PRESENTACIÓN
En cumplimiento de la ley 1581 del 17 de octubre de 2012 y del Decreto Reglamentario 1377 de 2013 por el cual se dictan las disposiciones generales para la protección de datos personales, CERID S.A, como responsable de las bases de datos, crea el siguiente manual de políticas de tratamiento de datos personales, el cual contiene la política que aplicará en cumplimiento de su deber legal y reglamentario, con el fin de hacer un uso adecuado de los datos personales adquiridos de los Titulares, de acuerdo con el registro de las bases de datos de pacientes y empleados, realizado ante la Super0069ntendencia de Industria y Comercio.
POLITICAS DE TRATAMIENTO DE DATOS PERSONALES
CAPÍTULO 1: IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES RAZON SOCIAL:
Centro Especializado en Radiologia e Intervencionismo Diagnostico y Terapeutico S. A CERID S.A. NIT: 900.067.963-0 DIRECCION: CRA 50 # 84 - 44 CORREO ELECTRÓNICO:
[email protected] PÁGINA WEB: www.ceridsa.com TELÉFONO: (5) 3188080 1.1) DESCRIPCION DE PRODUCTOS Y SERVICIOS QUE OFRECE CERID S.A: CERID S.A constituida en el año 2005 como empresa privada del área de la salud orientada a la prestación de servicios de Imágenes Diagnósticas. Prestamos los siguientes servicios: - Imagenología Tomografía computada - FluroCT - Resonancia Magnética - Radiología digital-estudios radiológicos especiales - Radiología Intervencionista - Ecografía general obstétrica, 3D Y 4D - Doppler color- Mamografía - Biopsia estereotáxica - Localización de lesiones no palpable en seno - Densitometría ósea.
CAPÍTULO 2: MARCO LEGAL 2.1) LEGISLACIÓN APLICABLE:
Esta Política de Tratamiento de Datos Personales es elaborada de conformidad con la legislación vigente y cada una de las disposiciones que establecen el derecho constitucional y legal en materia de obtención, registro, manejo y tratamiento de los datos de carácter personal, con el fin de garantizar y proteger el derecho fundamental de Habeas Data de los pacientes, proveedores, clientes, empleados y socios, y en general de toda persona natural Titular de los datos personales. Los lineamientos de ésta política se cimentan en el cumplimiento de:
a) Constitución Política de Colombia, articulo 15.
b) Ley 1266 de 2008.
c) Ley 1581 de 2012.
d) Decreto Reglamentario 1727 de 2009.
e) Decreto 2952 de 2010 que reglamentó los Artículos 12 y 13 de la Ley 1266 de 2008.
f) Decreto 886 que reglamentó el Artículo 25 de la Ley 1582 de 2012.
g) Decreto Reglamentario parcial 1377 de 2013.
h) Sentencias C – 1011 de 2008, y C - 748 del 2011 de la Corte Constitucional. CERID S.A, como Institución prestadora de salud tiene en cuenta para el diligenciamiento, administración, conservación, custodia y confidencialidad de las historias clínicas y para el tratamiento los datos personales contenido en estas, lo siguiente:
i) Ley 23 de 1981.
j) Resolución 1995 de 1999.
k) Ley 80 de 1989
en cuanto a los aspectos archivísticos contemplados los encargados del tratamiento de los datos personales deben cumplir estrictamente con las disposiciones que en esta materia determina la Ley.
CAPÍTULO 3: ÁMBITO DE APLICACIÓN
3.1) OBJETO: El presente documento da cumplimiento a lo previsto en el literal
k) del artículo 17 de la Ley 1581 de 2012, que regula los deberes que asisten a los Responsables del tratamiento de datos personales, dentro de los cuales se encuentra el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial para la atención de consultas y reclamos, así como lo estipulado por el artículo 13 del Decreto 1377 de 2013 que establece la obligatoriedad por parte de los Responsables del tratamiento de desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas y el Decreto 886 de 2014 que regula lo relacionado al Registro Nacional de Bases de Datos. CERID S.A, quién actuará en calidad de Responsable de Datos Personales, elabora éstas políticas de obligatorio y estricto cumplimiento aplicable a todos los datos personales, información y archivos registrados en cualquier base de datos que posea CERID S.A, susceptibles de tratamiento y cuyo Titular sea una persona natural.
