1.      INTRODUCCIÓN

El artículo 15 de la Constitución Política de Colombia consagra el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos tanto de entidades públicas como privadas y el derecho a la información previsto en el artículo 20 de la misma. Así mismo, y de acuerdo con la Sentencia C-748 de 2011 de la Corte Constitucional, este derecho comprende otras facultades tales como las de conocer, actualizar y rectificar los datos personales frente a los responsables o encargados del tratamiento, solicitar prueba de la autorización otorgada para el tratamiento de sus datos, ser informados sobre el uso que se ha dado a sus datos personales, presentar quejas ante las autoridades, revocar la autorización o solicitar la supresión del dato o acceder gratuitamente a sus datos personales.

CODESA, con el NIT 805.012.299-7, con domicilio principal en la ciudad de Santiago de Cali, empresa de tecnología e innovación, en el desarrollo de su objeto social, recolecta, almacena, usa, circula, suprime, en general, trata datos personales; por lo tanto, reconoce la importancia de la seguridad, privacidad y confidencialidad de la información personal de sus clientes, usuarios, seguidores, trabajadores, candidatos, proveedores, contratistas, colabores, aliados, accionistas y todos los demás Titulares. CODESA garantizará en todo momento el acceso a su Política y pondrá especial esfuerzo en la atención completa y oportuna de las consultas y reclamos que puedan formular los Titulares.

Por tal motivo, en cumplimiento de las disposiciones constitucionales, legales y reglamentarias, CODESA adopta la presente Política de Tratamiento de Datos Personales (en adelante, “Política”).

2.      IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO.

La persona jurídica, privada, responsable del tratamiento de los datos personales es:

Denominación social

C O D E S A

NIT

805.012.299 – 7

Domicilio principal

Santiago de Cali – Valle del Cauca – República de Colombia

Dirección

Calle 22 Norte No. 6AN – 52 – Santiago de Cali – Valle del Cauca

Edificio

Santa Mónica Central – Torre II piso 4 y 5

Teléfono

(2) 8990606

Página web

https://www.codesa.com.co/

Correo electrónico

protecciondedatos@codesa.com.co

La aprobación de esta política de tratamiento de datos personales está a cargo de la Alta Dirección y su aplicación es responsabilidad de todos los integrantes y, en general, de las partes interesadas que interactúan con la Compañía.

3.        MARCO NORMATIVO.

La presente política está basada en los lineamientos establecidos en el Marco general de Protección de Datos Personales de Colombia: artículo 15 de la Constitución Política, Ley Estatutaria 1266 de 2008 y 1581 de 2012, Decreto Reglamentario parcial 886 de 2014 y Decreto 1377 de 2013, Título V de la Circular Única de la Superintendencia de Industria y Comercio y las demás que las modifiquen y las sustituyan, entre otros.

4.      ÁMBITO DE APLICACIÓN.

Esta política de tratamiento de datos personales se aplica a todos los datos personales que se obtengan, administren o traten; en especial, para la creación de bases de datos personales de accionistas, clientes, comercializadores, trabajadores, candidatos, aprendices, contratistas, colaboradores o aliados comerciales, partícipes, integrantes, proveedores, concedentes, toda clase de usuarios incluidos los de los portales web, contactos o seguidores de cualquier red social en la que participe la compañía y/o las demás partes interesadas.

El régimen de protección de datos personales que se establece en el presente documento no es aplicable a las bases de datos o archivos indicados en los literales a) al f) del artículo 2º de la Ley Estatutaria 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales.”

5.      OBJETIVO.

Establecer los lineamientos, principios y procedimientos para la protección de los datos personales objeto de tratamiento por parte de CODESA, en su calidad de empresa de desarrollo de software y proveedor de servicios tecnológicos, asegurando el cumplimiento de la normatividad aplicable y las directrices impartidas por la Superintendencia de Industria y Comercio o la entidad que cumpla sus funciones.

6.      ALCANCE.

Dar cumplimiento a las exigencias de la normatividad vigente en materia de Protección de Datos Personales, así como a cualquier exigencia originada en el Principio De Responsabilidad Demostrada (Accountability) y un trámite expedito y legal a las diferentes solicitudes y reclamaciones hechas por los Titulares de la Información, así como por sus causahabientes u otra persona que cuente con la debida autorización.

