MANUAL DE POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

I.     INTRODUCCION

Basados  en los principios constitucionales del buen nombre de las personas,  el estado debe garantizar que las diferentes organizaciones empresariales e industriales, establezcan los mecanismos necesarios para garantizar que la información sea manejada de manera adecuada, en este sentido se deben generar los estándares de seguridad, es por ello importante para la empresa establecer los principios fundamentales para la construcción de un programa integral de gestión de datos personales, mediante el cual se establezca el inventario de datos, el cual debe estar controlado desde la alta dirección de la empresa, pero lo más relevante es que desde la misma contratación de bienes y servicios la empresa sensibilice a los empleados de una verdadera cultura de respeto hacia la administración de la información en cada uno de sus niveles, en este sentido la presente política busca que todo el personal que labora en  la empresa entienda el alcance de la presente política generando una cultura de auto-control en el manejo de la información que administra en la empresa, para tal efecto es necesario que desde la generación del mismo contrato se establezcan cláusulas compromisorias de confidencialidad en el tratamiento de la información, dentro de los cuales se tienen los proveedores, clientes y empleados, se busca igualmente la caracterización de un verdadero proceso  de administración de la información en la organización empresarial.

SG STARS SAS. ha entendido la importancia de que la administración de la información debe contar con todos los estándares de seguridad y que sus procedimientos estén enfocados a la creación de una cultura que permita el respeto y el direccionamiento de las actividades en este sentido.  Basados en  lo anterior se puede concluir que la alta dirección de la empresa está comprometida con garantizar el cumplimiento y la sostenibilidad de la presente política.

II.  PRINCIPIOS GENERALES Y POSTULADOS

SG STARS SAS NIT 900.880.112-6, garantiza la protección de derechos como el Habeas Data, la privacidad, la intimidad, el buen nombre, la imagen, con tal propósito todas las actuaciones se regirán por principios de buena fe, legalidad, autodeterminación informática, libertad y transparencia en el manejo de las bases de datos de los clientes, proveedores y empleados. La empresa garantiza tener los mínimos elementos para la implementación de un verdadero programa integral de gestión de datos personales (PIGDP).

Quien en ejercicio de cualquier actividad, incluyendo actividades, comerciales, sean estas permanentes u ocasionales puede suministrar cualquier tipo de información o dato personal a SG STARS SAS y en la cual esta actúe como encargada del tratamiento o responsable del tratamiento podrá conocerla, actualizarla y rectificarla, teniendo en cuenta lo establecido en la ley 1581 de

2.012 y sus normas reglamentarias.

III.  MARCO LEGAL

•Constitución Política, artículo 15.

•Ley 1266 de 2008

•Ley 1581 de 2012

• Decretos Reglamentarios 1727 de 2009 y 2952 de 2010, y Decreto Reglamentario parcial

•No 1377 de 2013

•Sentencias de la Corte Constitucional C – 1011 de 2008, y C - 748 del 2011;

•Decreto único 1074 de 2015

•Circular externa No 02 del 3 de noviembre de 2015.

IV ALGUNAS DEFINICIONES IMPORTANTES EN LA POLITICA

De conformidad con la legislación vigente sobre la materia, se establecen las siguientes definiciones, las cuales serán aplicadas e implementadas acogiendo los criterios de interpretación que garanticen una aplicación sistemática e integral, y en consonancia con los avances tecnológicos, la neutralidad tecnológica y los demás principios y postulados que rigen los derechos fundamentales que circundan, orbitan y rodean el derecho de habeas data y protección de datos personales, en este sentido la empresa ha desarrollado durante su vida jurídica una cultura de respeto hacia los datos que recoge o de los cuales es el responsable del tratamiento, así mismo tiene disponible las partidas económicas que se requieran para asegurar los medios tecnológicos que permitan garantizar la seguridad de la información que se administra. La empresa tiene registradas las siguientes definiciones que permitirán una mejor comprensión del presente manual, el cual constituye una herramienta fundamental para el cumplimiento de lo establecido en las normas legales dentro de un programa de gestión integral de datos personales.

Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales.

Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento y las cuales han sido debidamente tabulados por la organización empresarial

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato privado: Es un dato personal que por su naturaleza intima o reservada solo interesa a su titular y para su tratamiento requiere autorización expresa.

