Está en la página 1de 17

MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA

EL TRATAMIENTO DE PROTECCIÓN DE DATOS PERSONALES

COMERCIAL ALLAN S.A.S.

Publicación: Última Revisión:

TABLA DE CONTENIDO

1. INTRODUCCION 1

2. OBJETIVO 4

3. ALCANCE 6

4. RESPONSABLES 6

5. POLITICA 7

6. RIESGOS 8

7. TRATAMIENTO BASES DE DATOS 9

8. DIAGRAMA DE FLUJO

9. DOCUMENTOS RELACIONADOS

10. GLOSARIO DE TÉRMINOS


1. INTRODUCCIÓN

Comercial Allan S.A.S, sociedad comercial identificada con el NIT 860053831 - 1, con domicilio
principal en la Autopista Medellín, Kilometro 1.8, costado sur, Parque Industrial Soko, Bodega 4,
Cota (Cundinamarca, Colombia) (en adelante, “LA COMPAÑÍA”, “Helados Popsy” o “Comercial
Allan”), reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos
personales de sus trabajadores, clientes, proveedores y, en general, de todos sus agentes de
interés respecto de los cuales ejerce tratamiento, por lo que en cumplimiento a los mandatos
constitucionales y legales, adoptamos el siguiente documento que contiene el Manual de Políticas y
Procedimientos Internos de Protección de Datos Personales y Privacidad.

2. OBJETIVO

El presente Manual tiene por objeto proteger el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
las bases de datos o archivos de propiedad de LA COMPAÑÍA, o cuyo tratamiento ha sido
encargado a LA COMPAÑÍA, en desarrollo y cumplimiento de su objeto social, así como los demás
derechos, libertades y garantías constitucionales a que se refieren los artículos 15 (derecho a la
intimidad) y 20 (derecho a la información) de la Constitución Política de Colombia.
En este manual de políticas de tratamiento de datos personales usted encontrará los lineamientos
generales legales y corporativos para la aplicación, monitoreo, sostenimiento y mejor continua de
las políticas y procedimientos bajo los cuales LA COMPAÑÍA realiza el Tratamiento de sus datos,
las Finalidades, sus derechos como titular, así como los procedimientos internos y externos que
existen para el ejercicio de tales derechos ante LA COMPAÑÍA.

LA COMPAÑÍA entiende por protección de datos todas aquellas medidas que tomamos, tanto a
nivel físico, técnico como jurídico para garantizar que la información de los Titulares –personas
naturales- (proveedores, clientes, empleados, ex empleados, etc.) registrados en la base de datos
de LA COMPAÑÍA, esté segura de cualquier ataque o intento de acceder a ella por parte de
personas no autorizadas, así como que su uso y conservación sea adecuado a las Finalidades
establecidas para la recolección de los Datos Personales.

Este manual tiene como objetivo dar cumplimiento a la legislación vigente en materia de protección
de datos, en especial la Ley 1581 de 2012, el capítulo 25 del decreto 1074 de 2015, el Decreto
1377 de 2013 y demás normas concordantes, así como todas aquellas que los modifiquen,
adicionen, complementen o desarrollen.

3. ALCANCE

El presente Manual Interno de Políticas y Procedimientos para el Tratamiento de Protección de Formatted: Justified
Datos Personales La presente Política de Tratamiento de Datos Personales está dirigidoa a todos los
que tengan o hayan tenido alguna relación con LA COMPAÑÍA: a saber, empleados, ex
empleados, proveedores, clientes tanto activos como inactivos o cualquier tercero cuyos Datos
Personales se encuentran incluidos en las Bases de Datos de LA COMPAÑÍA.

4. RESPONSABLES

FUNCIÓN ROL
Elabora el manual Director de IT- Director Legal Commented [j1]: Propongo hablemos del Oficial de Privacidad
Revisa el manual Gerencia administrativa y financiera (Iván, Karen y Ximena.)

