Política de Tratamiento de Información

CSP DE COLOMBIA LTDA. y STEEL CITY LTDA. (en adelante, conjuntamente, LAS COMPAÑÍAS), en su calidad de Responsables del Tratamiento de Datos Personales y, cuando corresponda, Encargadas del Tratamiento, reconocen la importancia de proteger el derecho fundamental al Habeas Data y adoptan la presente Política de Tratamiento de Datos Personales como instrumento corporativo del Programa Integral de Gestión de Datos Personales (PIGDP).

La Política da cumplimiento al Régimen de Protección de Datos Personales en Colombia, en especial, el artículo 15 y 20 de la Constitución Nacional, la Ley 1581 de 2012, decretos reglamentarios y a las demás disposiciones e instrucciones impartidas por la Superintendencia de Industria y Comercio (SIC) en materia de protección de Datos Personales

OBJETIVO

Establecer los principios, criterios, lineamientos, responsabilidades y procedimientos que deben observar LAS COMPAÑÍAS para garantizar el Tratamiento adecuado, lícito, seguro y transparente de los Datos Personales bajo su responsabilidad. En desarrollo de este propósito, la Política busca:

1. Garantizar a los Titulares el ejercicio pleno y efectivo de los derechos de conocer, actualizar, rectificar, suprimir sus Datos Personales, solicitar prueba de la autorización otorgada, revocar la autorización cuando sea procedente y acceder gratuitamente a la información que haya sido objeto de Tratamiento.
2. Informar de manera clara y oportuna a los Titulares sobre las finalidades del Tratamiento, los derechos que les asisten y los canales establecidos para ejercerlos.
3. Establecer las directrices para la recolección, almacenamiento, uso, circulación, transmisión, transferencia, conservación y supresión de los Datos Personales.
4. Definir las responsabilidades de LAS COMPAÑÍAS y de los terceros que intervengan en el Tratamiento de Datos Personales.
5. Promover el cumplimiento del Programa Integral de Gestión de Datos Personales (PIGDP) y del principio de Responsabilidad Demostrada (Accountability).

ALCANCE

Esta Política aplica a LAS COMPAÑÍAS, así como a todas las personas naturales o jurídicas que, por cuenta de estas, realicen el Tratamiento de Datos Personales en desarrollo de sus actividades.

Está dirigida a empleados, exempleados, aspirantes, aprendices, practicantes, clientes, proveedores, contratistas, socios, beneficiarios finales, visitantes y, en general, a cualquier Titular cuyos Datos Personales sean tratados por LAS COMPAÑÍAS.

Su aplicación comprende todas las bases de datos y archivos físicos, electrónicos, digitales y demás medios de almacenamiento o procesamiento de información, administrados directamente o por terceros que actúen como Encargados del Tratamiento, en Colombia o en el exterior.

Toda persona sujeta a esta Política deberá cumplir sus disposiciones y adoptar las medidas de seguridad, confidencialidad y cumplimiento normativo y por el Programa Integral de Gestión de Datos Personales (PIGDP).

GLOSARIO

1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales.
2. Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable del Tratamiento, dirigida al Titular, mediante la cual se le informa sobre la existencia de las políticas de Tratamiento de información, las formas de acceder a ellas y las finalidades del Tratamiento.
3. Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
4. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
5. Dato Público: Dato calificado como tal por la ley o la Constitución Política y que no sea semiprivado, privado o sensible. Incluye, entre otros, los datos relativos al estado civil, profesión u oficio y calidad de comerciante o servidor público, conforme a la normativa aplicable.
6. Dato Privado: Información que, por su naturaleza íntima o reservada, solo es relevante para el Titular.
7. Dato Semiprivado: Información que no tiene naturaleza íntima, reservada ni pública, y cuyo conocimiento o divulgación puede interesar no solo al Titular sino también a un sector determinado o a la sociedad, como ocurre con la información financiera, crediticia o comercial regulada por la Ley 1266 de 2008.
8. Dato Sensible: Información que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación, incluyendo datos relacionados con origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales o de derechos humanos, datos relativos a la salud, vida sexual y datos biométricos.
9. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
10. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la Base de Datos y/o el Tratamiento de los Datos.
11. Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
12. Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como recolección, almacenamiento, uso, circulación, transmisión, transferencia, actualización, conservación, anonimización o supresión.
13. Anonimización: Proceso técnico mediante el cual la información se transforma de forma irreversible para impedir la identificación del Titular.

RESPONSABLES DEL TRATAMIENTO

Los Responsables del Tratamiento son las siguientes compañías:

Razón Social: CSP DE COLOMBIA LTDA.

NIT: 900.517.378
Dirección y Domicilio principal: Kilómetro 7, Variante Malambo – Caracolí, Atlántico, Colombia
Sitio web: www.cspgroup.com
Correo electrónico: dcastelblanco@cspdirect.com
Teléfono: (605) 361 0441

Razón Social: STEEL CITY LTDA.
NIT: 900.491.107
Dirección y Domicilio principal: Kilómetro 7, Variante Malambo – Caracolí, Atlántico, Colombia
Sitio web: www.cspgroup.com
Correo electrónico: dcastelblanco@cspdirect.com
Teléfono: (605) 361 0441

LAS COMPAÑÍAS han designado al Oficial de Protección de Datos Personales, función ejercida por el Oficial de Cumplimiento, como responsable de dirigir y liderar la implementación del PIGDP y la atención de las peticiones, consultas y reclamos presentados por los Titulares para el ejercicio de sus derechos.

