POLÍTICA DE TRATAMIENTO Y MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS DE DATOS PERSONALES

Tabla de contenido

PRELIMINARES…………………………………………………………………………………………………….. 2

1. Definiciones:……………………………………………………………………………………………… 2
2. Introducción………………………………………………………………………………………………. 4

• Objetivo………………………………………………………………………………………………… 4

1. Alcance………………………………………………………………………………………………….. 4

POLITICAS Y LINEAMIENTOS……………………………………………………………………………………. 5

1. Identificación del responsable del tratamiento de la información………………………….. 5
2. Política para el tratamiento de datos personales:………………………………………………. 5
3. Otros lineamientos……………………………………………………………………………………… 6
4. Tratamiento al cual serán sometidos los datos…………………………………………………… 6
5. Finalidades para las cuales la información es recolectada y necesidad de recolectar los datos en cada caso 6
6. Derechos de los titulares de la información………………………………………………………. 8
7. Estructura administrativa para peticiones, consultas y reclamos para conocer, actualizar, rectificar y suprimir el dato y revocar la autorización………………………………………………………………… 8
8. Aviso de privacidad y autorización del Tratamiento…………………………………………….. 9
9. Herramientas de implementación, entrenamiento y programas de educación………….. 9
10. Reporte de incidentes de seguridad…………………………………………………………… 10
11. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de …………………………………………………………………………………………………. 10
12. RNBD…………………………………………………………………………………………………… 10

ANEXOS…………………………………………………………………………………………………………….. 11

1. Manual de Procedimientos………………………………………………………………………….. 11
   • Procedimientos para solicitar la autorización del Titular para el Tratamiento de los datos personales: 11
   • Recolección de información…………………………………………………………………… 12
   • almacenamiento de información……………………………………………………………. 12
   • Uso de información……………………………………………………………………………… 13

• Circulación de información……………………………………………………………………. 14
• Supresión de información……………………………………………………………………… 15
• Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

15

• Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 -Decreto Único Reglamentario del Sector Comercio, Industria y Turismo……………………………….. 16
• Reporte de información en el RNBD………………………………………………………… 16

2. Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 -Decreto Único Reglamentario del Sector Comercio, Industria y Turismo………………………………….. 19

PRELIMINARES

I.                    Definiciones:

Para los efectos del cumplimiento del presente manual, se entenderán los términos de acuerdo con las siguientes definiciones:

• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales; el cual deberá ser obtenido por cualquier medio que pueda ser objeto de consulta
• Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos
• Base de Datos: Conjunto organizado de datos personales que sea objeto de
• Base de Datos Automatizada: aquellas que se almacenan y administran con la ayuda de herramientas informáticas.
• Base de Datos Manual: los archivos cuya información se encuentra organizada y almacenada de manera física
• Cambios sustanciales: son los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o

• Dato público: Es el dato que no sea semiprivado, privado o Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
• Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la ley 1266 de
• Dato sensible: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
• Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario
• Incidentes de seguridad: Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su
• Operador de información. Es la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la ley 1266 de
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los
• Titular: Persona natural cuyos datos personales sean objeto de
• Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

• Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del
• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
• El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en la ley 1266 de 2008, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información, acorde a las definiciones de Operador de información y Fuente de información.

II.                  Introducción

La constitución política de 1991 establece en su artículo 15 que todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. Por su parte, mediante la Ley 1581 del 17 de octubre de 2012, el Congreso de la República dictó disposiciones generales para la protección de datos personales, ley que fue reglamentada por los Decretos 1377 de 2013 y 886 de 2014 (hoy incorporados en el Decreto único 1074 de 2015 en sus capítulos 25 y 26). En consonancia con estas disposiciones, el Título V de la Circular Única de la Superintendencia de Industria y Comercio imparte instrucciones relativas a la protección de datos personales, en particular, acerca del cumplimiento de la Ley 1266 de 2008, sobre reportes de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

En su compromiso con el cumplimiento de la ley colombiana, Cumbrera SAS, presenta en este documento su política de tratamiento y manual interno de políticas y procedimientos de datos personales, el cual es de obligatorio cumplimiento por parte de todos los funcionarios de la organización, para el tratamiento de datos personales.

III.                Objetivo

El presente documento tiene por objeto proporcionar una política de tratamiento y manual interno de políticas y procedimientos de datos personales, para garantizar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos, y los demás derechos, libertades y garantías constitucionales y legales.