7.      DEFINICIONES.

Acceso restringido. Nivel de acceso a la información limitado a parámetros previamente definidos. CODESA no hará disponibles Datos Personales para su acceso a través de Internet u otros medios de comunicación masiva, a menos que se establezcan medidas técnicas que permitan controlar el acceso y restringirlo solo a las personas autorizadas.

Área responsable de protección de datos. Es el área dentro de CODESA, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales y la implementación del Programa Integral de Protección de Datos Personales.

Autorización. Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de los datos personales.

Aviso de privacidad. Comunicación verbal o escrita generada por CODESA, dirigida al titular, para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables por la unidad, la forma de acceder y las finalidades del tratamiento que se pretende dar a sus datos personales.

Base de datos. Conjunto organizado de datos personales que sean objeto de tratamiento en CODESA.

Big data. Hace referencia a una plataforma que permite la centralización y gobernanza de la información, integración de datos, toma de decisiones basadas en datos, analítica avanzada, integración CRM, la cual es empleada para identificar patrones a través de la compra, tendencias, comportamientos e información relevante de los consumidores, de sus productos y servicios.

Biometría. Son las medidas biológicas o características físicas, que se pueden utilizar para identificar a las personas.

Causahabiente. Es la persona que ha sucedido a otra, en razón a su fallecimiento (también se pueden entender como herederos o legatarios).

Derecho de los niños, niñas y adolescentes: En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.

Dato personal. Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinables.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Gestión de Relación con los Clientes o CRM – Customer Relationship Management.  Es el conjunto de prácticas, estrategias comerciales y tecnologías enfocadas en la relación con el cliente.

Hábeas Data. El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

Incidencia. Cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas. Un Incidente de seguridad de datos personales se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de datos personales que sean tratados bien sea por el Responsable del Tratamiento o por su Encargado. La gestión de incidentes de seguridad se refiere a la documentación de los pasos a seguir una vez se detecte la comisión del incidente, tanto a nivel correctivo como preventivo.

Información digital. Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.

Información pública. Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal.

Información pública clasificada. Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá́ ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de esta ley.

Información pública reservada. Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de esta ley.

Parte Interesada. Persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad.

Responsable del tratamiento. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre las bases de datos y/o en tratamiento de los datos.

Sistemas de Videovigilancia (NVR). Vigilancia a través de un sistema de cámaras, fijas o móviles con la finalidad de garantizar la seguridad de bienes o personas en un lugar determinado.

Titular. Persona natural cuyos datos personales sean objeto de Tratamiento.

Transferencia. La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión. Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

Tratamiento. Cualquier operación o conjunto de operaciones sobre datos de carácter personal tales como la recolección, procesamiento, publicidad, almacenamiento, uso, circulación o supresión. En el caso de las imágenes de personas determinadas o determinables, operaciones como la captación, grabación, transmisión, almacenamiento, conservación, o reproducción en tiempo real o posterior.

Tratamiento de la información. Las entidades privadas y públicas receptoras de información deberán utilizar los datos e información solo para los fines establecidos en la Ley y estarán obligadas a adoptar las medidas necesarias para garantizar su seguridad, circulación restringida y confidencialidad.

8.      CLASIFICACIÓN DE DATOS PERSONALES

Dato público. Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio.

Dato semiprivado. Son los datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo al titular sino a cierto sector o a la sociedad en general. Los datos financieros y crediticios de la actividad comercial o de servicios, son algunos ejemplos.

Dato privado. Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular. Los gustos o preferencias de las personas, por ejemplo, corresponden a un dato privado.

Dato Sensible. Es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. 

9.      PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

Principio de legalidad en materia de Tratamiento de datos. El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

Principio de finalidad. El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

Principio de libertad. Los titulares de los datos personales tienen la libertad de determinar la manera en que se traten sus datos personales; en consecuencia, el tratamiento sólo puede ejercerse con la previa autorización del titular. Los datos personales no pueden ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Adicionalmente, una vez entendido el concepto de datos personales sensibles y al considerarse estos de carácter facultativo, el titular estará en la capacidad de no brindar la autorización para su tratamiento, siempre que esto le genere algún tipo de afectación.