Aprueba el manual Gerencia General


Evento de escalamiento ROL
Primer nivel de escalamiento Director de IT- Director Legal
Segundo nivel de escalamiento Gerencia administrativa y financiera
Tercer nivel de escalamiento Gerencia General

5. POLITICA
LA COMPAÑÍA cuenta con un lineamiento organizacional tomando como base la “Política de
seguridad de la información” un espacio para la protección de datos personales:

2.8 Protección de la información


Todo funcionario del grupo empresarial es responsable de proteger la confidencialidad e integridad
de la información y debe tener especial cuidado en el uso de los diferentes medios para el
intercambio de la misma, que puedan generar una divulgación o modificación no autorizada.

6. RIESGOS
Con base en la Matriz de riesgo de bases de datos es extrae esta información para verificar los
riesgos.

Descripción del Impacto Probabilidad Valoración Responsable Plan de manejo


riesgo (Eludir, mitigar,
transferir, asumir)
Reproducción de
bases de datos a
terceros

7. TRATAMIENTO BASES DE DATOS

BASE DE DATOS CLIENTES


Definición Descripción
Recolección El área Comercial es la encargada de recolectar información de prospectos
y/o clientes.
En cada caso y de acuerdo a la normatividad aplicable al protocolo, se
solicita al Titular su autorización para recolectar sus datos personales, salvo
los que por ley no sea requerido el otorgamiento de dicha autorización.
Metodología de La recolección de datos básicos se realiza a mediante internet, páginas web
recolección de compañías, contactos web y telefónicos, datos referenciados agentes
comerciales y terceros.

Herramientas de Se utiliza como herramienta un formato en Excel protegido para recopilar


recolección datos importantes que posteriormente se trasladan al ERP.
Almacenamiento El lugar donde se guardan las bases de datos para uso exclusivo de personal
calificado es plataforma ERP que automáticamente se guarda en el
datacenter de la compañía.
Procedimiento de
almacenamiento
Uso de datos Se garantiza que los datos recaudados de clientes efectivos se usan para
registrar en el ERP y posterior consulta por las áreas autorizadas para fines
contables, tributarios, Cartera y Mercadeo.
Se garantiza que los prospectos de cliente que no prosperan en la labor
comercial son eliminados de las herramientas utilizadas de recolección.

Circulación Los datos privados no serán publicados en internet u otros medios de


divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas a través del ERP, salvo la debida
autorización otorgada por el titular.
El consolidado de la base de datos se encuentra en un servidor protegido con
medidas tecnológicas de protección, protocolos y todo tipo de medidas
administrativas necesarias para otorgar seguridad a los registros y
repositorios electrónicos evitando su adulteración, modificación, perdida,
consulta externa y en general en contra de cualquier uso o acceso no
autorizado.
Procedimiento de
circulación

Derechos titular El área encargada de suministrar información a los titulares (Clientes y


prospectos) de datos personales, será el área Legal de la compañía; así
como de actualizar, rectificar y suprimir información que repose en las bases
de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos de
Acceso, consulta, reclamo y rectificación. se pide la presentación o envío del
documento de identificación vía electrónica que lo acredite como titular de la
información para proceder con la solicitud realizada.