PRINCIPIOS RECTORES

El Tratamiento de Datos Personales realizado por LAS COMPAÑÍAS se regirá por los siguientes principios y por las medidas jurídicas, técnicas y administrativas necesarias para proteger la información y garantizar los derechos de los Titulares.

1. Principio de Legalidad,
2. Principio de Finalidad,
3. Principio de Libertad,
4. Principio de Veracidad o Calidad,
5. Principio de Transparencia,
6. Principio de Acceso y Circulación Restringida,
7. Seguridad,
8. Confidencialidad,
9. Responsabilidad Demostrada (Accountability),
10. Privacidad desde el Diseño y por Defecto,
11. Necesidad y Proporcionalidad.

CATEGORÍAS ESPECIALES DE DATOS

Los Datos Sensibles y los Datos Personales de niños, niñas y adolescentes requieren una protección reforzada. Su Tratamiento solo se realizará cuando sea legalmente procedente y estrictamente necesario, aplicando medidas especiales de seguridad, confidencialidad y acceso restringido.

1. Datos Sensibles

Se consideran Datos Sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, tales como los relacionados con:

1. Origen racial o étnico.
2. Orientación política.
3. Convicciones religiosas o filosóficas.
4. Pertenencia a sindicatos, organizaciones sociales, de derechos humanos o partidos políticos.
5. Datos relativos a la salud.
6. Vida sexual.
7. Datos biométricos.
8. Cualquier otra información que la ley considere sensible.
   
   

2. Tratamiento de Datos Sensibles

El Tratamiento de Datos Sensibles está prohibido, salvo en los casos expresamente autorizados por la ley y, cuando sea exigible, con la autorización explícita del Titular. En particular, podrá realizarse cuando:

1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
2. Sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar la autorización correspondiente.
3. Sean necesarios para reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
4. Tenga una finalidad histórica, estadística o científica. siempre que se adopten medidas conducentes a la supresión de la identidad de los Titulares.

2.1. Autorización especial de Datos Sensibles

Cuando sea necesario solicitar autorización para el Tratamiento de Datos Sensibles, se informará al Titular de manera previa, expresa y clara que:

1. No está obligado a autorizar su Tratamiento.
2. Se indicarán los Datos Sensibles que serán recolectados.
3. Se explicará la finalidad específica del Tratamiento
   
   

3. Derechos de los Niños, Niñas y Adolescentes (NNA)

El tratamiento de Datos Personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes requisitos:

1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.
   
   

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Este Tratamiento podrá realizarse, entre otros casos, para la administración de beneficiarios de empleados, programas de bienestar y el cumplimiento de obligaciones legales o contractuales.

TRATAMIENTO Y FINALIDADES

1. Tipos de Datos Personales en Posesión

LAS COMPAÑÍAS podrán recolectar y tratar Datos Personales de naturaleza pública, semiprivada, privada y sensible, de conformidad con las finalidades autorizadas y la normatividad vigente. Entre los tipos de Datos Personales que se pueden tratar se encuentran, entre otros, los siguientes:

1. Datos generales y específicos de identificación.
2. Datos de contacto y ubicación.
3. Datos relacionados con la actividad comercial y contractual.
4. Datos financieros, bancarios, crediticios y tributarios.
5. Datos de contenido socioeconómico.
6. Datos académicos, de formación e historial educativo.
7. Datos laborales y ocupacionales.
8. Datos relacionados con la afiliación y aportes al Sistema Integral de Seguridad Social, incluyendo EPS, AFP, ARL, fondos de cesantías y cajas de compensación familiar.
9. Datos de antecedentes judiciales, disciplinarios, fiscales y reputacionales, cuando su consulta y tratamiento estén legalmente autorizados.
10. Datos de socios, accionistas y beneficiarios finales.
11. Datos de navegación y de acceso a sistemas de información, tales como usuarios, direcciones IP, registros de acceso, credenciales, perfiles, logs de auditoría, trazabilidad y metadatos técnicos.
12. Datos biométricos, fotografías, imágenes y material audiovisual, incluyendo registros captados mediante sistemas de videovigilancia o generados en actividades corporativas, institucionales, de bienestar, capacitación y comunicación.
13. Datos relativos a la salud, medicina laboral y Seguridad y Salud en el Trabajo (SG-SST), incluyendo información contenida en exámenes médicos ocupacionales, restricciones médicas, incapacidades, accidentes de trabajo, enfermedades laborales, programas de vigilancia epidemiológica y demás Datos Sensibles, únicamente en los casos autorizados por la ley.
14. Datos de niños, niñas y adolescentes, cuando su Tratamiento sea necesario y legalmente procedente.