Principio de veracidad o calidad. Los datos personales sujetos a tratamiento deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles. La ley prohíbe el tratamiento de datos personales parciales, incompletos, fraccionados o que induzcan a error. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deben adoptarse medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes, y, cuando así lo solicite el titular o, cuando el responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

Principio de transparencia. En el tratamiento debe garantizarse el derecho del titular a obtener, en cualquier momento y sin restricciones, información acerca de la existencia de datos personales que le conciernan. Salvo en los casos en los cuales la autorización no sea necesaria de acuerdo con las normas aplicables, se deben adoptar procedimientos que permitan a los titulares conocer, a más tardar en el momento de la recolección inicial de sus datos, qué información es recolectada sobre ellos y todas las finalidades del tratamiento, para su plena autorización.

Principio de acceso y circulación restringida. El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de legales y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.

Principio de seguridad. La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad. Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de esta.

Necesidad y proporcionalidad. Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, informadas al titular. En tal sentido, deben ser adecuados, pertinentes y acordes con las finalidades para los cuales fueron recolectados.

Temporalidad o caducidad. El período de conservación de los datos personales es el necesario para alcanzar la finalidad para la cual se han recolectado.

10.   TRATAMIENTO Y FINALIDADES

Este Tratamiento de datos se realizará para las finalidades autorizadas y previstas en la presente Política. Se realizará Tratamiento de Datos Personales cuando exista una obligación legal o contractual para ello. En ejecución del objeto social de CODESA, los datos personales serán tratados de acuerdo con el grupo de interés y en proporción a la finalidad o finalidades que tenga cada tratamiento, como se describe a continuación:

  • Realiza la transferencia de datos personales únicamente cuando cuenta con la autorización del titular y garantiza la implementación del aviso de privacidad en los procesos de recolección de información.
  • Podrá compartir datos personales con autoridades, entidades gubernamentales, aliados o encargados del tratamiento, exclusivamente cuando exista un requerimiento legal válido o en el ejercicio de funciones legítimas.
  • Asegura que los datos personales tratados sean veraces, completos y actualizados, en la medida en que el titular informe oportunamente cualquier novedad o modificación de su información.
  • El tratamiento de datos personales es realizado únicamente por empleados autorizados o por aquellos cuyas funciones lo requieran, conforme a los controles internos establecidos.
  • No permite el acceso público a datos personales a través de Internet u otros medios masivos, salvo cuando se trate de información pública o existan controles técnicos que restrinjan el acceso a personas debidamente autorizadas.
  • Garantiza la confidencialidad de los datos personales que no sean públicos durante todo el tiempo que sea necesario para cumplir la finalidad del tratamiento, incluso después de finalizada la relación con el titular.
  • Atiende de manera oportuna las peticiones, consultas y reclamos de los titulares, proporcionando información clara sobre el uso y tratamiento de sus datos personales.

ACCIONISTAS.

  • Registro en los sistemas de información y bases de datos.
  • Verificación y/o actualización de la información recopilada para el conocimiento de nuestros Accionistas.
  • Mantener una comunicación constante, relativa al desarrollo de las actividades propias de la Compañía.
  • Fines estadísticos y de consulta.
  • Información actualizada para la presentación de informes ante las entidades controlantes o vigilantes del Estado.
  • Cumplir decisiones judiciales, administrativas y legales relacionadas con su calidad de Accionista.
  • Dar cumplimiento a cualquiera de las obligaciones contraídas con nuestros Accionistas.
  • Prevenir, detectar y controlar cualquier actividad o información que se pueda interpretar como fraude, trato inequitativo o violación de confidencialidad.
  • Controlar el acceso a las instalaciones de la compañía y recopilar datos biométricos, considerados como sensibles, para efectos de verificación de autenticidad de acuerdo con la política de datos personales (en caso de ser necesario).
  • Asistencia a eventos como reuniones presenciales y/o virtuales de junta directiva, asambleas y espacios de capacitación donde se recolecten información personal, especialmente los datos sensibles como la huella y registros fotográficos.
  • Cualquier otra actividad de naturaleza similar a las anteriormente descritas que sean necesarias para desarrollar el objeto social de la compañía.
  • Complementar la información y en general, adelantar las actividades necesarias para gestionar las solicitudes, quejas y reclamos.
  • Atender requerimientos de los entes de control (Reportes).
  • Consulta en listas restrictivas o vinculantes.
  • Informes de gestión internos que permitan soportar su objeto social. 