IV.               Alcance

Las directrices definidas en este manual están dirigidas a los trabajadores y contratistas de CUMBRERA SAS para quienes dentro de su labor tengan que conocer sobre los datos personales que deban ser sujetos de Tratamiento en el desarrollo del objeto social de la empresa.

POLITICAS Y LINEAMIENTOS

1.      Identificación del responsable del tratamiento de la información:

2.      Política para el tratamiento de datos personales:

Las directivas de CUMBRERA SAS se adhieren a los siguientes principios, que a su vez deberá observar todo funcionario de la misma y aquellos contratistas que deban conocer información personal en desarrollo del vínculo comercial:

• El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la
• El Tratamiento debe obedecer a una finalidad legítima, la cual debe ser informada al
• El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el
• La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a
• En el Tratamiento debe garantizarse el derecho del Titular a obtener, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le
• El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. El Tratamiento sólo podrá hacerse por personas autorizadas por el Titular. Los datos personales, solo podrán ser revelados a los Titulares o terceros autorizados conforme a la
• La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o
• Todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

• La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de

3.      Otros lineamientos

Todo funcionario de Cumbrera S.A.S. y aquellos contratistas que en desarrollo de sus funciones deban hacer tratamiento de datos personales tiene autorización para hacerlo y estará sujeto a lo establecido en el presente documento y la ley.

Se prohíbe el Tratamiento de datos sensibles. En relación a la información que reposa en las bases de datos relacionadas con la administración del recurso humano, sobre lo relativo a la salud de una persona, se conocerá exclusivamente la información que sea indispensable (como aquella contenida en incapacidades, evaluaciones médicas ordenadas por la ley como exámenes médicos de aptitud para trabajo en alturas o indicaciones médicas dadas a un funcionario en relación con limitaciones para el desarrollo de sus actividades en la empresa).

Con la suscripción del documento mediante el cual un funcionario o contratista se obliguen frente a la empresa, se entenderá que dan su autorización a lo aquí estipulado.

Se requiere la autorización previa e informada del Titular de los datos que serán objeto de tratamiento, excepto aquellos que hagan parte de las bases de datos y archivos que tengan por finalidad la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, las cuales no estarán sometidas al régimen de protección de datos personales según la ley vigente.

La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países podrá ser accedida por los usuarios únicamente con las siguientes finalidades: a) Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente. b) Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas. c) Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente. d) Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información. En ningún caso se podrá consultar dicha información para fines de toma de decisiones laborales.

4.      Tratamiento al cual serán sometidos los datos

En desarrollo de su objeto social, el tratamiento que se dará a los datos se enmarca en los procesos de: recolección, almacenamiento, uso y supresión

5.      Finalidades para las cuales la información es recolectada y necesidad de recolectar los datos en cada caso.

Cumbrera SAS requiere recolectar información personal en desarrollo de las necesidades que le impone su objeto social, las cuales se relacionan a finalidades legítimas, estas últimas

tomadas del “Manual de Usuario del Registro Nacional de Bases de Datos – RNBD” Versión 6.8, publicado por la Superintendencia de Industria y Comercio, según se indica a continuación:

• Necesidad de administración de nómina, de subcontratistas, de clientes y obligaciones fiscales:
  • Gestión contable, fiscal y administrativa:
    • Gestión
    • Gestión de
    • Gestión de cobros y
    • Gestión de facturación.
    • Gestión de
    • Gestión económica y
    • Gestión
    • Históricos de relaciones
    • Atención y seguimiento de Requerimientos de autoridad judicial o
    • Verificación de datos y
    • Verificación de requisitos jurídicos, técnicos y/o

• Recursos humanos:
  • Formación de
  • Gestión de nómina.
  • Gestión de
  • Gestión de trabajo
  • Prestaciones
  • Prevención de riesgos
  • Promoción y selección de

• Finalidades varias:
  • Atención al ciudadano/cliente (Gestión PQR) /Recepción y gestión requerimientos internos o externos sobre productos o servicios.
  • Gestión de
  • Procedimientos

• Necesidad de comercialización de los bienes y servicios que ofrece
  • Publicidad y prospección comercial
    • Publicidad
    • Ofrecimiento productos y servicios.