CAPÍTULO 4: DEFINICIONES
Para efectos del desarrollo de la presente política y de conformidad con la normatividad aplicable a la materia se adoptan las siguientes definiciones contenidas en la Ley 1581 de 2012 y el capítulo 25 del Decreto 1074 de 2015:
a) AUTORIZACIÓN: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
b) AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por CERID S.A dirigida al Titular de los datos personales, en la cual se le informa de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
c) BASE DE DATOS: Conjunto organizado de datos personales que sea objeto de tratamiento.
d) CAUSAHABIENTE: Persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero).
e) DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
f) DATO PRIVADO: Es el dato que por su naturaleza intima o reservada sólo es relevante para su Titular.
g) DATO SEMIPRIVADO: Son datos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular sino a un grupo de personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del Titular de la información (ejemplo: dato financiero y crediticio).
h) DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
i) DATOS SENSIBLES: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías. Igualmente hacen parte de esta categoría los datos biométricos, la vida sexual y los relativos a la salud.
j) DATOS DE MENORES DE EDAD: Se entiende por Datos de Menores de Edad, los datos personales de las niñas, niños y adolecentes (menores de 18 años de edad). Estos datos podrán ser tratados en la medida en que dicho tratamiento responda y respete el interés superior de las niñas, niños y adolecentes y se asegure el respeto a sus derechos fundamentales, para lo cual el representante legal del menor de edad, (o quien ejerza la patria potestad), otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado.
k) ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.
l) HABEAS DATA: Es el derecho de cualquier persona de conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en el banco de datos y en archivos de entidades públicas y privadas.
m) RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los datos.
n) TITULAR: Persona natural cuyos datos personales sean objeto de tratamiento.
o) TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
p) TRANSFERENCIA: La transferencia de datos tiene lugar cuando CERID S.A, ubicada en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.
q) TRANSMISIÓN: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República y que tenga por objeto la realización de un Tratamiento por el encargado por cuenta de CERID S.A.
CAPÍTULO 5: PRINCIPIOS GENERALES PARA EL TRATAMIENTO DE DATOS PERSONALES
En el desarrollo, interpretación y aplicación de la Ley 1581 de 2012 y las normas que la complementan, modifican o adicionan, CERID S.A, actuará en toda recopilación, manejo y supresión de datos personales y aplicará de manera armónica e integral los siguientes principios:
5.1) PRINCIPIO DE LEGALIDAD EN MATERIA DE TRATAMIENTO DE DATOS: Para el tratamiento de los datos personales, CERID S.A se sujetará a lo establecido en la Ley 1581 de 2012 y a las demás disposiciones que la desarrollen.
5.2) PRINCIPIO DE FINALIDAD: CERID S.A informará de manera concreta, precisa y previa al Titular la finalidad del tratamiento dado a los datos personales, la cual debe ser legítima de acuerdo con la Constitución Política y la ley.
5.3) PRINCIPIO DE LIBERTAD: CERID S.A sólo ejercerá el tratamiento de los datos personales con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en ausencia de mandato legal, estatutario o judicial que revele el consentimiento.
5.4) PRINCIPIO DE VERACIDAD O CALIDAD: La información sujeta a tratamiento por parte de CERID S.A de los datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
5.5) PRINCIPIO DE TRANSPARENCIA: En el tratamiento debe garantizarse el derecho del Titular a obtener de CERID S.A, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. En virtud de este principio, CERID S.A, deberá ofrecer como mínimo la siguiente información al Titular:
a) El propósito del procesamiento de los datos personales.
b) A quién se podrán revelar los datos.
c) Cómo el Titular puede ejercer cualquier derecho que le otorgue la legislación sobre protección de datos. d) Toda otra información necesaria para el justo procesamiento de los datos.
5.6) PRINCIPIO DE ACCESO Y CIRCULACION RESTRINGIDA: Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, excepto los que su acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados.
5.7) PRINCIPIO DE SEGURIDAD: La información sujeta a tratamiento por CERID S.A será objeto de protección mediante el uso de medidas técnicas, humanas y administrativas que otorguen seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5.8) PRINCIPIO DE CONFIDENCIALIDAD: Las personas que intervengan en el tratamiento de los datos personales, que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información suministrada. Inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar el suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
5.9) PRINCIPIO DE FACILITACIÓN: Los Responsables del tratamiento deberán facilitar el ejercicio del derecho de acceso a la información, excluyendo exigencias o requisitos que puedan obstruirlo o impedirlo.