CLIENTES / USUARIOS / REGISTROS DE LA PÁGINA WEB, APLICACIONES O REDES SOCIALES.

  • Cumplimiento de obligaciones contractuales y niveles de servicio acordados.
  • Administración de plataformas, aplicaciones y servicios de software.
  • Autenticación y autorización de accesos a sesiones de usuario.
  • Soporte técnico, mesa de ayuda y atención de requerimientos.
  • Procesar pagos de facturación de servicios realizados.
  • Cumplir con lo establecido en las normas legales que rigen las políticas para la prevención de riesgos LAFT/FPADM y Corrupción a fin de determinar su idoneidad y eventualmente su responsabilidad.
  • Reportes a entes de control, DIAN-UIAF-Cumplimiento normativo.
  • Estudios de seguridad y/o de prueba ante una autoridad judicial o administrativa.
  • Control de entrada y salidas de las instalaciones.
  • Atender las PQRSF y gestionar las respuestas al respecto a través de los datos de contacto de las personas designadas para tal fin.

TRABAJADORES / CANDIDATOS / APRENDICES

  • Desarrollar y gestionar procesos de reclutamiento, selección, contratación y promoción de personal.
  • Realizar estudios de seguridad (consultar y verificar), verificación de datos, referencias, información personal, familiar, estudios y títulos académicos, consulta en listas restrictivas o vinculantes, antecedentes laborales, disciplinarios y judiciales, comercial y reconocimientos, con instituciones educativas, autoridades judiciales, entidades públicas, centrales de riesgo, Compañías y ONGS; bien sea de forma directa o a través de terceros especializados en esta actividad.
  • Realizar visitas domiciliarias, pruebas psicotécnicas y de salud ocupacional.
  • Aspectos laborales, de seguridad social y todos aquellos relacionados con el (los) contrato(s) que celebre o pretenda celebrar.
  • Dar cumplimiento a obligaciones tributarias y de registros corporativos y contables de acuerdo con las disposiciones legales vigentes.
  • La transmisión o transferencia de datos a terceros para fines administrativos y/u operativos, como expedición de carnés, de certificados, inscripción en programas de capacitación, entre otros.
  • Cumplir con las obligaciones contractuales contraídas por CODESA, en especial con relación al pago de salarios, prestaciones sociales, pago de beneficios, bonos, reembolsos, y otros, consagradas en el contrato de trabajo.
  • Administrar los datos del trabajador y su familia, para temas relacionados con remuneraciones, contribuciones, obligaciones, prestaciones, impuestos y demás información necesaria (servicio médico, becas, formación, entre otros), por parte del área de Talento Humano; así como la participación en programas corporativos o sociales.
  • Mantener una comunicación eficiente de la información que se requiera en los vínculos contractuales.
  • Informar al empleado sobre cualquier modificación de la relación contractual.
  • Evaluar la calidad y desempeño del empleado en cumplimiento de sus funciones derivadas del contrato de trabajo.
  • Realizar estudios internos sobre los hábitos del empleado con el fin de mejorar las políticas de clima organizacional.
  • Realizar los descuentos de nómina autorizados por el trabajador.
  • Documentar y controlar la asignación de activos de información.
  • Suministrar cuando se requiera, información a los entes de control para auditorías internas y externas.
  • Asignación de herramientas de trabajo para el desarrollo de sus funciones, firmas de acuerdos de confidencialidad y no divulgación, entre otros.
  • Solicitar datos de contacto para casos de emergencia.
  • Ofrecer conjunto o independientemente con terceros, servicios financieros, comerciales y /o promocionales, entre otros.
  • Ofrecer programas de bienestar corporativo y planificar actividades empresariales, para el titular y sus beneficiarios (hijos, cónyuge, compañero permanente, entre otros).
  • Usar los datos personales en campañas de comunicaciones internas y externas.
  • Cumplir con el Sistema de Seguridad y Salud en el Trabajo realizando de forma periódica, exámenes médicos de control, a fin de mantener actualizada la historia laboral y el estado de salud de los colaboradores.
  • Llevar el registro de todas las actividades asociadas al sistema de seguridad y salud en el trabajo, tales como accidentes laborales, condiciones ergonómicas del puesto de trabajo, brigadas de emergencia e incapacidades médicas y exámenes periódicos.
  • Gestión de tramites de incapacidades, cobro de licencias de maternidad, paternidad e incapacidades con las EPS y ARL según corresponda.
  • Registrar datos de asistencia a capacitaciones y su gestión en CODESA.
  • Controlar el acceso a las instalaciones y aplicativos de la empresa para verificación de identidad del titular por medio de sistemas de identificación digital, biometría y videovigilancia.
  • Adopción de medidas indicadas por el Ministerio de Salud y Protección Social o cualquier otra autoridad.
  • Datos de ubicación en tiempo real, captados a través de aplicativos y dispositivos electrónicos en el ejercicio de sus funciones.