• Finalidades varias
  • Fidelización de
  • Relaciones comerciales – Registro de Asistencia a eventos o recepciones sociales y/o

6.      Derechos de los titulares de la información:

El Titular de los datos personales tendrá los siguientes derechos:

• Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
• Solicitar prueba de la autorización otorgada al Responsable del
• Ser informado por el Responsable del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos
• Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o
• Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable ha incurrido en conductas contrarias a la ley y a la Constitución.
• Acceder en forma gratuita a sus datos personales que hayan sido objeto de

7.      Estructura administrativa para peticiones, consultas y reclamos para conocer, actualizar, rectificar y suprimir el dato y revocar la autorización:

El titular de la información podrá contactarse a través de los siguientes medios, para todos los propósitos relacionados con la información personal que reposa en las bases de datos de la empresa:

8.      Aviso de privacidad y autorización del Tratamiento:

El siguiente es el modelo del Aviso de Privacidad que será informado al tercero al momento de obtener la autorización para el correspondiente tratamiento de datos:

Cumbrera SAS, (NIT 830.020.495-9; contacto: Carrera 11A # 98 – 50 Oficina 204, Bogotá D.C.; oficialdecumplimiento@cumbrera.co; 601 – 7427202), actuando como Responsable del Tratamiento pone a disposición del público en general su Política de Tratamiento de Datos Personales a través del sitio web www.cumbrera.co. El Tratamiento abarca la recolección, almacenamiento, uso y supresión de los datos personales para las siguientes finalidades: Gestión contable, fiscal y administrativa, Recursos humanos, Publicidad y prospección comercial y Finalidades varias, según se detalla en el numeral 5 del citado documento. Son derechos de los Titulares: 1) Conocer, actualizar y rectificar sus datos personales; 2) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento; 3) Ser informado respecto del uso que se le ha dado a sus datos personales; 4) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones; 5) Revocar la autorización y/o solicitar la supresión del dato cuando la Superintendencia de Industria y Comercio haya determinado que el Responsable ha incurrido en conductas contrarias a la ley y a la Constitución; y 6) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. Será facultativo del Titular dar información sobre datos sensibles (según los define la ley) o sobre los datos de las niñas, niños y adolescentes.

De manera expresa, previa e informada AUTORIZO el tratamiento de mis datos personales y/o como representante legal para las finalidades y en los términos que fueron informados, para los fines:

9.      Herramientas de implementación, entrenamiento y programas de educación

Se implementarán programas de educación al interior de la empresa relacionados con la actual Política de Tratamiento en la forma y oportunidad que se considere con el fin de asegurar su adecuado cumplimiento. Se deberá dejar constancia de su realización.

10. Reporte de incidentes de seguridad

Se seguirá el procedimiento “1.10 Reporte de incidentes de seguridad”.

11. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

La Política de Tratamiento de Datos Personales fue creada el año 2013 y desde entonces ha sido objeto de actualizaciones. Las bases de datos sujetas a Tratamiento se mantendrán vigentes mientras ello resulte necesario para las finalidades establecidas en el presente documento.

12. RNBD

Deberá verificarse anualmente si la empresa se encuentra obligada a adelantar el Registro Nacional de Bases de Datos, atendiendo lo indicado en el procedimiento “1.8 Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 -Decreto Único Reglamentario del Sector Comercio, Industria y Turismo”

En caso de encontrarse obligada, deberá hacer los reportes atendiendo lo indicado en el procedimiento “1.9 Reporte de información en el RNBD”.

ANEXOS

1.      Manual de Procedimientos

1.1   Procedimientos para solicitar la autorización del Titular para el Tratamiento de los datos personales:

• Gestión contable, fiscal y administrativa, Recursos humanos:

Lo aquí descrito aplica cuando se pretende formalizar una vinculación de los titulares de la información, ya sean estos socios, clientes, empleados, proveedores o contratistas, entre otros.

Previo a vinculación se le solicitará al Titular de la Información diligenciar y suscribir el

“Formulario Único de Conocimiento de Terceros” (Anexo 4 del “SAGRILAFT – Sistema de Autocontrol y Gestion del Riesgo Integral Lavado de Activos Financiación del Terrorismo” de Cumbrera SAS), atendiendo lo descrito en el procedimiento “1.5 Debida diligencia” del citado documento. No procederá la vinculación cuando el Titular no otorgue su autorización para la finalidad de “Gestión contable, fiscal y administrativa, Recursos humanos”. Adicionalmente, quien solicitó al tercero el diligenciamiento del formulario deberá verificar que se haya dado autorización para la finalidad de “Publicidad y prospección comercial” cuando se prevea que se dará uso a la información suministrada para dicha finalidad. El Oficial de protección de datos personales tendrá la responsabilidad de informar al Oficial de Cumplimiento acerca de la

necesidad de actualizar el “Formulario Único de Conocimiento de Terceros” cuando se modifique el numeral “8. Aviso de privacidad” de la presente política.