Dato Público: Los datos serán públicos cuando la ley o la Constitución así lo establezcan, y cuando no sean de aquellos clasificados como semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas y los relativos al estado civil de las personas.

Dato semiprivado: Son datos que no tienen naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a un grupo de personas o a la sociedad en general

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Usuario: es la persona natural o jurídica que puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información.

Principio de Finalidad: El principio de finalidad, obliga a que las actividades de recolección de datos personales obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley. Con fundamento en este principio la  finalidad debe ser comunicada al titular de la información previa o concomitante con el otorgamiento del titular de la autorización, cuando ella sea necesaria o, en general, siempre que el titular solicite información al respecto.

Circulación Restringida: El principio de circulación restringida consiste en que a menos que la información sea pública, los datos personales no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que dicho acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello, en este caso SG STARS SAS, ha establecido los controles adecuados y se encuentran debidamente establecidos en las políticas establecidas por la organización empresarial para el efecto.

Principio de la Temporalidad de la Información: El principio de temporalidad de la información se refiere a la necesidad de que el dato del titular no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad del banco de datos.

Principio de la interpretación integral de derechos constitucionales: consiste en que la normas que rigen los datos personales se interpretarán en el sentido que se amparen otros derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información, además de aspectos que pueden afectar el desarrollo a la libre personalidad. Asimismo, se refiere a que los

derechos de los titulares se interpretarán en armonía con el derecho a la información y demás derechos constitucionales aplicables.

Principio de seguridad: El principio de seguridad impone que en la información contenida en los bancos de datos, así como aquella que resulte de las consultas que realicen los usuarios, se incorporen las medidas técnicas necesarias para garantizar la seguridad de los registros, con el fin de evitar su adulteración, pérdida, consulta o uso no autorizado, además de la completitud de la información que se administra.

Principio de la Confidencialidad: El principio de confidencialidad en la información consiste en que todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan carácter público, están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar el suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas.

V. PRINCIPIOS ESPECIFICOS

SG STARS SAS., aplicará los siguientes principios específicos que se establecen a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, seguridad de datos, manejo de datos personales:

5.1) Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos, establecidos en la carta constitucional y demás normas que le son reglamentarias en este sentido SG STARS SAS, se abstendrá de remitir a través de correos electrónicos sobre promociones u otros eventos comerciales, si no se cuenta con la autorización del titular.

5.2 Principio de libertad: El, uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento, el oficial de protección de datos de la empresa debe tener presente todos los aspectos de legalidad establecidos en las normas legales, sobre el tratamiento de la información, en este sentido

desde la alta dirección y la Gerencia de la empresa se garantiza el presupuesto para la capacitación en este aspecto, generándose una cultura sobre el respeto y tratamiento adecuado de la información.

5.3 Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados por SG STARS SAS., debe ser notificado al titular de la información, además todas las acciones que se ejecutarán con la información, es por ello que la finalidad define el propósito del acopio de la información de cada uno de sus componentes, el uso de la información registrada en la base de datos deberá contar con todos los indicadores de seguridad y la empresa debe garantizar que el uso de este insumo no afectará el buen nombre de las personas, además que deben tenerse en cuenta todas las limitantes legales que se han expedido en las normas a efectos de poder garantizar derechos constitucionales que  se pueden afectar de manera inconsulta, el oficial de protección de datos de SG STARS SAS, es el encargado de hacer cumplir la presente política y todos los procedimientos que en este sentido se han establecido en la organización empresarial, igualmente desde la Gerencia de la empresa se ha estructurado y diseñado el programa para la protección de datos personales, así como cumplir el establecimiento de los controles adecuados, el monitoreo permanente que nos permitirá realizar los ajustes a que haya lugar de acuerdo a los resultados que se generen en el seguimiento interno.

5.4   Principio de Veracidad y completitud: La información sujeta a uso, captura, recolección y tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. SG STARS SAS. debe garantizar que el uso de la información de clientes, empleados, proveedores debe hacerse teniendo en cuenta la totalidad de los datos que cualquier omisión no conduzca a errores que afecten el buen nombre de las personas, la información que se administrada por parte de la empresa debe ser protegida contra hechos que puedan generar la interceptación y saqueo de datos que puedan afectar la reputación de los titulares de la misma.