HIJOS DE EMPLEADOS

  • Recopilar y mantener actualizada la información de los hijos de los empleados, incluyendo edad y género, con el fin de caracterizar la población beneficiaria de actividades corporativas.
  • Utilizar la información para diseñar, planificar y ejecutar actividades recreativas y de integración dirigidas a los hijos de los empleados, tales como el Día de los Niños, Día de la Familia y celebraciones de fin de año.
  • Contactar a los empleados para informar, invitar y coordinar la participación de sus hijos en las actividades organizadas por la empresa.

MARCACIONES

  • Gestionar y controlar el acceso a las instalaciones de la organización, permitiendo el ingreso únicamente a personal autorizado mediante mecanismos biométricos.
  • Capturar y administrar las marcaciones de entrada con el fin de llevar el control de asistencia, cumplimiento de horarios y gestión de la jornada laboral.
  • Mitigar riesgos asociados a la suplantación o uso indebido de credenciales, mediante el uso de características biométricas únicas e intransferibles.
  • Utilizar la información registrada como soporte para procesos internos relacionados con nómina, control de tiempos, cumplimiento contractual y gestión del talento.
  • Fortalecer los controles de seguridad física de la organización, contribuyendo a la protección de personas, información y activos corporativos.
  • Dar cumplimiento a las disposiciones legales aplicables en materia laboral, seguridad y protección de datos personales, velando por el tratamiento adecuado de datos sensibles como los biométricos.

PROVEEDORES / CONTRATISTAS / COLABORADORES / ALIADOS / PARTICÍPES

  • Desarrollar procesos de evaluación, selección, contratación, seguimiento del desempeño y reevaluación.
  • Ejecutar los contratos.
  • Procesar pagos de facturación de servicios realizados.
  • Cumplir con las obligaciones contractuales entre CODESA y proveedor.
  • Conservar la información de personal de contacto de nuestros proveedores, a fin de realizar la inscripción, mantenimiento, soporte, y labores diarias propias de la relación contractual.
  • Conservar un registro fotográfico y/o fílmico, del visitante a las instalaciones de la compañía, para identificar al mismo ante cualquier revisión o investigación que sea necesaria.
  • Consulta en listas restrictivas o vinculantes.
  • Cumplir con lo establecido en las normas legales que rigen las políticas para la prevención de riesgos LAFT/FPADM y Corrupción a fin de determinar su idoneidad y eventualmente su responsabilidad
  • Reportes a entes de control, DIAN-UIAF-Cumplimiento normativo.
  • Controlar el acceso físico y lógico a instalaciones y activos de la Compañía.
  • Complementar la información y en general, adelantar las actividades necesarias para gestionar las solicitudes, quejas y reclamos.
  • Informes de Gestión internos que permitan soportar su objeto social.