5.10) PRINCIPIO DE NO DISCRIMINACIÓN: CERID S.A, como Responsable del tratamiento de los datos, deberá entregar información a todas los Titulares que lo soliciten, en igualdad de condiciones y sin hacer distinciones arbitrarias.
5.11) PRINCIPIO DE INTERPRETACIÓN INTEGRAL DE LOS DERECHOS CONSTITUCIONALES: Los derechos del Titular se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 15 de la Constitución Política de Colombia y con los derechos constitucionales aplicables como son el hábeas data, el derecho al buen nombre, el derecho a la honra y el derecho a la intimidad, entre otros.
5.12) PRINCIPIO DE CELERIDAD: Este principio busca la agilidad en el trámite y la gestión administrativa.
CAPÍTULO 6: DERECHOS QUE LE ASISTEN AL TITULAR DE LOS DATOS PERSONALES
Los Titulares de los datos de carácter personal contenidos en las bases de datos que posea CERID S.A tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en la Constitución Política y la Ley Estatutaria 1581 de 2012. El ejercicio del Habeas Data expresado en éstos derechos será gratuito e ilimitado por parte del Titular de los datos personales, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos.
6.1) DERECHO DE ACCESO: Este derecho comprende la facultad del Titular de los datos a tener acceso gratuito y de obtener toda la información respecto a sus propios datos personales, sean parciales o completos y del tratamiento aplicado a los mismos, de la finalidad del tratamiento y la ubicación de las bases de datos que contienen sus datos personales.
6.2) DERECHO DE ACTUALIZACIÓN: El Titular tiene el derecho de realizar actualizaciones de sus datos personales cuando éstos hayan tenido alguna variación.
6.3) DERECHO DE RECTIFICACIÓN: El Titular de los datos personales tiene la facultad de solicitar la rectificación de los datos que resulten inexactos, incompletos o inexistentes.
6.4) DERECHO DE CANCELACIÓN: El Titular de los datos tiene el derecho de cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepcionales por la ley o contractualmente pactados en contrario.
6.5) DERECHO A LA REVOCATORIA DEL CONSENTIMIENTO: El Titular de los datos personales tiene derecho de revocar el consentimiento o la autorización que habilita a CERID S.A para un tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepcionales por la ley o contractualmente pactados en contrario.
6.6) DERECHO DE OPOSICIÓN: Comprende la facultad del Titular de los datos de oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular.
6.7) DERECHO A PRESENTAR QUEJAS Y RECLAMOS O A EJERCER ACCIONES: El Titular de los datos personales tiene derecho a presentar ante la Superintendencia de Industria y Comercio o ante la entidad que fuera competente, quejas y reclamos, así como las acciones que resultaren pertinentes para la protección de sus datos. Previo a ello deberá haber agotado el ejercicio de su derecho frente a CERID S.A conforme a la Ley 1581 de 2012.
6.8) DERECHO A OTORGAR AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS: En desarrollo del principio del consentimiento informado el Titular del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en CERID S.A. De manera excepcional esta autorización no será requerida en los siguientes casos:
a) Cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales o por orden judicial.
b) Cuando se trate de datos de naturaleza pública.
c) En caso de emergencia médica o sanitaria.
d) Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
e) Cuando se trate de datos personales relacionados con el registro civil de las personas. En estos casos, si bien no se requiere de la autorización del Titular, sí tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales.
6.9) DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES: Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos. En el tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda proscrito el tratamiento de los datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública. Es tarea del Estado y de las Entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso Responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás.
6.10) PERSONAS FACULTADAS PARA EJERCER LOS DERECHOS: Podrán ejercerse por las siguientes personas:
- Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el Responsable.
- Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
- Por estipulación a favor de otro o para otro.
- Por causa del fallecimiento del Titular de los datos personales (causahabiente).
CAPÍTULO 7: DEBERES DEL RESPONSABLE Y EL ENCARGADO DEL TRATAMIENTO Y MEDIDAS DE SEGURIDAD
CERID S.A será el Responsable del tratamiento de los datos personales. El proceso será manejado por la Gerencia Medica, quien será el área encargada del tratamiento y manejo de las bases de datos donde se recolectan los datos personales por cuenta de CERID S.A, a quien se le suministrará información de cada paciente o empleado y en general de cualquier persona natural de quien se haya recolectado información personal y que repose en una base de datos.