5.5 Principio de reciprocidad informativa: La empresa garantiza en todo momento en que cualquier información que sea requerida por el titular sea entregada sin ninguna restricción, en forma oportuna y completa, es decir que se cumpla con todas las características técnicas que sean requeridas por el titular.

 5.6 Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. SG STARS SAS. ha implementado todos los

mecanismos tecnológicos garantes de este principio, para este caso se garantiza la adecuada administración del inventario de datos con las observaciones necesarias que permitan el cumplimiento del presente programa.

5.7)                 Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento, será objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y  todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, modificación, pérdida, consulta y en general en contra de cualquier uso o acceso no autorizado. La seguridad debe ser una de las variables más importantes para el Oficial de Protección de la información designado por SG STARS SAS, por cuanto la seguridad de la información, permitirá evitar la sustracción, interceptación, uso inadecuado de la información y el cumplimiento de todos los demás aspectos requeridos en este componente.

5.8)              Principio de confidencialidad: Todas y cada una de las personas que administran, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases o Bancos de Datos, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelarla a terceros, todas las informaciones personales, comerciales, contables, técnicas, comerciales, jurídicas o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones. Todas las personas que trabajen actualmente o sean vinculadas a futuro para tal efecto, como oficial de protección de datos, quien es el responsable de la administración de la información y manejo de bases de datos, deberán suscribir un documento adicional u otrosí a su contrato laboral o de prestación de servicios para efectos de asegurar tal compromiso, con esta cláusula el empleado se compromete bajo la gravedad de juramento a cumplir cabalmente con las funciones y la reserva, manejo, que debe dar a la administración de la información y al inventario de bases de datos que tiene SG STARS SAS, en este sentido la empresa garantiza cláusula de penalización en el evento en que se incumpla con una sola de las obligaciones que se han establecido por la empresa para este efecto. Este aspecto persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento en el caso de que no se cumpla con esta obligación, la empresa está obligada a iniciar las acciones disciplinarias, penales si es del caso, tratando en todo caso de salvaguardar el buen nombre de las personas, adicionalmente evitando a toda costa que personas mal intencionadas hagan uso de estos insumos; el principio de la confidencialidad busca que las empresas que administren bases de datos protejan la reserva  de la cual goza la información que es suministrada por los titulares y que se

puedan generar publicaciones, impresos, correos electrónicos en los cuales se divulgue información que no estaba autorizada, con base en ello a través de la presente política SG STARS SAS, garantizará que el oficial de protección de datos que la empresa ha designado, son personas idóneas que en todos los casos salvaguardan la información registrada en las bases de datos y que le dan a la misma el uso óptimo establecido para tal efecto en las normas legales sin extralimitaciones que puedan afectar a los titulares de la misma. En este sentido el oficial de la empresa trimestralmente realizará el entrenamiento a los nuevos empleados e integrar las políticas de protección de datos dentro de las actividades que se ejecutan en las demás áreas funcionales de la empresa.

5.9 Dato sensible: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, adicional a ello direcciones, teléfonos, Registros informativos sobre aspectos tributarios, registro de ventas y/o compras y otros que por relación de causalidad solo pertenecen al titular.

6  Tratamiento de datos sensibles:

Se podrá hacer uso y tratamiento de los datos catalogados como sensibles cuando:

a)  El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización, en todo caso deben existir las evidencias documentales en las cuales es tácita la autorización del titular de la información para estos efectos, en este sentido SG STARS SAS. debe garantizar el cumplimiento de lo establecido en las normas legales.

b)  El Tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización, Siempre la empresa debe acopiar la información necesaria en la cual se pueda corroborar que el propósito para el manejo de la información va direccionado a la preservación  de los derechos fundamentales del titular.

c)     El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. No obstante lo anterior siempre debe mediar el documento en el cual se realiza el requerimiento para estos efectos por autoridad competente, no puede esgrimirse ningún argumento que afecte el buen nombre de las personas, entregando información del titular en este sentido.

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de  identidad de los Titulares, pero se debe tener presente que en todos los casos referidos debe mediar la prueba sumaria, evidencias que faculten el tratamiento dado a la información.