• Publicidad y prospección comercial:

Lo aquí descrito aplica cuando el Titular contacta al Responsable del tratamiento con el objetivo de obtener información acerca de los productos o servicios que este último ofrece.

En el caso de solicitudes presentadas mediante correo electrónico, redes sociales, radicación física, registro de llamadas perdidas o similares, podrá almacenarse la información suministrada por el titular en la forma de listas de tareas pendientes, notas o mediante la conservación temporal de la información en el medio por el cual se hizo la solicitud, hasta poder darles respuesta. En todos los casos se dará cumplimiento a las políticas relacionadas con la seguridad de la información establecidas en el presente documento. Cuando el medio escogido por el Titular para suministrar la información permita que personas no autorizadas puedan tener acceso a ella, se tomará nota de la información en un medio idóneo y se eliminará a la mayor brevedad posible de la ubicación original.

Al momento de responder la solicitud del Titular se deberá poner en conocimiento del mismo el texto del numeral “8.Aviso de privacidad” y solicitar su autorización en relación con el Tratamiento para la Finalidad de “Publicidad y prospección comercial”. En caso de no obtenerla, se podrá brindar la información que el cliente requiera, pero no podrá intentarse un nuevo contacto por parte del Responsable del Tratamiento hacia dicho Titular. En estos casos solo podrá dejarse registro de información que no pueda asociarse de alguna manera al Titular

(por ejemplo, el número de contacto, sin información del nombre o documento de identidad), esto exclusivamente para efectos de poder informar sobre la gestión o presentar indicadores y estadísticas, entre otros. Esta información deberá almacenarse de forma independiente a los datos que cuenten con autorización para su tratamiento o asegurarse de que sea fácilmente diferenciable de aquellos.

En los casos en que el Titular autorice el Tratamiento, deberá conservarse registro de dicha autorización de manera que se garantice su consulta posterior y consignar en la base de datos la información necesaria para poder ubicarla a futuro. Cuando no sea posible conservar dicho registro, se considerará como si el titular no hubiera otorgado su autorización para el tratamiento.

1.2   Recolección de información

Previo a la recolección de información, deberá asegurarse que se cuenta con la autorización del Titular para la correspondiente finalidad del tratamiento (ver “1.1 Procedimientos para solicitar la autorización del Titular para el Tratamiento de los datos personales”). La información podrá recolectarse mediante el “Formulario Único de Conocimiento de Terceros” (Anexo 4 del “SAGRILAFT – Sistema de Autocontrol y Gestion del Riesgo Integral Lavado de Activos Financiación del Terrorismo” de Cumbrera SAS) o a través del medio de contacto que

corresponda en los casos que el Titular contacta al Responsable del tratamiento con el objetivo de obtener información acerca de los productos o servicios que este último ofrece.

La información personal se recopilará directamente del titular con las siguientes excepciones:

• Aquella contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sujeto a lo indicado en el numeral “3. Otros lineamientos”.
• Aquella resultado de procesos de evaluación o calificación internos desarrollados por el Responsable del Tratamiento, así como aquella que deba conocer en el desarrollo de las actividades para la finalidad de “Gestión contable, fiscal y administrativa, Recursos humanos”, como la proveniente de incapacidades, exámenes médicos de ingreso, exámenes de aptitud para el trabajo en alturas, capacitaciones, entre
• Aquella obtenida mediante un contrato de Transferencia de Datos con un tercero que suministra la información personal, asegurándose de que: (i) esos datos se obtuvieron lícitamente y (ii) el tercero quien suministrará la información está autorizado para hacerlo por parte de los titulares para ser usada para la finalidad que se pretenda dárseles.

1.3   almacenamiento de información

Todos los funcionarios de Cumbrera SAS, contratistas y terceros que realicen actividades en el tratamiento de datos personales en su nombre deberán:

• Mantener la información objeto de su labor debidamente custodiada y salvaguardada del acceso de personas no

• Mantener la información que no sea pública bajo llave en cajoneras y/o en lugares vigilados mientras el funcionario responsable de la misma no esté utilizando dicha información.
• Conservar la pantalla del computador libre de accesos directos a directorios de información no pública, asimismo, no deben tener archivos de trabajo con información no publica en la pantalla de escritorio. Para efectos de control de acceso a equipos de cómputo en tiempos de ausencia de funcionarios de su puesto de trabajo, se deberá realizar el bloqueo de la sesión, a través de las teclas (Ctrl + Alt + Supr ó Tecla Windows

+ L).