2. Recolección

Los Datos Personales se recolectan en desarrollo de su objeto social, de sus relaciones laborales, contractuales, comerciales y societarias, así como para el cumplimiento de obligaciones legales y regulatorias. La información podrá ser suministrada directamente por el Titular o por terceros legalmente autorizados.

Los mecanismos utilizados para la recolección de Datos Personales cumplen con los requisitos establecidos en la Ley Estatutaria 1581 de 2012 y demás normas aplicables, e incorporan, cuando sea necesario, la autorización previa, expresa e informada del Titular, en observancia de los principios de libertad y finalidad.

3. Almacenamiento

Los Datos Personales podrán almacenarse en archivos físicos, equipos de cómputo, servidores internos, sistemas de información, aplicaciones corporativas y servicios tecnológicos administrados directamente o por terceros que actúen como Encargados del Tratamiento, ubicados en Colombia o en el exterior. Se adoptarán medidas técnicas, administrativas, jurídicas y organizacionales razonables para proteger la información y garantizar el cumplimiento del principio de acceso y circulación restringida.

4. Uso y Finalidades del Tratamiento

Los Datos Personales podrán ser tratados para las finalidades, entre otras:

1. Gestionar relaciones laborales, contractuales, comerciales, societarias y administrativas.
2. Ejecutar procesos de selección, contratación, nómina, seguridad social, bienestar, capacitación y la administración de beneficiarios, cuando ello resulte necesario y legalmente procedente.
3. Gestionar el Sistema de Gestión de Seguridad y Salud en el Trabajo, incluyendo la realización de exámenes médicos ocupacionales, el seguimiento a condiciones de salud, la gestión de incapacidades y restricciones médicas, el reporte e investigación de incidentes, accidentes y enfermedades laborales, la ejecución de programas de vigilancia epidemiológica y el cumplimiento de las obligaciones legales aplicables.
4. Administrar relaciones con clientes, proveedores, contratistas y demás contrapartes.
5. Gestionar facturación, cartera, pagos, contabilidad, auditoría y cumplimiento tributario.
6. Realizar procesos de conocimiento de contrapartes y debida diligencia.
7. Ejecutar controles asociados con SAGRILAFT, PTEE, y otros sistemas de gestión de riesgos.
8. Consultar listas restrictivas, registros públicos y demás fuentes legalmente disponibles.
9. Atender peticiones, consultas, reclamos y requerimientos de autoridades.
10. Implementar controles de seguridad física, videovigilancia, biometría y seguridad de la información.
11. Realizar auditorías, investigaciones y actividades de control interno.
12. Desarrollar analítica de datos, estudios estadísticos y procesos de mejora continua.
13. Ejecutar comunicaciones corporativas, comerciales y de mercadeo previamente autorizadas, así como divulgar fotografías, imágenes y material audiovisual en medios internos, sitio web, redes sociales y demás canales corporativos para actividades de bienestar, cultura organizacional, reconocimiento y posicionamiento empresarial.
14. Gestionar cookies conforme a la Política de Cookies.
15. Proteger los activos, derechos e intereses legítimos de LAS COMPAÑÍAS.
    
    

5. Circulación

Los Datos Personales circularán internamente de manera restringida y únicamente entre las personas que requieran conocerlos para el cumplimiento de sus funciones y de las finalidades autorizadas.

Asimismo, podrán ser transmitidos o transferidos a terceros en Colombia o en el exterior, incluyendo matrices, subordinadas, filiales, subsidiarias o sociedades vinculadas, cuando ello sea necesario para el desarrollo de fines corporativos legítimos o para el cumplimiento de las finalidades informadas al Titular, siempre que se observen los principios, requisitos y garantías establecidos en la normatividad aplicable sobre protección de Datos Personales.

6. Supresión

La supresión de los Datos Personales se realizará una vez se hayan cumplido las finalidades que justificaron su Tratamiento o cuando el Titular lo solicite y ello sea legalmente procedente. No obstante, la información podrá conservarse cuando exista un deber legal o contractual de retención o cuando sea necesaria para fines probatorios, históricos o de auditoría.

Los Titulares de los Datos Personales podrán solicitar en cualquier momento a LAS COMPAÑÍAS la revocatoria total o parcial de la autorización otorgada para el Tratamiento de sus Datos Personales, así como la supresión total o parcial de la información cuando consideren que:

1. El Tratamiento no respeta los principios, derechos y garantías constitucionales y legales aplicables.
2. Los Datos Personales han dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
3. Se ha cumplido el término requerido para el tratamiento conforme a la finalidad informada.
4. No existe una base legal válida que justifique la continuidad del Tratamiento.
5. La solicitud deberá presentarse a través de los canales oficiales definidos en la presente Política y será tramitada conforme al procedimiento de reclamos establecido en ella.

