Protección de Datos

  1. Objeto

Documentar las políticas y procedimientos establecidos para garantizar una adecuada administración y manejo de los datos con ocasión de la operación de la Librería y papelería Futuro Ltda, en adelante L&P FUTURO.

 

  1. Alcance

 

A las operaciones propias de L&P Futuro coincidentes con lo contemplado por la Ley de Protección de datos en desarrollo del derecho constitucional de “Habeas data”.

 

  1. Marco normativo.

Con el propósito de dar un adecuado tratamiento a los datos personales, L&P Futuro ha identificado el siguiente marco normativo que articula las disposiciones de protección de los datos personales, su confidencialidad y los derechos de los titulares:

 

  • Constitución Política de 1991: En su artículo 15 la Constitución establece lo siguiente: “(…) Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…)”.
  • Ley 1266 de 2008: Por la cual se dictan disposiciones generales del “Habeas Data” y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países, y se dictan otras disposiciones.
  • Ley 1581 de 2012: Por la cual se dictan las disposiciones generales para la protección de datos personales.
  • Decreto Único 1074 de 2015: Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
  • Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio: Por la cual se fijan estándares de un nivel adecuado de protección en el país receptor de la información personal.
  • Circular Externa 008 de 2017 de la Superintendencia de Industria y Comercio: Por la cual se incluye un país en la lista de aquellos que cuentan con un nivel adecuado de protección de datos personales.
  • Guía de la Superintendencia de Industria y Comercio para la implementación del Principio de Responsabilidad Demostrada (Accountability).
  • Las demás normas que regulen o complementen lo concerniente a la protección de datos personales.

 

  1. Principios aplicables al tratamiento de datos personales.

 

En el Tratamiento de datos personales previsto en esta política, la L&P Futuro aplicará los principios rectores definidos en el artículo 4 de la ley 1581 de 2012: Principio de Legalidad; Principio de finalidad; Principio de libertad; Principio de veracidad o calidad; Principio de transparencia; Principio de acceso y circulación restringida; Principio de seguridad; Principio de confidencialidad.

 

  1. Disposiciones generales para la obtención de la autorización.

 

Por regla general, toda captura, recolección, uso y almacenamiento de datos personales que realice la L&P Futuro en el desarrollo de sus actividades, y de aquellas finalidades dispuestas en la Política de Protección de Datos Personales, requiere de los titulares un consentimiento libre, previo, expreso, inequívoco e informado de acuerdo a la Ley de habeas data.

Para ello, la  L&P Futuro pone a disposición de los titulares la respectiva autorización para el tratamiento de sus datos personales en los diversos escenarios en los cuales puede realizar la captura del dato, tanto de manera física como digital, en donde se informa al titular sobre la captura de sus datos, el tratamiento al cual serán sometidos y la información relacionada sobre la Política de Protección de Datos Personales de  L&P Futuro.

Es responsabilidad de la L&P Futuro custodiar las autorizaciones obtenidas para el tratamiento de los datos personales y guardar los formatos físicos en donde existan autorizaciones, el registro de llamadas o de los formularios web en los cuales se da trazabilidad sobre la aceptación del tratamiento.

 

5.1  Contenido del aviso de privacidad.

De acuerdo con las disposiciones normativas, los avisos de privacidad mediante los cuales se obtiene la autorización de los titulares deben tener los siguientes elementos:

 

  1. a) Nombre o razón social y datos de contacto del responsable del tratamiento.
  2. b) El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
  3. c) Los derechos que le asisten al titular.
  4. d) Los mecanismos dispuestos por el responsable para que el titular conozca la Política de Tratamiento de la Información.
  5. e) En todos los casos, debe informar al Titular cómo acceder o consultar la Política de Tratamiento de Información.

 

5.2 Autorización en formatos

 

5.2.1 Formatos digitales

Las actividades que impliquen la recolección de datos personales a través de formularios web, deberán tener en cuenta los siguientes aspectos necesarios para su captura:

  1. a) Solicitar sólo aquellos datos personales necesarios conforme con la finalidad del tratamiento.
  2. b) Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento por parte del titular.
  3. c) El envío de la información a través del formulario, deberá estar condicionado a la previa aceptación de la autorización de tratamiento del dato.
  4. d) Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos personales.
  5. e) Validar que la plataforma que soporta el formulario web tenga la capacidad técnica, operativa y de seguridad para almacenar las autorizaciones, y poder tener la trazabilidad en ellas. Preferiblemente se deberá incluir la fecha en la que se obtuvo la autorización.

 

 5.2.2 Formatos físicos

Las áreas que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios físicos, deberán tener en cuenta los siguientes aspectos:

  1. a) Solicitar sólo aquellos datos personales necesarios conforme con la finalidad de la captura.
  2. b) Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento de los datos.
  3. c) Para que la L&P Futuro pueda realizar el tratamiento de los datos capturados en el formulario, el titular debe dar la autorización. En el evento en que el titular no haya autorizado, deberá ser analizado de manera independiente.
  4. d) Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos solicitados.
  5. e) Garantizar la custodia de los formularios con sus respectivas autorizaciones.

 

  1. Procedimiento de atención de consultas y reclamos.

 

El procedimiento de consultas y reclamos se ejecutará de acuerdo con los términos incluidos en la ley y acogidos por la Política de Protección de Datos Personales. Las solicitudes que pueden ser catalogadas como consultas o reclamos pueden llegar por el canal habilitado de protección de datos, el cual es: pagoslibreriaypapeleriafuturo@gmail.com.

 

Los tiempos de respuesta de las consultas serán de diez (10) días hábiles desde la fecha de recibo, y de los reclamos serán de quince (15) días hábiles desde su recibo. 

 

  1. Periodo de vigencia de las bases de datos personales.

Los datos personales de los titulares permanecerán registrados en las bases de datos de la L&P FUTURO, hasta por un término de diez (10) años, prorrogable automática e indefinidamente por términos iguales o sucesivos, salvo manifestación expresa en contrario y por escrito del titular, de acuerdo con las finalidades que justificaron el tratamiento.

Los datos personales podrán ser conservados por lapsos superiores, en atención a exigencias legales como aquellas sobre gestión documental, elementos materiales probatorios, o por razones históricas o estadísticas, entre otros.

Los datos personales podrán ser conservados por un lapso inferior, cuando la finalidad de su tratamiento haya sido cumplida.

 

 

  1. Verificación del cumplimiento del presente manual.

La gerencia, podrá en cualquier momento, adelantar auditorías de supervisión de cumplimiento de las disposiciones sobre protección de datos personales, con el propósito de garantizar su adecuado cumplimiento como resultado de las revisiones pueden levantarse planes de acción para cerrar las brechas encontradas.

 

 

 

  1. Fecha de entrada en vigencia de la política de tratamiento de datos personales.

 

La revisión del presente manual de la Política de Tratamiento de Datos Personales rige desde el 01 de AGOSTO de 2020.

 

  1. Registros

 

R-MPDP

Política de Tratamiento de Datos Personales

R-MPDP_02

Aviso de Privacidad

 

  1. Anexos

 Ninguno