6.1   Autorización del titular: Sin perjuicio de las excepciones previstas en la ley, en el tratamiento se requiere la autorización previa, expresa e informada  del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior, sin que medie las evidencias, pruebas sumarias si es del caso no se puede utilizar información de los titulares para fines comerciales de la empresa SG STARS SAS, el empleado y/o contratista encargado de la administración de la información contentiva en las bases de datos debe demostrar ser una persona idónea para esta actividad en su  defecto la empresa debe demostrar que dentro de los procesos de inducción y reinducción los cuales no pueden ser inferiores a 24 horas, se ha hecho énfasis en las obligaciones, para tal efecto debe conocer como mínimo el presente manual de políticas y tener total claridad en cuanto a lo establecido  en las normas legales para al manejo de la información y reserva de datos.

6.2  Casos en que no se requiere la autorización:

La autorización del Titular no será necesaria cuando se trate de:

a)   Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, adjuntando las copias de los requerimientos realizados en calidad de soporte para justificar el suministro de la información, levantando acta en la que se deje constancia de las circunstancias que dieron lugar a la diligencia en la cual entrega información  del titular.

b)  Datos de naturaleza pública.

c)   Casos de urgencia médica o sanitaria, en los cuales se requiera entregar información de los titulares.

d)    Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

6.2 Derechos de los niños, niñas y adolescentes.

En el Tratamiento se asegurará el respeto a los derechos prevalentes de los menores. Queda prohibido el Tratamiento de datos personales de menores, salvo aquellos datos que sean de naturaleza pública, o que sean requeridos con autorización de sus padres, en este sentido se debe tener en cuenta lo establecido en la ley de infancia y adolescencia, es responsabilidad de la empresa diseñar los protocolos que permitan salvaguardar la información correspondiente a los menores.

Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los menores respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás, en este sentido el sistema de información y las bases de datos deben estar debidamente blindados antes cualquier intervención que pueda ser riesgoso y afectar el buen nombre de los titulares de la información.

VI COMPROMISO DE LA ALTA DIRECCION DE LA EMPRESA

El presentante legal de la organización y cada una de los coordinadores de la empresa dentro de sus contratos laborales y/o de prestación de servicios están comprometidos con el diseño de todas las estrategias que sean necesarias para lograr el cumplimiento de la política de protección de datos, minimizando los riesgos que se pueden presentar en este sentido y lo más importante garantizando la sostenibilidad del procedimiento en el tiempo, lo anterior complementado con la adopción de un manual de procesos para PQRs ( peticiones, quejas y reclamos). De los titulares de la información.

LA SOCIEDAD, cuando actúe como Responsable del Tratamiento de datos personales, cumplirá con los siguientes deberes:

a)  Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, establecido en las normas legales.

b)   Solicitar y conservar, copia de la respectiva autorización otorgada por el titular, para el manejo de la información correspondiente.

c)   Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada, además debe garantizar la seguridad de la información que se genera en los bakups sea cual

fuere el mecanismo de salvaguarda de la información concerniente a las operaciones de la empresa.

d)  Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e)  Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f)  Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga debidamente actualizada.

g)  Rectificar la información cuando sea incorrecta y comunicar lo pertinente al oficial de protección de datos, realizando los ajustes que sean necesarios dentro del principio de la completitud en la información.

h)   Suministrar al oficial de protección de datos, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.

i)   Exigir al oficial de protección de datos, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular, además del conocimiento previo que debe tener de la plataforma tecnológica que tiene la empresa para el manejo de la información y la reserva de los datos.

j)  Tramitar las consultas y reclamos formulados.

k)   Informar, cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

l)  Informar a solicitud del Titular sobre el uso dado a sus datos.

m)    Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

Estos son los lineamientos trazados por la alta dirección para garantizar el cumplimiento de la presente política y poder demostrar al organismo de control la eficiencia y eficacia del mismo.

VIII.  CARACTERISTICAS DE LA INFORMACIÓN DE LA SOCIEDAD

SG STARS SAS se reserva, en los eventos contemplados en la ley y en sus estatutos y reglamentos internos, la facultad de mantener y catalogar determinada información que repose en sus bases o bancos de datos, como confidencial de acuerdo con las normas vigentes, sus estatutos y reglamentos, además, como ya se ha registrado en acápites anteriores, adoptará las acciones necesarias para garantizar la seguridad de la información en sus bases de datos. LA SOCIEDAD SG STARS SAS, procederá de conformidad con la normatividad vigente y la reglamentación que para tal fin expida el Gobierno Nacional, a realizar el registro de sus bases de datos, ante El Registro Nacional de Bases de Datos (RNBD) que será administrado por la Superintendencia de Industria y Comercio. El RNBD., es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país; y que será de libre consulta para los ciudadanos, de acuerdo con la normatividad y reglamentación que en su momento para tal efecto expida el Gobierno Nacional. La organización empresarial coloca a disposición del estado y teniendo en cuenta todas las características de la información a reportar, las bases de datos de proveedores y empleados