7.1) DEBERES PARA LOS RESPONSABLES DEL TRATAMIENTO DE DATOS: CERID S.A, actuando en calidad de Responsable del tratamiento de los datos personales está obligada a cumplir los deberes y mandamientos que impone la normatividad aplicable respecto a la materia, sin perjuicio de las disposiciones previstas en la presente ley y en otras que rijan su actividad:
a) Conocer ésta política y darle aplicación en lo que les corresponda.
b) Garantizar al Titular en todo momento el pleno y efectivo ejercicio del derecho de hábeas data.
c) Solicitar y conservar, en las condiciones aquí previstas, copia de la respectiva autorización otorgada por el Titular.
d) Informar claramente al Titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada y el uso que se le dará a sus datos personales.
e) Conservar la información bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
f) Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y compresible.
g) Actualizar la información atendiendo de ésta forma todas las novedades respecto a los datos del Titular. Adicionalmente se deberán implementar todas las medidas para que la información se mantenga actualizada.
h) Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
i) Tramitar las consultas y reclamos formulados por los Titulares de la información en los términos señalados en la legislación aplicable.
j) Procurar que se sigan los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la presente política.
k) Respetar las condiciones de seguridad y privacidad de la información del Titular e informar a la Superintendencia de Industria y Comercio y a la autoridad de protección de datos cuando se presente violación a la seguridad de la misma y cuando existan riesgos en la administración de la información.
l) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
m) Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes en aquellos casos en que se realice la autorización del tratamiento de sus datos.
n) Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
o) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
p) Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012.
q) CERID S.A hará uso de los datos personales del Titular solo para aquellas finalidades para las cuales se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
7.2) DEBERES PARA LOS ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES: Cuando CERID S.A o cualquiera de los destinatarios de esta norma asuma la calidad de Encargado del tratamiento de datos personales, bajo su custodia deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
a) Conocer ésta política y darle aplicación en lo que les corresponda.
b) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
c) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
d) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.
e) Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
f) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente norma y en la ley.
g) Llevar un control por Base de Datos de los reclamos que se encuentren en trámite en relación con la información personal que se discuta o cuestione por los Titulares, acorde con la forma en que se regule en la ley.
h) Llevar un control, registrando por base de datos los reclamos sobre Habeas Data que se encuentren en discusión judicial una vez sea notificado por parte de la autoridad competente del proceso judicial relacionado con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o por otra autoridad competente.
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los “Códigos de Seguridad” y existan riesgos en la administración de la información de los Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
m) Usar los datos personales del Titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
n) Por ser una Institución prestadora de salud y teniendo en cuenta que las historias Clínicas se encuentran reguladas por la Ley 23 de 1981 y por la Resolución 1995 de 1999, en cuanto al diligenciamiento, administración, conservación, custodia y confidencialidad de las historias clínicas, conforme a los parámetros del Ministerio de Salud y del Archivo General de la Nación en lo concerniente a los aspectos archivísticos contemplados en la Ley 80 de 1989, los encargados del tratamiento de los datos personales deben cumplir estrictamente con las disposiciones que en esta materia determina la Ley.
7.3) MEDIDAS DE SEGURIDAD: Dando cumplimiento al principio de seguridad establecido en la vigente Ley 1581 de 2012 CERID S.A adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento por parte de terceros. CERID S.A adoptará una directriz general sobre estas medidas que serán de obligatorio acatamiento por parte de los destinatarios de éstas políticas. Además de los deberes antes descritos en cabeza de CERID S.A y de cualquiera otra persona que asuma su condición de Responsable o Encargado del tratamiento, de manera complementaria asumirá los siguientes deberes cualquiera que sea su condición:
a) Aplicar las medidas de seguridad conforme a la clasificación de los datos personales que trata CERID S.A.
b) Aplicar la norma sobre protección de datos personales en armonía con procedimientos de seguridad de la información definidos en CERID S.A.
c) Gestionar de manera segura las bases de datos que contengan datos personales.
d) Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como Responsable o Encargado del tratamiento.
e) Auditar de forma periódica el cumplimiento de la norma por parte de los destinatarios de la misma.
f) Llevar un registro central de las bases de datos que contengan datos personales que comprenda el historial desde su creación, tratamiento de la información y cancelación de la base de datos.
g) Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales.