Procedimiento derechos
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y Formatted: Not Highlight
Titular supresión) se presentaran vía electrónica al correo Formatted: Justified, Indent: Hanging: 0.1", No bullets or
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista numbering
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos: Formatted: Font: Verdana, 10 pt
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
 Padres de familia: Registro civil de nacimiento y
documento de identidad.
 Tutores: Sentencia judicial que confiere representación
legal.
 Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar Formatted: Indent: Left: -0.14", Hanging: 0.1", No bullets
a la Petición, el Reclamo, o consulta, de los datos personales que el titular or numbering
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos Formatted: Font: Verdana, 10 pt
Notificación vía correo electrónico de la ejecución de conocer, actualizar,
rectificar y suprimir información en la plataforma ERP.
Finalidad de recolección La finalidad de LA COMPAÑÍA para utilizar los datos personales de los
de datos clientes y prospectos es comunicar información relacionada con los
productos, eventos y servicios, estudios de mercadeo, procesos de auditoría
interna y externa, encuestas de opiniones sobre bienes y servicios,
respuestas PQR’s, para el desarrollo de operaciones recaudo de cartera,
tesorería, contabilidad y cobros.
Consulta de información histórica en bases de datos públicas.
Temporalidad Para clientes sin movimiento los datos privados deben permanecer acorde al
tiempo estipulado por estatuto tributario por 5 años atrás. Una vez vencidos
los 5 años se deberán eliminar los datos privados del Titular.
Para prospectos los datos personales serán suprimidos en tiempo no mayor a
### en compañía del área de contraloría.
BASE DE DATOS PROVEEDORES
Definición Descripción
Recolección El área de compras es la encargada de recolectar información de los
proveedores que estén en capacidad de suministrar productos, bienes y/o
servicios.
En cada caso y de acuerdo a la normatividad aplicable al protocolo, se
solicita al Titular su autorización para recolectar sus datos personales, salvo
los que por ley no sea requerido el otorgamiento de dicha autorización.
Metodología de La recolección de datos básicos se realiza a mediante internet, páginas web
recolección de compañías, contactos web y directorios telefónicos, datos referenciados
por la gerencia interesada y/o terceros.
Herramientas de Se utiliza como herramienta un formato en Excel protegido para recopilar
recolección datos importantes que posteriormente se trasladan al ERP.
Almacenamiento Lugar donde se guardan las bases de datos para uso exclusivo de personal
calificado: Plataforma ERP que automáticamente se guarda en el datacenter
de la compañía.
Procedimiento de
almacenamiento FORMATO REGISTRO DE PROVEDORES - SOLICITUD CREACION BD ---

Uso de datos Los datos recolectados se definirán como seleccionados y no seleccionados.


Se garantiza que los datos recaudados de proveedores seleccionados se usan
para registrar en el ERP y posterior consulta por las áreas autorizadas para
fines contables, tributarios, Cartera y Mercadeo.

Circulación Los datos privados no serán publicados en internet u otros medios de


divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas a través del ERP, salvo la debida
autorización otorgada por el titular.
El consolidado de la base de datos se encuentra en un servidor protegido con
medidas tecnológicas de protección, protocolos y todo tipo de medidas
administrativas necesarias para otorgar seguridad a los registros y
repositorios electrónicos evitando su adulteración, modificación, perdida,
consulta externa y en general en contra de cualquier uso o acceso no
autorizado.
Procedimiento de
circulación

Derechos titular El área encargada de suministrar información a los titulares (Proveedores) de


datos personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos de
Acceso, consulta, reclamo y rectificación.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, se pide la presentación o envío del documento de
identificación vía electrónica que lo acredite como titular de la información
para proceder con la solicitud realizada.

Procedimiento derechos
titular

Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
 Padres de familia: Registro civil de nacimiento y
documento de identidad.
 Tutores: Sentencia judicial que confiere representación
legal.
 Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar a
la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
Notificación vía correo electrónico de la ejecución de conocer, actualizar,
rectificar y suprimir información en la plataforma ERP.
Finalidad de recolección La finalidad de LA COMPAÑÍA para utilizar los datos personales de los
de datos clientes y prospectos es comunicar información relacionada con los
productos, eventos y servicios, estudios de mercadeo, procesos de auditoría
interna y externa, encuestas de opiniones sobre bienes y servicios,
respuestas PQR’s, para el desarrollo de operaciones recaudo de cartera,
tesorería, contabilidad y cobros y pagos.
Consulta de información histórica en bases de datos públicas.
Temporalidad Los seleccionados tendrán una temporalidad indefinida, mientras exista la
relación contractual con el proveedor. Los no seleccionados tendrán una
temporalidad limitada a ********, caducado este tiempo los datos serán
destruidos con acompañamiento del área de contraloría.
BASE DE DATOS EMPLEADOS
Definición Descripción
Recolección La recolección de la información de empleados así como de los aspirantes a
vacantes, será diferenciada así: antes, durante y después de la relación
laboral.
 Antes: LA COMPAÑÍA informara de manera anticipada a los
participantes en el proceso de selección, las reglas que se aplican al
tratamiento de los datos personales que suministre el aspirante, de
igual manera los datos que se obtengan durante el proceso de
selección. Una vez termine el proceso de selección, se informará el
resultado negativo.
La información que se obtenga de quienes no fueron seleccionados,
resultados de pruebas sicotécnicas y entrevistas serán eliminados de
los sistemas de información. La finalidad de la entrega de los datos se
limita a la participación en el proceso de selección, por tal razón
cualquier uso diferente está prohibido.