IX.  POLITICA DE CORREOS ELECTRONICOS Y CONTROLES

SG STARS SAS en virtud de sus actividades de mercadeo, puede remitir correos electrónicos, utilizando información de las bases de datos, contando con la autorización de los titulares, información que debe ser verificada y su contenido debe gozar de registros completos, evitando errores y/o rectificaciones que pueden generar sanciones para la sociedad por el uso inadecuado de la información.

Solo en los siguientes casos, la empresa utilizará este sistema de comunicación, mediante los cuales hará uso de la información contenida en sus bases de datos:

9.1  Para comunicar ofertas y promociones en fechas especiales.

9.2  Reporte del portafolio de productos que oferta la empresa, dando a conocer sus valores corporativos y política de ventas.

9.3     Circularización de clientes para hacer efectivos saldos de cartera pendientes.

9.4  Circularización a proveedores en los procesos de conciliación de saldos por tercero.

9.5   Remisión de estados de cuenta para procesos de conciliación y pago de clientes y a proveedores.

9.6  Notificación a cliente de aceptación de garantías y reposición con un nuevo producto.

9.7  Notificaciones internas que se realicen a los empleados.

9.8  Notificación de cierres contables a los proveedores de bienes y servicios de la empresa.

9.9    Solicitud de información para reportes a los órganos de control y fiscalización del estado.

9.10   Reporte a clientes en los cuales se registren cambios en las listas de precios.

NOTA1: En todo caso y con el ánimo de garantizar la autorización del titular en la información que se remite, se advertirá de manera explícita si está  interesado en continuar recibiendo información mediante correos electrónicos.

NOTA2: La empresa no se hace responsable por interceptaciones ilegales a los sistemas de información, por personas ajenas a la empresa que puedan causar daños al buen nombre de sus titulares, en este sentido de inmediato el coordinador responsable de los sistemas de información y el oficial de protección de datos, debe realizar la respectiva denuncia ante las autoridades dejando constancia de la fecha y hora en que ocurrió el evento, para efectos de colaborar con la investigación, además de la información que fue sustraída.

NOTA3: SG STARS SAS no se hace responsable de la utilización indebida de esta información, pero si debe de demostrar que cuenta con los protocolos de seguridad de la información acorde a lo establecido en las normas legales, además de que ha documentado en debida forma la política de generación de bakups de la información en los términos de la ley.

X.   AUTORIZACION Y PERMISO DE LOS TITULARES

La recolección, almacenamiento, uso, circulación o supresión de datos personales por parte de SG STARS SAS, requiere del consentimiento libre, previo, expreso e informado del titular y/o los titulares del mismo, autorización de padres en el caso de los menores de edad. La autorización puede constar en un documento físico, electrónico, mensaje de datos, Internet, Sitios Web, en

cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento

10.1 Evidencias documentales sobre la autorización

SG STARS SAS, adoptará los mecanismos tecnológicos necesarios que permitan identificar la fecha en que se obtiene la autorización del titular o titulares de la información registrada en las bases de datos, garantizando que la información que sea requerida por los organismos de control sea suministrada en forma oportuna y con la consistencia requerida en las normas legales.

10.2. Información que se considera privada.

El titular de la información en cualquier organización debe quedar protegido con la política en el manejo de la información y en este sentido la empresa debe notificar al titular la forma como algunos datos de su información gozan del beneficio de la privacidad, además debe reportar la forma de acceso a dicha información.

10.3 Derechos de los titulares y acceso a la información

Teniendo en cuenta lo establecido en las normas legales y siendo consistentes con lo establecido en la presente política los titulares de información en la empresa SG STARS SAS, tendrán los siguientes derechos:

10.3.1.) Acceder, conocer, rectificar y actualizar sus datos personales frente a la empresa, en su calidad de administrador y responsable del tratamiento de la información.

10.3.2). A recibir información por parte de SG STARS SAS, previa solicitud, respecto del uso que le ha dado a sus datos personales.