ACCESO A EDIFICIO, VIDEOVIGILANCIA Y SEGURIDAD DE LAS INSTALACIONES.

Los datos personales recolectados a través de sistemas de videovigilancia serán tratados para las siguientes finalidades:

  • Garantizar la seguridad de las personas (empleados, contratistas, clientes, proveedores y visitantes) que se encuentren en las instalaciones o zonas vigiladas.
  • Proteger los bienes e instalaciones de la empresa, previniendo, detectando y controlando posibles actos de vandalismo, hurto, fraude u otras conductas ilícitas.
  • Monitorear y controlar el acceso a las instalaciones, incluyendo la verificación de ingresos y salidas.
  • Apoyar procesos de investigación interna, en caso de incidentes, irregularidades o incumplimientos de políticas corporativas.
  • Servir como soporte probatorio en procesos judiciales, administrativos o disciplinarios, cuando sea requerido por autoridad competente o en defensa de los intereses de la empresa.
  • Cumplir obligaciones legales y regulatorias, incluyendo requerimientos de autoridades administrativas, judiciales o de policía.
  • Gestionar situaciones de emergencia, riesgos o contingencias que puedan afectar la integridad de las personas o la continuidad del negocio.
  • Verificar el cumplimiento de obligaciones laborales y contractuales, dentro de los límites establecidos por la ley y respetando los derechos fundamentales de los trabajadores.
  • Controlar y mejorar procesos operativos y de seguridad, mediante el análisis de eventos registrados en las grabaciones.
  • Prevenir riesgos asociados a la actividad empresarial, incluyendo riesgos físicos, operativos y de seguridad.
  • Atender reclamaciones, consultas o requerimientos relacionados con incidentes ocurridos en las zonas vigiladas.

El tratamiento de estos datos se realizará bajo los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad, garantizando en todo momento los derechos de los titulares.

11.   CONTROLES DE ACCESO Y VIDEOVIGILANCIA.

CODESA cuenta en sus instalaciones con cámaras de video vigilancia, en todos los casos se informará a los Titulares de datos personales que se encuentran en una zona de video vigilancia.

Señales o avisos distintivos. En las zonas de video vigilancia, principalmente en las zonas de ingreso, se cuenta con un aviso visible, legible y que contiene:

  • Información del responsable del tratamiento y sus datos de contacto.
  • Indicar tratamiento que se dará a los datos y finalidad.
  • Señalar los derechos de los titulares de los datos.
  • Señalar dónde se encuentra la Política de tratamiento de Información.

Periodo de conservación. Por parte de CODESA, las imágenes tratadas tendrán un tiempo de conservación mensual, lapso necesario para cumplir con las finalidades establecidas por CODESA. El Titular de los datos personales puede solicitar la supresión de sus imágenes en la medida que no exista un deber legal o contractual que impida tal supresión. En todo caso la imagen respectiva se conservará en un lapso mayor, cuando la misma sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

Peticiones, Consultas y Reclamos. Para solicitudes relacionadas con Video vigilancia, se seguirá el procedimiento de Peticiones, Consultas y Reclamos establecido en la presente Política, respetando los derechos de Titulares de información.

Supresión de la Información. La supresión de los datos personales relacionados con video vigilancia será adelantada por parte de CODESA, conforme al período de conservación establecido para los mismos, debiendo emitirse en todo caso una certificación suscrita por el responsable de medios tecnológicos y el representante legal la empresa donde se dé cuenta del procedimiento aplicado para el borrado seguro de los datos e información borrada.

12.   TRATAMIENTO DE DATOS PERSONALES

El responsable realiza la recolección, recepción, almacenamiento, uso, circulación, transmisión, transferencia, supresión y procesamiento en general con base en las finalidades de tratamiento expresas en la presente política.

13.      TRATAMIENTO DE DATOS SENSIBLES.

CODESA realiza el tratamiento de datos personales sensibles en cumplimiento de la normatividad aplicable, aplicando estrictos estándares de seguridad y confidencialidad. Como principal dato sensible, la compañía recolecta huella digital y biometría facial con el fin exclusivo de identificar y autenticar a colaboradores y visitantes, garantizando el control de acceso y la seguridad.