 Durante: Los datos personales obtenidos en el proceso de selección


de los empleados se almacenaran en una carpeta identificada con el
nombre de cada uno. Esta carpeta física o digital solo será consultada Formatted: Highlight
y manejada custodiada por el área de Contratación Gestión humanay
nomina con la finalidad de administrar la relación contractual entre la
compañía y el empleado. El uso de la información de los empleados
para fines diferentes a la administración de la relación contractual
entre LA COMPAÑÍA y el empleado está prohibido, El uso diferente de
los datos e información personal de los empleados solo procederá por
orden de autoridad competente, siempre que este facultada para ello.
Le corresponderá a el área Legal evaluar la competencia y eficacia de
la orden de la autoridad competente, con el fin de prevenir una cesión
no autorizada de datos personales.

 Después: Una vez termine la relación laboral, cualquiera que fuere la


causa, LA COMPAÑÍA procederá a almacenar los datos personales
obtenidos y la documentación generada en el desarrollo de la relación
laboral, en un archivo central, sometiendo tal información a medidas
y niveles de seguridad altas, en virtud de la potencialidad de que la
información laboral pueda contener datos sensibles. La entrega de
esta información a terceras partes está prohibida, pues tal hecho
puede crear una desviación en la finalidad para la cual fueron
entregados los datos personales por sus titulares. Lo anterior, salvo
autorización previa y escrita que documente el consentimiento por
parte del titular del dato personal y/o
Metodología de La recolección de los datos del empleado o aspirante se realizara utilizando
recolección los medio *********, autorizados , o mediante una recolección de hojas de
vida resultado de una publicación de oferta en los medios legalmente
aprobados por la compañía. *****.
ANTES:
DURANTE:

Herramientas de Mail, HV físicas, plataformas de búsqueda de empleo.


recolección Excel para tabular.
NA
Almacenamiento Lugar donde se guardan las bases de datos para uso exclusivo de personal
calificado: Archivo físico o digital para los aspirantes y plataforma *****
Price waterhouseNGSOFT- FISICO con dependientes- MI PLANILLA-
ENLA_OPERATIVO
Procedimiento de
almacenamiento PROCESO DE SELECCIÓN -- ARCHIVO FISICO -- CONTRATACION -
Price waterhouse

Uso de datos Los datos recolectados se definirán como empleados y aspirantes. Los
empleados tendrán una temporalidad indefinida, mientras exista la relación
laboral con la compañía. Los aspirantes que no fueron seleccionados,
tendrán durante el tiempo de selección una carpeta digital o física donde
repose su información, la cual al final del proceso de selección una vez
notificado será entregada o destruida previa autorización del titular.
Circulación Los datos privados no serán publicados en internet u otros medios de
divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas a través del ERP, salvo la debida Formatted: Highlight
autorización otorgada por el titular.
El consolidado de la base de datos se encuentra en un servidor protegido con
medidas tecnológicas de protección, protocolos y todo tipo de medidas
administrativas necesarias para otorgar seguridad a los registros y
repositorios electrónicos evitando su adulteración, modificación, perdida,
consulta externa y en general en contra de cualquier uso o acceso no
autorizado.
Procedimiento de RECURSOS HUMANOS--- PRICE WATERHOUSE - *******
circulación
Derechos titular El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos de
Acceso, consulta, reclamo y rectificación.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, se pide la presentación o envío del documento de
identificación vía electrónica que lo acredite como titular de la información
para proceder con la solicitud realizada.******