La revocatoria de la autorización o la supresión de los Datos Personales no procederá, o podrá proceder únicamente de manera parcial, cuando:

1. Exista un deber legal o contractual que obligue a LAS COMPAÑÍAS a conservar la información.
2. La permanencia de los datos sea necesaria para el cumplimiento de obligaciones laborales, contables, tributarias, societarias, contractuales o regulatorias.
3. La información sea requerida para el ejercicio o defensa de derechos en procesos judiciales o administrativos.
4. La supresión afecte la integridad de registros históricos, probatorios o de auditoría que deban mantenerse conforme a la ley.
   
   

7. Medidas de Protección

Se han adoptado medidas técnicas, jurídicas, humanas y administrativas destinadas a proteger la confidencialidad, integridad y disponibilidad de los Datos Personales y a prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.  Entre los principales mecanismos de protección se encuentran:

1. La Política de Tratamiento de Datos Personales,
2. El Manual Interno de Políticas y Procedimientos,
3. Los acuerdos de confidencialidad en los contratos de trabajo y comerciales.
4. Las autorizaciones de tratamiento,
5. Los controles de acceso y las políticas de seguridad de la información.
   
   

8. Conservación

Los Datos Personales serán conservados únicamente durante el tiempo que resulte necesario para cumplir las finalidades informadas al Titular, atender obligaciones legales, contractuales, contables, tributarias, laborales, societarias, regulatorias y probatorias, así como para ejercer o defender sus derechos e intereses legítimos. Serán mantenidos mientras:

1. Subsista la finalidad legítima que justificó su Tratamiento.
2. Exista una relación vigente con el Titular.
3. Sea necesario cumplir obligaciones legales o contractuales.
4. Se requiera para atender reclamaciones, investigaciones o litigios.
5. Sea pertinente para fines históricos, estadísticos o de auditoría, previa aplicación de medidas de seguridad y, cuando corresponda, técnicas de anonimización.
   
   

Se conservará, durante los términos legalmente exigibles o razonablemente necesarios, las evidencias de:

1. Autorizaciones otorgadas por los Titulares.
2. Avisos de privacidad.
3. Consultas y reclamos.
4. Incidentes de seguridad.
5. Contratos con Encargados del Tratamiento.
6. Reportes y auditorías del PIGDP.
   
   

Una vez cumplidas las finalidades y vencidos los plazos de conservación aplicables, se procederán, según corresponda, a:

1. Suprimir de manera segura la información.
2. Anonimizar los datos.
3. Inactivar y Bloquear temporalmente su uso.
4. Archivar la información en condición de acceso restringido.
5. Destruir los soportes físicos o electrónicos conforme a procedimientos controlados.

9. Autorización para el Tratamiento de Datos Personales

Será solicitada la autorización del Titular de manera previa, expresa e informada, cuando esta sea requerida por la ley, utilizando mecanismos físicos o electrónicos que permitan conservar prueba de su otorgamiento y posterior consulta.

Queda prohibido recolectar o tratar Datos Personales sin contar con una base legal válida, salvo en los casos expresamente autorizados por la ley.

La solicitud de autorización deberá informar, como mínimo:

1. La identidad y datos de contacto de LAS COMPAÑÍAS.
2. Las finalidades específicas del Tratamiento.
3. Los derechos que asisten al Titular.
4. Los canales habilitados para el ejercicio de dichos derechos.
5. La referencia a la presente Política y la forma de consultarla.
   
   

1. Casos en los que No se Requiere Autorización

No será necesaria autorización del Titular cuando se trate de:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
2. Datos de naturaleza pública.
3. Casos de urgencia médica o sanitaria.
4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
5. Datos relacionados con el Registro Civil de las Personas.

TRANSFERENCIA Y TRANSMISIÓN DATOS PERSONALES

LAS COMPAÑÍAS solo realizarán la transferencia de Datos Personales a terceros países cuando estos proporcionen niveles adecuados de protección de datos, de acuerdo con los estándares fijados por la Superintendencia de Industria y Comercio. Para los casos en que el país receptor no cuente con dicho nivel, LAS COMPAÑÍAS implementarán los instrumentos jurídicos que garanticen la seguridad de la información, tales como contratos de transmisión o transferencia con cláusulas tipo o solicitarán la declaración de conformidad a la autoridad de control cuando sea necesario.

1. Transmisión de Datos Personales

La transmisión ocurre cuando un tercero actúa como Encargado del Tratamiento por cuenta del responsable del tratamiento, siguiendo sus instrucciones y sin adquirir la calidad de Responsable del Tratamiento. En estos casos, se suscribirán los acuerdos o contratos requeridos por la normatividad vigente, en los cuales se establecerán, entre otros aspectos:

1. El alcance del Tratamiento autorizado.
2. Las actividades que el Encargado podrá realizar.
3. Las obligaciones de confidencialidad y seguridad.
4. Las restricciones sobre uso, divulgación y
5. subcontratación.
6. Las condiciones de atención de incidentes y requerimientos.
7. Los mecanismos de devolución, supresión o anonimización de la información.
8. Los derechos de supervisión y auditoría.

2. Transferencia de Datos Personales

La transferencia se configura cuando los Datos Personales son enviados a un tercero que actúa como Responsable del Tratamiento y decide de manera autónoma sobre la información recibida. Se verificará, cuando sea aplicable, que el receptor cumpla con las exigencias del régimen colombiano de protección de Datos Personales y que la operación esté amparada por una base legal válida.