Los datos biométricos son capturados, procesados y almacenados únicamente para verificar la identidad personal, bajo medidas técnicas que aseguran la confidencialidad, reserva y el cumplimiento de los principios de protección de datos.

La información personal podrá ser compartida con autoridades judiciales o administrativas cuando sea requerida en el ejercicio de sus funciones legales.

En el evento de necesidad de recolección, CODESA les informará a los titulares:

  • Del tratamiento que recibirá la información personal.
  • De la facultad de abstenerse de responder preguntas relacionadas con información sensible.
  • La dirección física o electrónica y el teléfono del responsable del tratamiento.
  • Los derechos que le asisten como titular de la información.
  • La información personal que será objeto de tratamiento.
  • De la existencia y contenido de esta política de tratamiento de datos personales.

Tratamiento de datos de niños, niñas y adolescentes. CODESA recolectará los datos personales de los hijos de los colaboradores, respetando los derechos prevalentes, para efectos de actividades corporativas o conmemoraciones (día del niño, navidad, entre otros) con autorización previa de los representantes legales del menor de edad.

En el evento que CODESA recolecte datos personales de los niños, niñas, y adolescentes, asegura el respeto a los derechos prevalentes, obteniendo la autorización previa y escrita de los representantes legales del menor de edad.

Datos Biométricos. Los datos biométricos almacenados en las bases de datos son recolectados y tratados por motivos estrictamente de seguridad, para verificar la identidad personal y realizar control de acceso a los trabajadores, colaboradores, clientes y visitantes. Los mecanismos biométricos de identificación capturan, procesan y almacenan información relacionada con, entre otros, los rasgos físicos de las personas (las huellas dactilares, reconocimiento de voz y los aspectos faciales), para poder establecer o “autenticar” la identidad de cada sujeto. La administración de las bases de datos biométrica se ejecuta con medidas de seguridad técnicas que garantizan el debido cumplimiento de los principios y las obligaciones derivadas de Ley de Protección de Datos, asegurando además la confidencialidad y reserva de la información de los titulares.

Tratamiento de datos en circunstancias de urgencia médica y/o sanitaria. En circunstancias especiales que involucren direccionamientos del Gobierno Nacional o alguna autoridad, ante condiciones epidemiológicas CODESA recolecta los datos de personas y los datos recolectados (datos personales y datos sensibles como estado de salud, temperatura corporal) en emergencia sanitaria se compartirán a las autoridades correspondientes de conformidad con las disposiciones recibidas.

Clasificación de datos. CODESA en desarrollo del Régimen General de protección de datos personales se acoge a la clasificación que este establece.

Uso de la información. CODESA no usa esta información para finalidades diferentes a las señaladas en la presente política o las ordenadas por las autoridades y la ley.

14.      DERECHOS DEL TITULAR DE LOS DATOS PERSONALES

De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales:

  • Acceder, conocer, actualizar y rectificar sus datos personales frente a CODESA en su condición de responsable del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
  • Solicitar prueba de la autorización otorgada a CODESA para el tratamiento de datos, mediante cualquier medio válido, salvo en los casos en que no es necesaria la autorización.
  • Solicitar prueba de la autorización otorgada a CODESA salvo cuando expresamente se exceptúe como requisito para el tratamiento (casos en los cuales no es necesaria la autorización).
  • Ser informado por CODESA, previa solicitud, respecto del uso que les ha dado a sus datos personales.
  • Presentar ante la Superintendencia de Industria y Comercio, o la entidad que hiciere sus veces, quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, previo trámite de consulta o requerimiento ante CODESA.
  • Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
  • Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de la presente política que motiven nuevas consultas.
  • Abstenerse de responder a las preguntas sobre datos sensibles o sobre datos de los niños, niñas y adolescentes toda vez que estos tienen un carácter facultativo.

Estos derechos podrán ser ejercidos por:

  • El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición CODESA.
  • Los causahabientes del titular, quienes deberán acreditar tal calidad.
  • El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
  • Otro a favor o para el cual el titular hubiere estipulado.

CODESA garantiza a los titulares de los datos personales el acceso para su conocimiento y actualización, a través de medios idóneos para tal fin.