Procedimiento derechos
titular

Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y Formatted: Indent: First line: 0"
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
 Padres de familia: Registro civil de nacimiento y
documento de identidad.
 Tutores: Sentencia judicial que confiere representación
legal.
 Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar Formatted: Indent: Left: 0", Hanging: 0.05"
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
Notificación vía correo corporativo de la ejecución de conocer, actualizar,
rectificar y suprimir información en la plataforma ******.
Finalidad de recolección La finalidad de LA COMPAÑÍA para utilizar los datos personales de los Formatted: Highlight
de datos clientes y prospectos es comunicar información relacionada con los
productos, eventos y servicios, estudios de mercadeo, procesos de auditoría
interna y externa, encuestas de opiniones sobre bienes y servicios,
respuestas PQR’s, para el desarrollo de operaciones recaudo de cartera,
tesorería, contabilidad y cobros
Consulta de información histórica en bases de datos públicas.
Procedimiento finalidad
recolección de datos

Temporalidad Antes: 6 MESES


Durante:
Después: 30 AÑOS Formatted: Highlight

BASE DE DATOS ACCIONISTAS


Definición Descripción
Recolección Las áreas Legal y Ffinanciera y asistencia de Gerencia General de la compañía
son la encargada de recolectar información de los titulares accionistas, la cual
será considerada información reservada por su carácter legal.
En cada caso y de acuerdo a la normatividad aplicable al protocolo, se solicita
al Titular su autorización para recolectar sus datos personales, salvo los que
por ley no sea requerido el otorgamiento de dicha autorización.
Metodología de La recolección de datos privados y semi-privados, de accionistas e
recolección invitadosaccionistas, invitados y cualquier persona natural involucrada, como
consecuencia de las decisiones de la asamblea general se realiza mediante
actas que se levantan en las asambleas generales de accionistas.
Herramientas de Se utiliza como herramienta las actas que quedaran incluidas en los libros de
recolección accionistas protegidos para recopilar datos importantes, tal y como lo exige el
Código de Comercio.
Almacenamiento Lugar donde se guardan las bases de datos para uso exclusivo de personal
calificado: El área legal, contará con un archivo físico de la base de datos
(Libros de actas) que custodiará bajo llave y también, contará con archivo
automatizado, en la nube, con el escáner de las actas contenidos en la base
de datos (Libro de actas).

Plataforma ERP que automáticamente se guarda en el datacenter de la


compañía.
Procedimiento de FLUJOGRAMA
almacenamiento

Uso de datos La información reservada de los titulares(accionistas, invitados y cualquier


persona natural involucrada, como consecuencia de las decisiones de la
asamblea general) accionistas, solo será utilizada para finalidades derivadas
de la relación estatutaria vigente, acorde a las exigencias del Código de
Comercio, ley 1258 de 2008 y demás normas concordantes.

Circulación Los datos privados y semi-privados, no serán publicados en internet u otros


medios de divulgación o comunicación masiva, solo tendrán acceso a estos
datos el personal de las áreas autorizadas a través de solicitud previa que
deberán realizar ante el área legal, quien definirá sí entrega la información
solicitada.
El consolidado de la base de datos se encuentra en un archivo físico bajo llave
y en un servidor protegido con medidas tecnológicas de protección, protocolos
y todo tipo de medidas administrativas necesarias para otorgar seguridad a
los registros y repositorios electrónicos evitando su adulteración,
modificación, perdida, consulta externa y en general en contra de cualquier
uso o acceso no autorizado.
Procedimiento de FLUJOGRAMA
circulación
Derechos titular El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.

Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y


suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos de
Acceso, consulta, reclamo y rectificación.

Procedimiento derechos
titular

Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
 Padres de familia: Registro civil de nacimiento y
documento de identidad.
 Tutores: Sentencia judicial que confiere representación
legal.
 Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos

Finalidad de recolección
de datos
Procedimiento finalidad
recolección de datos

Temporalidad DEFINIR DE ACUERDO A LA NORMA.

