un acuerdo de confidencialidad y/o el documento que haga sus veces, en virtud del cual se establezcan, sin limitarse a estas, las obligaciones y derechos del Responsable del Tratamiento, el objeto, la duración, la naturaleza, los tipos de Datos Personales a tratar, la finalidad del Tratamiento y el compromiso de tratar los Datos Personales conforme a la Ley y a la presente política.
      13. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular, así como de sus derechos.
      14. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley Estatutaria 1581 de 2012.
      15. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos
      16. Informar al Encargado del Tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo
      17. Informar a solicitud del Titular sobre el uso dado a sus datos.
      18. Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares
      19. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
    2. DEBERES DE LOS OPERADORES DE DATOS PERSONALES RELATIVOS A LOS BANCOS DE DATOS

      3. Los operadores de los bancos de datos están obligados a:

      1. Garantizar, en todo tiempo al titular de la información, el derecho de hábeas data y de petición.
      2. Debe garantizar al titular, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la presente ley
      3. Garantizar, que, en la recolección, tratamiento y circulación de datos, se respetarán los derechos del titular y los demás consagrados en la ley.
      4. Permitir el acceso a la información únicamente a las personas que estén autorizadas a su acceso
      5. Adoptar las pol&íticas y procedimientos para garantizar su adecuado cumplimiento.
      6. Atender las consultas y reclamos por parte de los titulares.
      7. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular, cuando dicha autorización sea necesaria, conforme lo previsto en la presente ley.
      8. Conservar los registros almacenados de forma segura, para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.
      9. Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes, en los términos de la presente ley.
      10. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información, en los términos señalados en la presente ley
      11. Indicar en el respectivo registro sobre la información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de esta y no haya finalizado dicho trámite, en la forma en que se regula en la presente ley
      12. Circular la información a los usuarios dentro de los parámetros establecidos.
      13. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en relación con el cumplimiento de la presente ley.
    3. DEBERES DE LAS FUENTES DE LA INFORMACIÓN

      4. Las Fuentes de información deberán cumplir las siguientes obligaciones:

      1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable
      2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
      3. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores
      4. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al operador.
      5. Solicitar, cuando sea el caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley.
      6. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización.
      7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley.
      8. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite
      9. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento

    4. DEBERES DE LOS USUARIOS

      5. Los usuarios de la información deberán:

      1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada.
      2. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.
      3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.
      4. Cumplir con las instrucciones que imparta la autoridad de control.



    página 1 de 2

    Siguiente