• Administrar los datos a través de los sistemas o medios de almacenamiento proporcionados por Cumbrera SAS, nunca se debe crear, clasificar, usar, administrar, retener y/o trasferir a través de cuentas que no pertenezcan a esta Organización.
• No publicar datos personales de terceros a los que haya tenido acceso en desarrollo de sus labores en la empresa a través de redes sociales o cuentas de correo electrónico
• En caso de ser requerido, solicitar el apoyo del encargado de tecnología al interior de la empresa para tener implementados los controles de seguridad de la información
• Evitar almacenar datos personales en memorias USB, discos duros externos y otros
• Evaluar la necesidad de incluir información personal en los documentos administrativos y aquellos generados en los procesos
• Evitar detalles innecesarios o sensibles en la redacción.
• Establecer controles de acceso y permisos basados en roles y necesidades de información cuando fuere

1.4   Uso de información

Solo se podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.

En general deberá establecerse si es estrictamente necesario que la información que se va a utilizar debe ir asociada o referirse a una persona. De no ser así, se recomienda que por regla general se utilice información anonimizada de tal manera que no se pueda identificar al Titular del dato.

1.5   Circulación de información

• Identificación del solicitante previo al suministro de información:

Se deben tomar todas las medidas de seguridad razonables para garantizar que ante cualquier solicitud de información personal por parte de terceros, la misma sea suministrada únicamente a los titulares, a las personas debidamente autorizadas por éstos o a sus causahabientes, o a las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial para lo cual se requerirá:

1. Constancia de la exhibición de cada uno de los documentos idóneos (por ejemplo foto de la persona exhibiendo el documento) y copia legible de los documentos, en caso de presentación
2. Comunicación debidamente suscrita en físico o allegada por correo electrónico, en caso de solicitud escrita. La misma deberá indicar la información de la dirección física o electrónica donde deberá enviarse la respuesta a la
3. Documento de identificación idóneo con foto y firma (por ejemplo, cédula de ciudadanía o pasaporte) que permita la identificación de quien se presenta personalmente o de quien suscribe la solicitud
4. Si se realiza a través de mandatario, apoderado o persona autorizada, allegar el respectivo
5. Si se realiza por un causahabiente del titular de la información, allegar copia de los documentos suficientes para demostrar tal
6. En caso de personas jurídicas, se exigirá que quien se presenta personalmente o quien suscribe la solicitud escrita sea el representante legal y, adicionalmente, se deberá aportar el correspondiente certificado de existencia y representación
7. Las entidades públicas del poder ejecutivo y los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa que soliciten información, deberán indicar en la correspondiente solicitud, de manera expresa e inequívoca, la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que les han sido conferidas por la ley relacionadas con dicha

Se deberán conservar los documentos aquí requeridos como prueba del cumplimiento de lo establecido en la presente política.

No se validará la titularidad ni se entregará, actualizará, rectificará o suprimirá información ni tampoco se revocará la autorización a través de llamada telefónica, videollamada o en general cualquier medio del cual no se pueda dejar documentada dicha actuación para posterior consulta.

• Circulación de información a subcontratistas:

Siempre que se contrate a otra empresa para realizar alguna actividad que involucre el uso de datos personales que deban suministrársele por Cumbrera SAS (por ejemplo, para realizar actividades de marketing, mercadotecnia, publicidad, mensajería, asesoría en temas legales o

jurídicos, entre otras), se entregará exclusivamente la información que sea indispensable para que pueda desarrollarse el objeto del contrato. Dicho objeto deberá estar enmarcado dentro de los usos que el titular de la información haya autorizado. Adicionalmente, se exigirá al tercero con quien se contrata el servicio, mantener la confidencialidad de la información, hacer uso de la misma exclusivamente para los fines específicos para los que se le está entregando y mantenerla bajo las condiciones de seguridad necesarias. Se le hará saber que Cumbrera SAS cuenta con una política de tratamiento de datos personales que deberá hacer extensiva en el contrato que ejecute.