BASE DE DATOS VIDEO VIGILANCIA


Definición Descripción
Recolección Las imágenes recolectadas de video vigilancia que están vinculadas con una
o varias personas determinadas
Metodología de La recolección de datos básicos se realiza mediante cámaras de video
recolección vigilancia.
Herramientas de Las herramientas utilizadas para este fin son cámaras de seguridad ubicadas
recolección en cada uno de los puntos de venta de la compañía y NVR (Network Video
Recorder)
Almacenamiento La información recolectada de video vigilancia, será almacenada por un
periodo no superior a 20 días en los NVR de la compañía. Excepto los
eventos que requieren almacenamiento por un mayor tiempo.
Procedimiento de
almacenamiento GRABACION ---- ALMACENAMIENTO LOCAL -- ALMACENAMIENTO BD
PPAL

Uso de datos El principal uso de los fotogramas capturados son para fines de control,
auditoria y seguridad de los puntos de venta e instalaciones de LA
COMPAÑÍA.
Circulación Los datos personales en este caso las imágenes del titular, salvo la
información personal no serán publicados en internet u otros medios de
divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas o terceros autorizados exclusivamente por
el responsable de los datos a través del sistema de videograbación y
vigilancia.
Procedimiento de ……………..
circulación
Derechos titular El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos
de Acceso, consulta, reclamo y rectificación.
El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.

Procedimiento derecho
titular

Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
 Padres de familia: Registro civil de nacimiento y
documento de identidad.
 Tutores: Sentencia judicial que confiere representación
legal.
 Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
--------------
Finalidad de recolección La finalidad de la video vigilancia es garantizar la seguridad de los bienes del
de datos sitio donde se encuentra instalado el sistema de monitoreo así como el de la
seguridad de las personas, grabando lo eventos ocurridos en tiempo real.
Procedimiento finalidad SEÑALES DISTINTIVAS EN CADA SITIO ESTRATÉGICO- PARA INFORMAR AL
recolección de datos CLIENTE DE LA RECOLECCION DE IMAGNES DE VIDEO VIGILANCIA

Temporalidad La conservación de la grabación se realiza por 20 días salvo los eventos en


los que se requieran como pruebas para demostrar los hechos y actos
jurídicos.

BASE DE DATOS MENORES DE EDAD


Definición Descripción
Recolección El área encargada de recolectar información de los titulares menores de
edad hijos de los empleados de la compañía, es el área de Gestión humana.
En cada caso y de acuerdo a la normatividad aplicable al protocolo, se
solicita al Titular en este caso el apoderado o representante legal del menor
de edad, su autorización para recolectar sus datos personales, salvo los
que por ley no sea requerido el otorgamiento de dicha autorización.
Metodología de La recolección se hace exclusivamente a los hijos de los empleados, como
recolección parte del núcleo familiar.

Herramientas de Se utiliza como herramienta un formato en Excel protegido para recopilar


recolección datos importantes que posteriormente se trasladan al sistema de nómina y
RH de la compañía.
Almacenamiento Lugar donde se guardan las bases de datos para uso exclusivo de personal
calificado: Sistema de nómina y RH que automáticamente se guarda en el
servidor de la compañía.
Procedimiento de
almacenamiento
Uso de datos Los datos recolectados de menores de edad hijos o representados
legalmente por un empleado de la compañía tendrán una temporalidad
indefinida, mientras exista la relación laboral con la compañía. La
información recolectada tendrán un único uso, el cual se detalla en la
finalidad del mismo.
Circulación Los datos privados no serán publicados en internet u otros medios de
divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas a través del ERP, salvo la debida
autorización otorgada por el titular.
El consolidado de la base de datos se encuentra en un servidor protegido
con medidas tecnológicas de protección, protocolos y todo tipo de medidas
administrativas necesarias para otorgar seguridad a los registros y
repositorios electrónicos evitando su adulteración, modificación, perdida,
consulta externa y en general en contra de cualquier uso o acceso no
autorizado.
Procedimiento de
circulación
Derechos titular El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos
de Acceso, consulta, reclamo y rectificación.
El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, se pide la presentación o envío del documento de
identificación vía electrónica que lo acredite como titular de la información
para proceder con la solicitud realizada.