h) Adoptar procedimientos de recuperación de desastres aplicables a las base de datos que contengan datos personales.
i) Adoptar procedimientos de respaldo o back up de las bases de datos que contienen datos personales.
j) Regular en los contratos con terceros el acceso a las bases que contengan datos de carácter personal. CERID S.A manifiesta que algunos de sus portales pueden contener vínculos a páginas web de terceros sobre las cuales no tiene manejo ni control alguno, por tal motivo no se hace responsable por el contenido, políticas de privacidad, seguridad y/o manejo de datos personales que se establezcan en las mismas, siendo obligación del Titular de los datos personales conocer en los respectivos portales las políticas relacionadas con la protección y el tratamiento de su información.
CAPÍTULO 8: REGISTRO NACIONAL DE BASES DE DATOS - RNBD
8.1) DEFINICIÓN REGISTRO NACIONAL DE BASES DE DATOS - RNBD: El Registro Nacional de Bases de Datos - RNBD es el directorio público de las bases de datos sujetas a tratamiento que opera en el país y será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. CERID S.A, como Responsable del tratamiento de datos personales bajo su custodia, realizará la inscripción de sus bases de datos y/o políticas ante la Superintendencia de Industria y Comercio, autoridad administrativa competente, en el tiempo y lugar que ésta establezca.
8.2) INSCRIPCIÓN DE LAS BASES DE DATOS EN EL REGISTRO NACIONAL DE BASES DE DATOS - RNBD: La inscripción de las bases de datos en el RNBD permitirá:
a) Registrar toda base de datos personales contenida en los sistemas de información y demás archivos de CERID S.A. A cada base se le asignará un nombre y número de radicado.
b) El registro de las bases de datos personales indicará: I) El tipo de datos personales que contiene II) La finalidad y uso previsto de la base de datos III) Identificación del área de CERID S.A que hace el tratamiento de la base de datos IV) Sistema de tratamiento empleado (automatizado o manual) en la base de datos V) Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene VI) Ubicación de la base de datos en los sistemas de información de CERID S.A VII) El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos VIII) La condición de CERID S.A como Responsable y/o Encargado del tratamiento de las bases de datos IX) Autorización de comunicación o cesión de la base de datos, si existe X) Procedencia de los datos y procedimiento en la obtención del consentimiento XI) Empleado de CERID S.A custodio de la base de datos XII) Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse
c) Registrar, para efectos de cumplimiento y auditoria, los cambios surtidos en las base de datos personales en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia por el custodio de la misma.
d) Documentar la ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiadas por CERID S.A.
e) El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de la misma.
f) La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por CERID S.A para hacer efectiva la cancelación.
8.3) ACTUALIZACIÓN DE LA INFORMACIÓN CONTENIDA EN EL REGISTRO NACIONAL DE BASES DE DATOS - RNBD: La información contenida en el RNBD se actualizará, según las siguientes indicaciones: a) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada. b) Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2018. c) Dentro de los primeros quince (15) días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del tratamiento actualizarán la información de los reclamos presentados por los Titulares. Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la información y la trasferencia y transmisión internacional de datos personales.
CAPÍTULO 9: AUTORIZACIÓN Y AVISO DE PRIVACIDAD
9.1) AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR: La recolección, almacenamiento, tratamiento, circulación, divulgación y supresión de datos personales por parte de CERID S.A requiere del consentimiento libre, previo, expreso e informado del Titular de los datos personales para el tratamiento de los mismos, excepto en los casos expresamente autorizados en la ley, a saber:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las Personas. Con la acción de autorización consentida se garantiza que se ha puesto en conocimiento del Titular de los datos que su información personal será recogida y utilizada para fines determinados y conocidos, y el derecho que le asiste para solicitar el acceso, la actualización, rectificación y eliminación de sus datos personales en cualquier momento, a través de los mecanismos puestos a disposición por CERID S.A. Lo anterior con el fin de que el Titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal. La autorización es una declaración que informa al Titular de los datos personales:
a) Quién recopila su información personal (Responsable o Encargado).
b) Qué recopila (datos que se recaban).
c) Con qué finalidad se capturan los datos.
d) Cómo ejercer derechos de acceso, corrección, actualización o supresión de los datos personales suministrados.
e) Informa al Titular que por tratarse de datos sensibles (si aplica), no está obligado a autorizar su tratamiento.