10.3.3.) Atender las quejas, peticiones o reclamos realizados por el titular de la información dentro del procedimiento, claridad y tiempos de respuesta, en este sentido la empresa debe responder en forma inmediata sobre los reclamos que se realicen y que deban ser rectificados para ello la empresa solo cuenta con diez (10) días hábiles.

10.3.4.) Presentar los recursos de ley, en especial ante la Superintendencia de Industria y Comercio, por infracciones a lo dispuesto en la normatividad vigente en las normas aplicables, previo trámite de consulta o requerimiento ante el Responsable del Tratamiento.

10.3.5) Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

10.3.6.) Verificar en cualquier momento el uso que se ha dado a la información del titular.

10.3..7) Solicitar de manera respetuosa que el responsable del oficial de protección de datos no remita comunicados a través de correos electrónicos u otros medios que considere sean lesivos para su integridad personal o lo puedan colocar en riesgo.

10.3.8 Requerir al responsable del tratamiento de la información para que el proceso de los bakups de información de la empresa sea totalmente seguro evitando, con ello que puedan presentar interceptaciones y se sustraiga información que pueda afectarlos en forma directa.

10.3.9) Verificar en el momento en que lo solicite que el responsable del tratamiento de la información sea una persona idónea para el cargo que ha sido designado.

XI RESPONSABILIDAD DE SG STARS SAS. EN CALIDAD DE RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN.

La empresa, tendrá presente, en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso la normatividad vigente sobre protección de datos personales.

Además reportará en forma oportuna los titulares de la información sobre  todos los protocolos de seguridad que se han establecido en la empresa para garantizar la seguridad de la información, además de documentar el proceso de salvaguarda de la información en los backups de seguridad, garantizado en todo caso lo establecido en la ley 603 de 2.000 sobre derechos de autor.

XII.    ACCESO A LA VERIFICACION DE LA INFORMACION POR PARTE DEL OFICIAL DE PROTECCION DE DATOS.

Los titulares de la información podrán accesar a su información personal, que repose en cualquier base de datos. Para lo cual la empresa garantizará en todo momento que se pueda acceder a la información, verificando todos los campos en las respectivas bases de datos, además atender todas las solicitudes de rectificación que se deben realizar en forma inmediata. Además debe Habilitar medios de comunicación electrónica u otros que considere pertinentes. Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad. Utilizar los servicios de atención al cliente o de reclamaciones que tiene en operación. En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los dos (2) días hábiles siguientes al vencimiento del primer plazo.

XIII.  PQR PETICIONES QUEJAS Y RECLAMOS

El Titular que considere que la información contenida en una Base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en las normas legales, podrán presentar una queja ante el oficial de protección de datos. El reclamo lo podrá presentar el Titular, teniendo en cuenta la información señalada en el artículo 15 de la Ley 1581 de 2012 y en el decreto1377 de 2013, y demás normas que los modifiquen o adicionen. En este sentido y tal cual se ha registrado en acápites anteriores el titular de la información podrá en cualquier momento solicitar rectificación y/o ajustes en la información que se ha publicado, para ello el responsable del tratamiento de la información deberá establecer el procedimiento para canalizar los PQR que en este sentido se presenten y darles respuesta dentro de la oportunidad requerida y en los términos establecidos en la presente política.

XIV AUSENCIA DE COMPLETITUD EN LOS DATOS

SG STARS SAS, está en la obligación de realizar las rectificaciones y/o ajustes que se deban realizar por petición del titular, en este sentido el procedimiento debe indicar claramente cómo y en qué medio los titulares pueden realizar los requerimientos para este proceso, en este sentido la empresa ha establecido el siguiente correo electrónico carmina@santigiraldo.com, la empresa debe dar respuesta de inmediato sobre los ajustes solicitados por el titular de la información.

XV SOLICITUD DE BLANQUEO DE DATOS

Cualquier titular de la información puede solicitar el blanqueo de datos en los siguientes casos:

15.1  Cuando la empresa como responsable del tratamiento de la información no ha cumplido con todos los formalismos legales para el uso de la  información.

15.2   Incumplimiento en los requerimientos y PQR que ha realizado el titular para rectificar información o ajustarla.

15.3   Cuando no se haya autorizado la remisión de información a través de correos electrónicos y la empresa haya hecho caso omiso de esta petición del titular.