Procedimiento derechos
titular

Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
 Padres de familia: Registro civil de nacimiento y
documento de identidad.
 Tutores: Sentencia judicial que confiere representación
legal.
 Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos

Notificación vía correo electrónico de la ejecución de conocer, actualizar,


rectificar y suprimir información en la plataforma ERP.
Finalidad de recolección En todo caso la finalidad del uso y tratamiento de los datos de menores de
de datos edad hijos de empleados de la compañía, pretenden, mantener una eficiente
comunicación de la información útil en los vínculos contractuales en los que
sea parte el empleado titular de la información; dar cumplimiento a las
obligaciones contraídas por empresa con los empleados titulares de la
información, con relación al pago de salarios, prestaciones sociales,
afiliaciones al régimen de seguridad social, afiliaciones a caja de
compensación familiar y demás consignadas en el contrato de trabajo;
realizar estudios internos sobre los hábitos del empleado titular de la
información para programas de bienestar corporativo; realizar actividades de
integración y beneficios otorgados por la compañía.

Procedimiento finalidad
recolección de datos

Temporalidad Mientras permanezca vigente el vínculo laboral del empleado con la


compañía. Cumplida esta vigencia los datos serán suprimidos en compañía
del área de contraloría.

8. DIAGRAMA DE FLUJO
9. DOCUMENTOS RELACIONADOS
- Formato de autorización de tratamiento de datos personales.
- Aviso de privacidad
- Aviso de video vigilancia
- Cláusula contractual para tratamiento de datos personales

10. DEFINICIONES

Para los efectos de la presente manual y en concordancia con la normatividad vigente en materia de protección de datos
personales, se tendrán en cuenta las siguientes definiciones:
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos
personales.
Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento
de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de
información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende
dar a los datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas
o determinables. Se entiende por “Dato personal” una información relacionada con una persona natural (persona
individualmente considerada). Son algunos ejemplos de datos personales los siguientes: nombre, número de
identificación ciudadana, dirección postal, dirección de correo electrónico, número telefónico, estado civil, datos de salud,
huella dactilar, salario, bienes, estados financieros, etc. Los Datos Personales se clasifican en públicos, privados,
semiprivados y sensibles, entre otras clasificaciones.

Dato personal privado: Cualquier Dato Personal que sólo puede ser conocido por el Titular o su entorno más cercano, a
menos que exista expresa Autorización para su divulgación.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los
datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público.
Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato personal semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad
en general. Ejemplo de estos Datos Personales son los relativos al comportamiento financiero y crediticio comercial y de
servicios administrados por las centrales de riesgo.

Dato personal privado sensible:Cualquier Dato Personal relacionado directamente con la esfera íntima del Titular. En
general, el uso indebido de Datos Personales sensibles puede ser fuente de discriminación. Los Datos Personales
relativos a la salud, la vida sexual, la orientación política y los Datos Personales biométricos son considerados Dato
Personal Sensible.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como que revelen el origen racial o étnico, la orientación política, las convicciones
religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así
como los datos relativos a la salud, a la vida sexual, y los datos biométricos entre otros, imagen personal fija o en
movimiento, las huellas digitales, las fotografías, el iris, el registro de la voz, facial o de palma de mano, etc.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Oficial de protección de datos personales: Es la persona designada para ejercer la función de vigilancia y control de la
aplicación del Régimen Colombiano de Protección de Datos Personales al interior de LA COMPAÑÍA, cuyas funciones se
precisan en este Manual.

RCPDP: Es el Régimen Colombiano de Protección de Datos Personales, conformado, en la fecha de expedición de este
Manual, por la Ley Estatutaria 1581 del 2012, la Ley 1266 de 2008 y el Decreto 1074 de 2015, así como cualquier norma
que en el futuro modifique, sustituya, adicione o complemente las leyes y el decreto antes enunciados.

Reclamo: Solicitud del Titular del Dato Personal, o de las personas autorizadas por éste o por la ley para corregir,
actualizar o suprimir sus Datos Personales o para revocar la Autorización en los casos establecidos en la ley.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
decida sobre la base de datos y/o el Tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección,
almacenamiento, uso, circulación o supresión.

Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos
personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es
responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio
de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del
responsable.