9.2) MANIFESTACIÓN DE LA AUTORIZACIÓN: La autorización a CERID S.A para el tratamiento de los datos personales será otorgada por: El Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición CERID S.A. Los causahabientes del Titular, quienes deberán acreditar tal calidad. El representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento. Otro para el cual el Titular hubiere estipulado.
9.3) MEDIOS PARA LA OBTENCIÓN DE LA AUTORIZACIÓN POR EL TITULAR: La autorización puede constar de un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo mediante el cual se pueda concluir de manera inequívoca que de no haberse surtido una conducta del Titular los datos nunca hubieren sido recolectados y almacenados en la base de datos. De conformidad con lo que establece la Ley 1581 de 2012 y el Decreto 1377 de 2013 el mecanismo para la autorización será establecido por CERID S.A y puesto a disposición del Titular previo tratamiento de sus datos personales. Para los Titulares que ya se encuentran registrados en la base de datos CERID S.A avisará a los Titulares para que la envíen. CERID S.A hará lo necesario para mantener actualizados y custodiados los registros de autorización de los Titulares de datos personales. 9.4) PRUEBA DE LA AUTORIZACIÓN: CERID S.A conservará la prueba de la autorización otorgada por los Titulares de los datos personales para su tratamiento para lo cual adoptará las acciones necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de determinar de cuándo y cómo obtuvo ésta. En consecuencia CERID S.A podrá establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
9.5) REVOCATORIA DE LA AUTORIZACIÓN: Los Titulares de los datos personales podrán en cualquier momento revocar la autorización otorgada a CERID S.A para el tratamiento de sus datos personales o solicitar la supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual. CERID S.A establecerá mecanismos sencillos y gratuitos que permitan al Titular revocar su autorización o solicitar la supresión de sus datos personales, al menos por el mismo medio por el que lo otorgó.
9.6) AVISO DE PRIVACIDAD: Es el documento físico, electrónico o en cualquier otro formato que es puesto a disposición del Titular para el tratamiento de sus datos personales a más tardar al momento de recolección de los datos. CERID S.A, a través de éste documento, informa al Titular la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a sus datos personales.
9.7) CONTENIDO MÍNIMO DEL AVISO DE PRIVACIDAD: EL Aviso de Privacidad deberá contener como mínimo la siguiente información: - La identidad, domicilio y datos de contacto de CERID S.A, Responsable del tratamiento. - El tipo de tratamiento al cual serán sometidos los datos y la finalidad del mismo. - Los derechos que le asisten al Titular. - Los mecanismos generales dispuestos por CERID S.A para que el Titular conozca y acceda a la política de tratamiento de la información y a las modificaciones o cambios de fondo que se produzcan en ella o en el Aviso de Privacidad correspondiente. No obstante lo anterior, cuando se recolecten datos personales sensibles, el Aviso de Privacidad señalará expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
9.8) AVISO DE PRIVACIDAD Y LAS POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN: CERID S.A conservará el modelo del Aviso de Privacidad que se transmitió a los Titulares mientras se lleve a cabo tratamiento de datos personales y perduren las obligaciones que de éste deriven; para el almacenamiento del modelo, CERID S.A podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que considere útil para dichos fines.
CAPÍTULO 10: TRATAMIENTO Y RECOLECCIÓN DE LOS DATOS PERSONALES
10.1) RECOLECCIÓN DE DATOS PERSONALES: El suministro y recolección de los datos y autorizaciones de Tratamiento por parte de los Titulares se efectuará por uno de los siguientes canales: De manera telefónica, por escrito, verbalmente o por medios electrónicos tales como la página web www.cerid.com o el correo electrónico de CERID S.A o la pagina web o el correo electrónico del Encargado del Tratamiento de los datos que CERID S.A designe.