15.4   El responsable de tratamiento de la información haya negado acceso al titular y/o titulares sobre el uso que se ha dado a la información.

15.5   Se publique información de menores de edad sin que se haya dado autorización por los padres del mismo.

15.6  El titular de la información ha tenido conocimiento de que la empresa no cuenta con los protocolos de seguridad de la información necesarios para evitar interceptaciones fraudulentas.

15.7  El responsable del tratamiento de la información haya uso de información no autorizada por el titular.

XVI. ANULACION DE AUTORIZACION

Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando

no lo impida una disposición legal o contractual. Para ello SG STARS SAS, deberá implementar los mecanismos necesarios y expeditos que permitan que este procedimiento se surta en cualquier momento.

XX DE LOS MECANISMO DE SEGURIDAD

SG STARS SAS, dando cumplimiento a lo establecido en la presente política y a las normas legales en la materia, establecerá los mecanismos necesarios para garantizar la seguridad de la información que sea entregada por los titulares, para ello se dispone dentro del presupuesto de las partidas  necesarias para realizar las adquisiciones necesarias para garantizar el cumplimiento del presente programa.

XXI.  UTILIZACION DE LA INFORMACION A NIVEL INTERNACIONAL

La información de los titulares puede ser reportada a nivel internacional, siempre teniendo en cuenta los aspectos de confidencialidad y controles establecidos en las normas legales, así mismo con todas las características de completitud y sin generar cambios que afecten el buen nombre de las personas titulares de la misma, SG STARS SAS, también puede intercambiar Información Personal con autoridades gubernamentales o públicas que requieran reportes para lo de su competencia.

XXII.  PROCEDIMIENTOS DE LA EMPRESA PARA LA PROTECCION DE LA INFORMACIÓN.

SG STARS SAS, en su calidad de responsable de la información, designará dentro de su planta de personal, el colaborador idóneo, como Oficial de protección de datos teniendo en cuenta lo establecido en la normatividad vigente; en virtud de ello adoptará las acciones que sean necesarias para el cumplimiento con todas las disposiciones legales, garantizará la actualización de su plataforma tecnológica con el fin de conservar la información, evitando con ello la interceptación y sustracción de la información, aspecto que puede afectar el buen nombre de las personas y consecuentemente a la empresa, en este sentido, designará un empleado de confianza como Oficial de protección de datos, quien recibirá, procesara y canalizará las distintas solicitudes que se reciban, para tal efecto entrará a cumplir con la función de protección de datos personales y deberá dar trámite a las solicitudes de los titulares, en los términos, plazos y condiciones establecido por la normatividad vigente, para el ejercicio de los derechos de acceso, consulta, rectificación, actualización, supresión y revocatoria a que se refiere la normatividad vigente sobre

protección de datos personales. En el evento en que usted considere que SG STARS SAS, dio un uso contrario al autorizado y a las leyes aplicables, de inmediato comuníquese con la Gerente de la Sociedad, señora CARMIÑA GIRALDO DE DASILVA Gerente de la empresa AL TELEFONO 3165224112 y/o al correo carmina@santigiraldo.com, para nosotros es muy importante el cumplimiento cabal de las normas en protección de la información, además de intervenir en forma directa las situaciones en las cuales se haya afectado el buen nombre de los titulares de la información.

XXIII FUNCIONES DEL OFICIAL DE INFORMACION

Para garantizar la aplicación de la política de protección de datos la empresa garantiza que como mínimo el oficial de información de designado debe cumplir las siguientes funciones:

24.1)       Promover la implementación de un sistema administrar y aminorar los riesgos en el tratamiento de los datos personales.

24.2)      Coordinar la definición e implementación de los controles en el programa de gestión de datos personales.

24.3)      promover capacitaciones para el personal administrativo y operativo de la empresa, en las cuales se genere una cultura de protección de datos en la organización empresarial.

24.4)       Administrar las bases de datos de la empresa y su publicación en el RNBD de la Superintendencia de Industria y Comercio.

24.5)       Analizar las responsabilidades en cada cargo de la empresa para los programas de entrenamiento del personal en los niveles de los cargos.

24.6)      Calificar trimestralmente las personas de la empresa en cuanto al avance y empoderamiento en las actividades de protección de datos.