3. Transferencias Internacionales

Previo a cualquier transferencia internacional, LAS COMPAÑÍAS deberán:

1. Verificar si el país receptor cuenta con el nivel adecuado de protección declarado por la SIC.
2. En caso negativo, se debe implementar al menos uno de los siguientes mecanismos:
   1. Cláusulas contractuales de protección de datos,
   2. Autorización expresa e informada del Titular,
   3. Garantías corporativas vinculantes
3. Documentar el análisis de transferencia internacional
   
   

Se prohíben transferencias sin evaluación previa documentada.

Cuando la información sea transferida o transmitida a terceros ubicados fuera de Colombia, se evaluará previamente la naturaleza de la operación y adoptarán las garantías requeridas por la legislación colombiana, incluyendo:

1. Verificación del nivel adecuado de protección cuando sea exigible.
2. Aplicación de excepciones legales expresamente autorizadas.
3. Suscripción de acuerdos contractuales con obligaciones de privacidad y seguridad.
4. Implementación de controles técnicos y organizacionales apropiados.
   
   

Las transferencias internacionales podrán realizarse, entre otros casos, para el uso de servicios tecnológicos, almacenamiento en la nube, soporte técnico, auditorías, procesos corporativos o relaciones con sociedades vinculadas nacionales o extranjeras.

DERECHOS DE LOS TITULARES DE DATOS PERSONALES

Los Titulares tienen derecho a:

1. Conocer, actualizar y rectificar sus Datos Personales frente al Responsable del Tratamiento o a los Encargados del Tratamiento. Este derecho podrá ejercerse, entre otros casos, respecto de datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o cuyo Tratamiento esté prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada para el Tratamiento, salvo cuando expresamente la ley exceptúe dicho requisito.
3. Ser informados, previa solicitud, respecto del uso que se ha dado a sus Datos Personales.
4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones al régimen de protección de Datos Personales, una vez agotado el trámite de consulta o reclamo, cuando ello resulte aplicable.
5. Revocar la autorización otorgada y/o solicitar la supresión de sus Datos Personales cuando no se respeten los principios, derechos y garantías constitucionales y legales.
6. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento. 
7. Abstenerse de responder preguntas sobre Datos Sensibles o sobre Datos Personales de niños, niñas y adolescentes. En estos casos, se informará el carácter facultativo de las respuestas.
   
   

El titular tiene las siguientes facultades:

1. Actualización: Solicitar la actualización de sus Datos Personales cuando estos se encuentren desactualizados, incompletos o fragmentados.
2. Rectificación o corrección: Solicitar la corrección de sus Datos Personales cuando sean inexactos, parciales o puedan inducir a error.
3. Supresión: Solicitar la eliminación de sus Datos Personales de las bases de datos utilizadas para fines publicitarios o de mercadeo, sin perjuicio de la conservación de aquella información que deba mantenerse por mandato legal o contractual.
4. Revocación: Solicitar la revocatoria de la autorización otorgada para el Tratamiento de sus Datos Personales con fines publicitarios o de mercadeo, cuando ello resulte legalmente.

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

Se cumplirán los deberes previstos en la ley tanto cuando se actúe como Responsable del Tratamiento como cuando, de manera excepcional, se actúe como Encargado del Tratamiento por cuenta de terceros.

1. Deberes de los Responsables del Tratamiento

En calidad de Responsables del Tratamiento, deberán:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.
2. Solicitar y conservar, en las condiciones previstas en la ley, copia de respectiva autorización otorgada por el Titular.
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información suministrada a los Encargados sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
10. Tramitar las consultas y reclamos formulados en los términos señalados en ley.
11. Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso de sus datos.
14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos impartidos por la Superintendencia de Industria y Comercio.

2. Deberes de los Encargados del Tratamiento

Cuando se actúe como Encargadas del Tratamiento por cuenta de terceros, deberán cumplir:

1. Garantizar al Titular el pleno y efectivo ejercicio del derecho de habeas data.
2. Conservar la información bajo condiciones adecuadas de seguridad.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos.
4. Tramitar consultas y reclamos conforme a la ley.
5. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
6. Registrar en la base de datos la leyenda “reclamo en trámite” cuando corresponda.
7. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal; 
8. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
9. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
10. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
11. Cumplir las instrucciones impartidas por el Responsable del Tratamiento y por la SIC.
    
    

En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno. 

3. Gestión de Encargados Externos

Se exigirá a los terceros que actúen como Encargados del Tratamiento la suscripción de contratos o acuerdos que regulen, como mínimo:

1. El alcance del Tratamiento autorizado.
2. Las finalidades y limitaciones aplicables.
3. Las obligaciones de confidencialidad y seguridad.
4. Las reglas para subcontratación.
5. La atención de incidentes y requerimientos.
6. Las condiciones de devolución o eliminación de la información al finalizar la relación contractual.
7. Los derechos de auditoría y seguimiento por parte de LAS COMPAÑÍAS.