En todos los casos se velará porque la información que se suministre sea veraz, exacta y comprensible. Respecto de los datos que previamente le haya suministrado, se comunicarán de forma oportuna todas las novedades, se rectificará la información cuando sea incorrecta y se Informará cuando determinada información se encuentre en discusión por parte del Titular.

1.6   Supresión de información

Los Titulares podrán en todo momento solicitar la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos de forma gratuita, mediante los canales indicados en el numeral “1. Identificación del responsable del tratamiento de la información”, adjuntando la documentación requerida en el numeral “1.5 Circulación de información”.

Adicionalmente, una vez cumplidas las finalidades del tratamiento, se deberá proceder a la supresión de los datos personales, a excepción de las causales indicadas en el párrafo a continuación, caso en el cual se generarán medidas para que la información no se trate en las actividades operacionales de Cumbrera SAS.

Previo a la supresión de la información por solicitud del titular o por la terminación de las finalidades del tratamiento, será verificado que no se esté obligado a conservarlos por mandato de normas legales, o por aspectos administrativos, contables, fiscales, jurídicos, manejo de archivos históricos, retención documental u otras propios de Cumbrera SAS o para el cumplimiento de una obligación legal o contractual.

1.7   Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

• Consultas:

La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que

será atendida, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

• Corrección, actualización, supresión o reclamos:

Se deberá aportar la descripción de los hechos que dan lugar a la solicitud y acompañarla con los documentos que se quiera hacer valer. Si la solicitud resulta incompleta, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la misma.

En caso de que quien reciba la solicitud no sea competente para resolverla, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. Una vez recibido un reclamo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles.

Dicha leyenda deberá mantenerse hasta que el mismo sea decidido.

El término máximo para atender este tipo de solicitudes será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

1.8   Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 -Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.

Cada año, a más tardar el 31 de marzo, se diligenciará el formato Anexo 2: “Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 -Decreto Único Reglamentario del Sector Comercio, Industria y Turismo”, con la información de los estados financieros con corte a 31 de diciembre del año anterior.

1.9   Reporte de información en el RNBD

En caso que, se establezca que no se cumple los criterios de acuerdo al procedimiento “1.8 Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.”, no será aplicable lo establecido en el presente procedimiento para el año inmediatamente siguiente a aquel del cual se tomó la información financiera con corte al 31 de diciembre.

La siguiente es la información que será suministrada al RNBD a través de la herramienta tecnológica que disponga la Superintendencia de Industria y Comercio:

1. Datos de identificación (denominación o Razón Social y su número de identificación tributaria), ubicación y contacto del Responsable del Tratamiento de la base de
2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de

3. Canales para que los titulares ejerzan sus
4. Nombre y finalidad de la base de
5. Forma de Tratamiento de la base de datos (manual y/o automatizada)
6. Política de Tratamiento de la información.
7. Información almacenada en la base de datos. Corresponde a la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los
8. Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el
9. Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de
10. Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de
11. Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y
12. Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos con la siguiente periodicidad:
    1. Reclamos presentados por los Titulares. Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año.
    2. Incidentes de seguridad. Dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de

La información registrada debe ser actualizada como se indica a continuación:

• Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información
• Anualmente, entre el 2 de enero y el 31 de marzo, a partir de

En este sentido, todo funcionario de Cumbrera SAS que administre una base de datos con información personal (o a quien éstos deleguen), deben reportar la información que corresponda por lo menos una vez al año, durante el mes de febrero. Adicionalmente, informarán de forma inmediata cuando se realicen cambios sustanciales o cuando ocurra cualquier Incidente de seguridad (como se definen en el numeral “I. Definiciones”)

El único medio para recepción de esta información es el correo electrónico: oficialdecumplimiento@cumbrera.co.

• Reporte de Incidentes de Seguridad:

Los funcionarios o contratistas de Cumbrera SAS, reportarán cualquier Incidente de Seguridad relacionado con las bases de datos personales tan pronto tengan conocimiento de su ocurrencia, mediante correo electrónico dirigido a: oficialdecumplimiento@cumbrera.co. A su vez, el área encargada por parte del Responsable del Tratamiento, deberá reportarlo a través del RNBD en caso de que se esté obligado a registrar las bases de datos en dicho registro, o en caso contrario, mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la Superintendencia de Industria y Comercio. Este reporte deberá realizarse dentro de los quince (15) días hábiles siguientes a la fecha en que se reciba la información al correo anteriormente indicado.

2. Verificación de los criterios establecidos en el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 -Decreto Único Reglamentario del Sector Comercio, Industria y Turismo