24.7)      Coordinar la realización de auditorías internas en las cuales se garantice el cabal cumplimiento de las políticas en el tratamiento de la información.

24.8)      Acompañar a la empresa en las visitas de los organismos de control en los cuales se realice la evaluación y eficacia del programa de políticas.

24.9)      Requerir los elementos necesarios para garantizar el cumplimiento de la presente política.

25)  Establecer el procedimiento que permita que los titulares de la información puedan presentar peticiones, quejas y reclamos PQR, con los mecanismos de acceso que sean necesarios.

25.1)                 Las demás que sean necesarias para garantizar la sostenibilidad de la presente política en el tiempo.

XXIV CONTROLES DEL PROGRAMA

SG STARS SAS., teniendo presente la importancia de un Programa Integral de Gestión de datos personales ha establecido las siguientes políticas, las cuales permitirán el cumplimiento de las disposiciones legales en la materia:

25.1          Desde la elaboración de los contratos del personal administrativo y operativo de la empresa:

En este sentido se inserta en los contratos laborales una cláusula especial en  la cual el colaborador de la empresa se compromete a asistir a todas las capacitaciones que sean programadas por el OFICIAL DE PROTECCION DE DATOS, además a cumplir con todos los protocolos establecidos para la protección de la información que pueda tener dentro del ejercicio de sus funciones.

25.2          Identificación y reporte de las debilidades que se detecten sobre la protección de datos.

Se establece la responsabilidad en cada servidor de la empresa y desde las labores que ejecuta en las diferentes unidades administrativa y operativas, que cualquier situación que sea detectada que afecta el proceso de protección de datos de manera inmediata debe ser reportada al OFICIAL DE PROTECCION DE DATOS.

25.3    Diseño de Bitácoras informativas:

Como parte integral de los controles que la empresa establecerá en cada una de las unidades administrativas y operativas, se generará una bitácora en la cual se debe realiza el check-list de las acciones que se detecten pueden afectar en forma directa el proceso de protección de la información.

25.4    Seguridad en los sistemas de información

El oficial de protección de datos, conjuntamente con la Gerencia de la Empresa deben evaluar en forma permanentemente la seguridad de los sistemas de información de la empresa, en este sentido continuamente deben realizar el monitoreo a los backups que se realizan en la empresa, garantizando que los mecanismos de salvaguarda de la información sean óptimos, estableciendo claves de seguridad que restrinjan el acceso a la información, evitando con ello que se puedan presentar casos de sustracción de información que pueda afectar a los titulares de la misma.

25.5    Monitoreo del sistema de PQRS (Peticiones, Quejas y Reclamos).

Permanentemente es obligación de la alta dirección y el oficial de protección de datos, realizar la evaluación sobre la funcionalidad del sistema de PQRs en la empresa, garantizando que cualquier situación que se presente con la información de los titulares, sea atendida en forma oportuna y que de manera óptima se puedan realizar los ajustes en el proceso de protección de datos personales.

25.6    Revisión de las bases de datos

En forma permanente se deben realizar validaciones de la información que se encuentra registrada en las bases de datos inventario de información de la empresa, como una de las responsabilidades de la alta dirección y el oficial de protección de datos.

XXV INVENTARIO DE LAS BASES DE DATOS CON INFORMACION PERSONAL

El inventario de datos personales en la empresa se almacena desde el momento de la creación de los terceros, proceso que se genera en el momento de una venta nueva, es de aclarar que algunos datos solo se registran una  vez, dado que en este caso existen clientes que solo realizan una venta y no vuelven a realizar operaciones con la sociedad, en este sentido se establece que semestralmente se deben realizar barridos de las bases de datos depurando la información, con el único propósito de dejar el inventario con la información de los terceros que registran una dinámica en sus operaciones, para tal efecto se solicita autorización mediante formato establecido por el oficial de protección de datos, en el caso de los proveedores se captura la información en el momento del registro en la contabilidad de las facturas por la compra de bienes y servicios para el cumplimiento de las actividades misionales de la organización empresarial, en el caso de los proveedores igualmente se diligencia el formato de autorización para el manejo de la información.

En los eventos que se presente información sensible que tenga que ver con menores de edad es responsabilidad del oficial protección de datos, solicitar autorización a los titulares de la misma y establecer mecanismo se seguridad para estos datos teniendo en cuenta los precepto establecidos en las normas legales.