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

Podrán presentar consultas y reclamos las siguientes personas:

1. El Titular de los Datos Personales.
2. Sus causahabientes o representantes legales debidamente acreditados.
3. Los apoderados o terceros expresamente autorizados por el Titular.
4. Las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
5. Cualquier otra persona legitimada por la ley para ejercer los derechos relacionados con la protección de Datos Personales.
   
   

Lo anterior incluye, entre otros, empleados, exempleados, aspirantes, clientes, proveedores, contratistas, socios, beneficiarios finales y demás titulares cuya información repose en las bases de datos de LAS COMPAÑÍAS.

Los casos anteriores son enunciativos y no limitan el derecho de cualquier persona legitimada conforme a la ley para ejercer los derechos de habeas data.

Para la atención de consultas y reclamos, el Titular deberá acreditar su identidad y suministrar la información necesaria para tramitar la solicitud.

1. Nombres y apellidos completos.
2. Tipo y número de documento de identificación.
3. Dirección física o de correspondencia.
4. Número de teléfono de contacto.
5. Correo electrónico.
6. Suministrar la información para tramitar su solicitud.

Cuando se trate de un reclamo, deberán adjuntarse los documentos o soportes que sustenten los hechos y las pretensiones formuladas.

Si la solicitud es presentada en representación del Titular, deberán aportarse los documentos que acrediten la calidad de representante, apoderado o causahabiente.

En el caso de niños, niñas y adolescentes, la solicitud deberá ser presentada por sus representantes legales o por las personas legalmente facultadas para actuar en su nombre, sin perjuicio del respeto y garantía de sus derechos fundamentales.

1. Procedimiento para atender Consultas

Cuando la solicitud tenga por objeto conocer la información personal del Titular contenida en las bases de datos de LAS COMPAÑÍAS, verificar la existencia de la autorización otorgada, conocer las finalidades del Tratamiento o consultar el uso dado a sus Datos Personales, esta se tramitará como una consulta.

Cuando la consulta no reúna la información necesaria para acreditar la identidad del solicitante o para determinar con claridad su alcance, LAS COMPAÑÍAS podrán requerir información adicional dentro de los dos (2) días hábiles siguientes a su recepción.

Las consultas que cumplan con los requisitos establecidos serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.

Si no fuere posible atender la consulta dentro de dicho término, se informará al interesado, antes del vencimiento del plazo inicial, los motivos de la demora y la fecha en que se dará respuesta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Si transcurre un (1) mes desde el requerimiento de información adicional sin que el solicitante aporte la documentación o información solicitada, se entenderá que ha desistido de la consulta y esta podrá ser archivada.

2. Procedimiento de Reclamos

Cuando la solicitud tenga por objeto actualizar, rectificar, corregir, suprimir los Datos Personales o revocar la autorización otorgada para su Tratamiento, o cuando el Titular considere que existe un presunto incumplimiento del régimen de protección de Datos Personales, esta se tramitará como un reclamo. Deberá contener, como mínimo:

1. Nombre completo del Titular y, cuando corresponda, de su representante o causahabiente.
2. Descripción clara y precisa de los hechos y de la solicitud, indicando la información que se pretende actualizar, rectificar, suprimir o la autorización que se desea revocar.
3. Dirección física o electrónica y número de teléfono de contacto.
4. Copia del documento de identidad del Titular o de los documentos que acrediten la representación o el interés legítimo, cuando sea aplicable.
5. Presentación de la solicitud a través de los canales oficiales habilitados para tal fin.
   
   

Si el reclamo se encuentra incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las fallas o aporte la información necesaria para acreditar su identidad y legitimación.

Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información solicitada, se entenderá que ha desistido del reclamo.

Una vez recibido el reclamo completo, se incluirán en la base de datos correspondiente, dentro de los dos (2) días hábiles siguientes, la leyenda “Reclamo en trámite”, la cual permanecerá hasta que el mismo sea resuelto.

Los reclamos serán atendidos en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.

Cuando no sea posible atender el reclamo dentro de dicho término, se informará al interesado, antes del vencimiento del plazo inicial, los motivos de la demora y la fecha en que se dará respuesta, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Cuando, como resultado del trámite de un reclamo, se determine que la solicitud de supresión de Datos Personales es procedente, LAS COMPAÑÍAS adoptarán las medidas técnicas, administrativas y organizacionales necesarias para eliminar, anonimizar o bloquear el Tratamiento activo de la información, de manera que no pueda continuar siendo utilizada para las finalidades respecto de las cuales se aceptó la solicitud.

El Titular o interesado solo podrá presentar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante LAS COMPAÑÍAS, cuando ello sea exigido por la normatividad aplicable.

3. Canales Habilitados para el ejercicio del derecho de Habeas Data.

Correo electrónico: oficial.privacidad@t360.com.co 
Formulario web: disponible en www.cspgroup.com, sección Compliance.
Dirección física: Kilómetro 7, Variante Malambo – Caracolí, Atlántico, Colombia, en horario de atención al público de lunes a viernes de 8:00 a.m. a 4:00 p.m.
Atención interna para trabajadores: A través del área de Gestión Humana o del canal corporativo definido para tal efecto.