10.2) TRATAMIENTO DE DATOS PERSONALES: Los datos recaudados y las autorizaciones serán almacenados en las bases de datos de CERID S.A y permanecerán bajo su custodia en condiciones de idoneidad, confidencialidad y seguridad generalmente admitidas. Sólo el personal autorizado por CERID S.A o el Encargado del Tratamiento que CERID S.A designe, podrá acceder a estas Bases de datos. Se observarán los protocolos de acceso y seguridad que se consideran estándar en estas actividades para evitar la vulneración o manipulación de la información recopilada. No obstante lo anterior, CERID S.A podrá operar las bases de datos mediante un Encargado del Tratamiento de datos, en cuyo caso, hará saber a los Titulares de la información que estas políticas se extenderán y, por ello, serán aplicables a tal Encargado, de forma que el Titular pueda ejercer los derechos que le confiere la ley, tanto frente a CERID S.A como frente al Encargado del tratamiento designado por ésta. El tratamiento de los datos personales de pacientes, proveedores, clientes, empleados y socios o de cualquier persona con la cual CERID S.A tuviere establecida o estableciera una relación permanente u ocasional, lo realizará en el marco regulatorio establecido en la Ley 1581 de 2012 y el Decreto 1377 de 2013. En todo caso los datos personales podrá ser recolectados y tratados para:
a) Desarrollar la misión de CERID S.A conforme a su objeto social.
b) Poder prestar servicios y dar cumplimiento a los compromisos con sus pacientes, proveedores, clientes, empleados y socios.
c) Cumplir las normas aplicables a proveedores y contratistas, incluyendo, pero sin limitarse a las tributarias y comerciales.
d) Cumplir lo dispuesto por el ordenamiento jurídico colombiano en materia laboral y de seguridad social, entre otras, aplicables a empleados, ex empleados, empleados actuales y candidatos a futuro empleo.
e) Cumplir todos sus compromisos contractuales.
10.3) TRATAMIENTO DE DATOS SENSIBLES: Se prohíbe el Tratamiento de datos sensibles, excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
CAPÍTULO 11: TRANSFERENCIA Y TRANSMISIONES INTERNACIONALES Y NACIONALES DE DATOS PERSONALES
11.1) TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES: Cuando se envíen o transfieran datos a otro país será imprescindible contar con la autorización del Titular de la información que es objeto de transferencia. Salvo que la ley diga lo contrario, es premisa y presupuesto necesario de dicha autorización para efectuar la circulación internacional de datos. En este sentido, antes de enviar datos personales a Responsables del Tratamiento ubicados en otro país, los obligados de cumplir esta política deberán verificar que se cuenta con la autorización previa, expresa e inequívoca del Titular que permita trasmitir sus datos personales.
11.2) TRANSMISIONES INTERNACIONALES Y NACIONALES DE DATOS A ENCARGADOS: Cuando el Responsable del tratamiento desee enviar o transmitir datos a uno o varios Encargados ubicados dentro o fuera del territorio de la República de Colombia, deberá mediante cláusulas contractuales o a través de un contrato de transmisión de datos personales estipular lo siguiente:
a) Los alcances del tratamiento.
b) Las actividades que el Encargado realizará en nombre del Responsable del Tratamiento.
c) Las obligaciones que debe cumplir el Encargado respecto del Titular de los datos y el Responsable del tratamiento.
d) La obligación del Encargado de dar cumplimiento a las obligaciones del Responsable observando la presente política.
e) El deber del Encargado de tratar los datos de acuerdo con la finalidad autorizada para el mismo y observando los principios establecidos en la ley colombiana y la presente política.
f) La obligación del Encargado de proteger adecuadamente los datos personales y las bases de datos así como de guardar confidencialidad respecto del tratamiento de los datos transmitidos.
CAPÍTULO 12: PROCEDIMIENTO DE HABEAS DATA - DERECHO DE ACCESO, CONSULTA Y RECLAMACIÓN
12.1) DERECHO DE ACCESO: El poder de disposición o decisión que tiene el Titular sobre la información que le concierne conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento así como el alcance, condiciones y generalidades de dicho tratamiento. CERID S.A garantizará el derecho de acceso cuando previa acreditación de la identidad del Titular o personalidad de su representante se ponga a disposición de éste de manera gratuita el detalle de los datos personales a través de medios físicos ó electrónicos que permitan el acceso directo del Titular a ellos. Dicho acceso deberá ofrecerse sin límite de plazo y deberá permitir al Titular la posibilidad de conocerlos y actualizarlos.
12.2) CONSULTAS: De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012 y el artículo 21 del Decreto 1377 de 2013 los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. En consecuencia CERID S.A garantizará el derecho a consulta suministrando a los Titulares toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Para la atención de consultas de datos personales CERID S.A garantiza:
a) Habilitar medios de comunicación electrónicos u otros que considere pertinentes.
b) Establecer formularios, sistemas y otros métodos simplificados para la atención de las consultas.
c) Utilizar los servicios de atención al cliente o de reclamaciones que se tienen en operación.