Asimismo, se podrán implementar mecanismos de autenticación y validación de identidad para verificar la legitimidad del solicitante y proteger la confidencialidad de la información antes de suministrar cualquier respuesta.

RESPONSABLE DEL CUMPLIMIENTO DE LA POLÍTICA

El área de Cumplimiento bajo la dirección del Oficial de Cumplimiento es la responsable del efectivo cumplimiento de la presente Política y de gestionar la atención de las peticiones, consultas y reclamos relacionados con el Tratamiento de Datos Personales de los Titulares. Para cualquier inquietud relacionada con esta Política, podrá comunicarse a través del correo electrónico oficial.privacidad@t360.com.co o mediante los demás canales de atención habilitados para ejercer su derecho de habeas data.

REGISTRO NACIONAL DE BASES DE DATOS (RNBD)

Se dará cumplimiento a las obligaciones relacionadas con el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio, incluyendo la inscripción, actualización y reporte de novedades e incidentes de seguridad de la información, de conformidad con las instrucciones vigentes impartidas por la SIC.

LAS COMPAÑÍAS mantendrán un inventario actualizado de todas las bases de datos bajo su responsabilidad, el cual incluirá como mínimo:

1. Nombre de la base de datos
2. Finalidad del tratamiento
3. Tipo de datos (públicos, privados, sensibles)
4. Categoría de titulares
5. Área responsable
6. Ubicación (física o digital)
7. Encargados del tratamiento
8. Estado de inscripción en el RNBD
   
   

Este inventario se actualizará mínimo una vez al año o cuando se presenten cambios sustanciales.

GESTIÓN DE COOKIES

Se utilizan cookies en los sitios web, aplicaciones y plataformas digitales para fines de autenticación, seguridad, análisis estadístico, personalización, medición del desempeño, mejora de la experiencia del usuario y, cuando corresponda, actividades de mercadeo y comunicación.

Cuando dichas tecnologías impliquen el Tratamiento de Datos Personales, LAS COMPAÑÍAS informarán al usuario sobre:

1. Los tipos de cookies utilizadas y su clasificación.
2. Las finalidades específicas del Tratamiento.
3. El tiempo de conservación de la información.
4. Los terceros que puedan acceder a la información recolectada.
5. Los mecanismos para aceptar, rechazar, configurar o revocar las preferencias de cookies.
6. La forma de consultar la Política de Cookies y la presente Política de Tratamiento de Datos Personales.
   
   

Se obtendrá la autorización del Titular cuando sea legalmente exigible y se mantendrán mecanismos razonables para gestionar las preferencias del usuario.

CONTROL DE ACCESO Y VIDEOVIGILANCIA

LAS COMPAÑÍAS cuentan con sistemas de videovigilancia y otros mecanismos de control de acceso con el fin de proteger a las personas, los bienes, las instalaciones y la información, así como prevenir incidentes de seguridad y servir como soporte probatorio ante las autoridades competentes.

El Tratamiento de las imágenes y demás datos asociados se realizará conforme a la Ley Estatutaria 1581 de 2012 y a la Guía para la Protección de Datos Personales en Sistemas de Videovigilancia expedida por la Superintendencia de Industria y Comercio.

En las zonas monitoreadas se instalarán Avisos de Privacidad visibles, y el acceso a las grabaciones estará restringido al personal autorizado.

Las grabaciones se conservarán por un término máximo de treinta (30) días calendario. No obstante, cuando las imágenes constituyan evidencia o soporte de investigaciones internas, reclamaciones, procesos disciplinarios, administrativos o judiciales, podrán conservarse hasta la finalización del asunto que justifique su retención.

Las imágenes serán eliminadas de manera segura una vez vencido el período de conservación aplicable, salvo que exista un deber legal o contractual que exija su preservación por un término superior.

SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE INCIDENTES

LAS COMPAÑÍAS adoptarán medidas jurídicas, administrativas, técnicas y organizacionales razonables y proporcionales al nivel de riesgo, con el fin de proteger los Datos Personales contra pérdida, uso indebido, acceso no autorizado, alteración, divulgación, destrucción o cualquier otro tratamiento no autorizado o fraudulento.

Estas harán parte integral del PIGDP, de la Gestión de Seguridad de la Información, de las políticas de seguridad de la información y de los demás sistemas corporativos de gestión y control. Se implementarán procedimientos para:

1. Gestión de identidades y control de accesos físicos y lógicos.
2. Autenticación multifactor.
3. Cifrado, seudonimización y anonimización, cuando resulte apropiado.
4. Copias de seguridad y planes de continuidad del negocio.
5. Monitoreo de redes, sistemas y registros de auditoría.
6. Clasificación y retención de la información.
7. Acuerdos de confidencialidad y cláusulas contractuales.
8. Programas de capacitación y sensibilización.
   
   

1. Gestión de Incidentes de Seguridad

Todo evento que comprometa o pueda comprometer la confidencialidad, integridad o disponibilidad de los Datos Personales deberá ser reportado inmediatamente a los responsables designados para la gestión de incidentes de seguridad.

Los empleados, contratistas y terceros con acceso a Datos Personales deberán cumplir las políticas de seguridad de la información y reportar oportunamente cualquier situación que pueda comprometer la privacidad o seguridad de la información. Para tal efecto se implementarán procedimientos para:

1. Detectar, contener, investigar y corregir incidentes.
2. Evaluar el impacto y los riesgos asociados.
3. Documentar las causas y acciones correctivas.
4. Adoptar medidas preventivas para evitar recurrencia.
5. Reportar a la SIC los incidentes de seguridad cuando así lo exija la normatividad vigente.
   
   

2. Reporte a la SIC

Todo incidente que comprometa Datos Personales deberá:

1. Ser documentado en máximo 24 horas internas
2. Evaluado en máximo 72 horas
3. Reportado a la SIC en máximo 15 días hábiles cuando se aplica.
   
   

Se deberá mantener evidencia de:

1. Análisis de impacto
2. Acciones correctivas
3. Comunicación a titulares (si aplica)

EVALUACIONES DE IMPACTO EN PRIVACIDAD

Con el fin de fortalecer el principio de Responsabilidad Demostrada (Accountability), podrán realizarse Evaluaciones de Impacto en Privacidad (Privacy Impact Assessment – PIA o Data Protection Impact Assessment – DPIA) cuando el Tratamiento de Datos Personales, por su naturaleza, alcance, contexto o finalidad, pueda representar un riesgo alto o significativo para los derechos de los Titulares.

Podrán considerarse, entre otros casos, cuando se implementen nuevas tecnologías, se traten Datos Sensibles, Datos Biométricos o Datos Personales de niños, niñas y adolescentes, se realicen transferencias internacionales, se incorporen procesos de perfilamiento o decisiones automatizadas, o se identifiquen riesgos relevantes para la privacidad. Su inclusión en esta Política no implica la obligación de realizarlas en todos los casos, sino únicamente cuando, como resultado del análisis correspondiente, se determine que el Tratamiento puede generar riesgos altos o significativos para la privacidad.

Asimismo, se aplicarán los principios de Privacidad desde el Diseño y por Defecto en la planeación, desarrollo y modificación de procesos, proyectos, productos, servicios y tecnologías que impliquen el Tratamiento de Datos Personales, con el fin de asegurar que solo se recolecte y trate la información estrictamente necesaria y que se implementen controles adecuados para su protección.

COMUNICACIÓN DE CAMBIOS SUSTANCIALES A LA POLÍTICA

Cuando se introduzcan modificaciones sustanciales a la presente Política de Tratamiento de Datos Personales, informarán oportunamente a los Titulares a través de medios idóneos, tales como la publicación en el sitio web corporativo www.cspgroup.com o cualquier otro mecanismo que garantice su adecuada divulgación.

Se entenderá por cambio sustancial toda modificación que afecte, entre otros aspectos, las finalidades del Tratamiento, los tipos de Datos Personales recolectados, los derechos de los Titulares, la identificación del Responsable del Tratamiento, las condiciones de circulación de la información o los canales y procedimientos para el ejercicio de los derechos.

Cuando la modificación implique una nueva finalidad o un cambio que, de conformidad con la ley, requiera obtener nuevamente la autorización del Titular, se solicitará dicha autorización antes de iniciar el nuevo Tratamiento.

CAMBIOS RESPECTO A LA VERSIÓN ANTERIOR

Las modificaciones incorporadas en la presente versión de la Política de Tratamiento de Datos Personales se identifican mediante resaltado en color gris dentro del texto del documento, con el fin de facilitar su ubicación, revisión y comparación frente a la versión inmediatamente anterior. Una vez la presente versión sea aprobada y entre en vigencia, dicho resaltado podrá retirarse sin que ello afecte la validez, integridad o aplicabilidad del documento.

APROBACIÓN Y ENTRADA EN VIGENCIA

Esta política de tratamiento de Información entró en vigor el día tres (03) del mes de septiembre del año dos mil dieciocho (2018). Aprobada por los Representantes Legales de LAS COMPAÑÍAS.

Actualizaciones realizadas: años 2021, 2024 y 2026.

Fecha actualización: treinta (30) de abril de dos mil veintiséis (2026).
Última versión: 4.0.

La presente Política se interpretará y aplicará de conformidad con la Constitución Política de Colombia, en especial sus artículos 15 y 20, la Ley Estatutaria 1581 de 2012, el Decreto Único Reglamentario 1074 de 2015, las instrucciones impartidas por la Superintendencia de Industria y Comercio y las demás normas que regulen o complementen el régimen de protección de Datos Personales en Colombia. En caso de incompatibilidad, contradicción o conflicto entre lo dispuesto en esta Política y las normas legales o reglamentarias vigentes, prevalecerán estas últimas de acuerdo con el principio de jerarquía normativa.

Aprobada por: MSD | Representante Legal.
Elaborada y Revisada: JVF | Oficial de Cumplimiento.