En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término se informará al interesado antes del vencimiento de los diez (10) días expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo. Las consultas podrán ser formuladas al
[email protected] 12.3) RECLAMOS: De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012 el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento, el cual será tramitado bajo las siguientes reglas:
1. El reclamo formulará la solicitud al Responsable del Tratamiento o Encargado del Tratamiento con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y acompañando los documentos que se quiera hacer valer. Si el reclamo resultare incompleto se requerirá al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida se entenderá que ha desistido del reclamo. En caso de que quien recibe el reclamo no sea competente para resolverlo dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
2. Una vez recibido el reclamo completo CERID S.A registrará, en la base de datos que mantiene para atender los reclamos, en un término no mayor a dos (2) días hábiles, el reclamo "Como reclamo en trámite", indicando el motivo del mismo. Dicho reclamo deberá mantenerse hasta que éste sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término se informará al interesado antes del vencimiento del referido plazo los motivos de la demora y la fecha en que se atenderá su reclamo, el cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. El reclamo por parte del Titular, sus representantes o causahabientes podrá ser formulado mediante solicitud dirigida a CERID S.A al
[email protected] 12.4) REQUISITO DE PROCEDIBILIDAD: El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
12.5) IMPLEMENTACIÓN DE PROCEDIMIENTOS PARA GARANTIZAR EL DERECHO A PRESENTAR RECLAMOS: El Titular tiene derecho a solicitar a CERID S.A la rectificación de sus datos personales en caso de ser inexactos o incompletos, a actualizarlos y a cancelarlos cuando no estén siendo utilizados conforme a finalidades y términos legales o contractuales o según las finalidades y términos contemplados en esta Política de Tratamiento de Datos. El Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición. Los derechos de rectificación, actualización o supresión se podrán ejercer por:
a) El Titular o sus causahabientes, previa acreditación de su identidad, o a través de instrumentos electrónicos que le permitan identificarse.
b) Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
c) Por estipulación a favor de otro o para otro.
d) Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos. Cuando la solicitud sea formulada por persona distinta del Titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada. La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por CERID S.A señalados en el aviso de privacidad y contener, como mínimo, la siguiente información:
a) El nombre y domicilio del Titular o cualquier otro medio para recibir la respuesta.
b) Los documentos que acrediten la identidad o la personalidad de su representante.
c) La descripción clara y precisa de los datos personales respecto de los cuales el Titular busca ejercer alguno de los derechos.
d) En caso dado otros elementos o documentos que faciliten la localización de los datos personales.
12.6) SUPRESIÓN DE DATOS: El Titular tiene el derecho, en todo momento, a solicitar a CERID S.A la supresión (eliminación) total o parcial de sus datos personales de los registros, archivos, bases de datos o tratamientos realizados por CERID S.A cuando:
a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
c) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el Responsable puede negar el ejercicio del mismo cuando:
a) El Titular tenga un deber legal o contractual de permanecer en la base de datos.
b) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
c) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular, para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
d) En caso de resultar procedente la cancelación de los datos personales, CERID S.A debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.
CAPÍTULO 13: DISPOSICIONES FINALES
13.1) PERSONA O ÁREA RESPONSABLE DE LA PROTECCIÓN DE DATOS PERSONALES: CERID S.A designa al área de Gerencia Medica o quien haga sus veces, para cumplir con la función de protección de datos personales. El área de Gerencia Medica o quien haga sus veces dará trámite a las solicitudes de los Titulares para el ejercicio de los derechos de acceso, consulta, rectificación, actualización, supresión y revocatoria a que se refiere la Ley 1581 de 2012. CERID S.A designa a Doctor JAVIER YIBIRIN ARBELAEZ como Responsable de la adopción e implementación de las obligaciones previstas en la Ley 1581 de 2012.
13.2) VIGENCIA: Esta política fue aprobada luego de la expedición de la ley 1581 de 2012 y recientemente modificada para incorporar algunos aspectos que establece el decreto 1377 del 27 de junio de 2013, razón por la cual entró en vigencia a partir del 27 de junio de 2013. La vigencia de la base de datos será el tiempo razonable y necesario para cumplir las finalidades del tratamiento teniendo en cuenta lo dispuesto en el artículo 11 del decreto 1377 de 2013.