15.      DEBERES DE CODESA COMO RESPONSABLE Y ENCARGADA DEL TRATAMENTO DE LOS DATOS PERSONALES. 

CODESA reconoce la titularidad de los datos personales que ostentan las personas y en consecuencia ellas de manera exclusiva pueden decidir sobre los mismos, por lo tanto, CODESA utilizará los datos personales para el cumplimiento de las finalidades autorizadas expresamente por el titular o por las normas vigentes.

En el tratamiento y protección de datos personales, CODESA tendrá los siguientes deberes, sin perjuicio de otros previstos en las disposiciones que regulen o lleguen a regular esta materia:

  • Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar copia de la respectiva autorización otorgada por el titular para el tratamiento de datos personales.
  • Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto de los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para que la información se mantenga actualizada.
  • Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
  • Respetar las condiciones de seguridad y privacidad de la información del titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
  • Identificar cuando determinada información se encuentra en discusión por parte del titular
  • Informar a solicitud del titular sobre el uso dado a sus datos.
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
  • Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
  • Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012.
  • Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se entra autorizado el tratamiento de sus datos.
  • Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley.
  • Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  • Usar los datos personales del titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
  • Consultar, en las respectivas bases de datos, las condiciones para contactar a los titulares, los canales, horarios y periodicidad.

16.      TRANSFERENCIA Y TRANSMISIÓN DE DATOS.

CODESA podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación, o de conformidad con las funciones establecidas a su cargo en las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la normatividad aplicable.

En este sentido, CODESA podrá solicitar a terceros y/o encargados que acrediten de manera previa, durante o de forma posterior a la relación que los vincule, el cumplimiento de los requisitos del régimen de protección de datos personales. De tal forma que se podrá solicitar una revisión y supervisión de forma eventual o periódica, del cumplimiento de los requisitos legales y/o contractuales, mediante evidencias o soportes de la gestión, realizar visitas, entre otras actividades que podrán coordinarse para validar el cumplimiento. En todo caso, cuando CODESA transmita los datos, establecerá cláusulas contractuales en las que indicará:

  • Alcances del tratamiento,
  • Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y,
  • Las obligaciones del Encargado para con el titular y el responsable.

Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones de la empresa bajo la política de Tratamiento de la información existente y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.

Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

  • Dar Tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.
  • Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
  • Guardar confidencialidad respecto del tratamiento de los datos personales.

17.      ATENCIÓN A PETICIONES, CONSULTAS Y RECLAMOS

Canales de Atención. Las peticiones, consultas y reclamos formulados por los titulares de Datos Personales bajo Tratamiento de CODESA, para ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos, o revocar la autorización deberán ser dirigidas a través de los siguientes canales:

  • Medio Presencial: calle 22 Norte No. 6 AN 52 Edificio Santa Mónica Central Torre II piso 4 y 5 en la ciudad de Cali, en un horario de 7:30 a.m. a 5:30 p.m., de lunes a viernes.
  • Medio Telefónico: (602) 899 0606, en un horario de 7:30 a.m. a 5:30 p.m., de lunes a viernes.
  • Medio Virtual: email protecciondedatos@CODESA.com.co

Las peticiones dirigidas a CODESA deberán contener como mínimo la siguiente información:

  • Nombres y apellidos del Titular.
  • Tipo y número de identificación del Titular.
  • Nombres y apellidos del solicitante (Titular y/o su representante y/o causahabientes)
  • Tipo y número de identificación del solicitante (Titular y/o su representante y/o causahabientes)
  • La solicitud clara y detallada que realiza (petición, consulta o reclamo). Para el caso de videovigilancia deberá señalar, adicional a lo anterior: fecha, hora, lugar de monitoreo y finalidad de la solicitud.
  • Dirección física, electrónica y teléfono de contacto del Titular.
  • Dirección física, electrónica y teléfono de contacto del solicitante.
  • Firma y número de identificación.

En caso de que la solicitud se presente sin el cumplimiento de los anteriores requisitos, se requerirá al solicitante dentro de los cinco (5) días hábiles siguientes a la recepción la petición, consulta y reclamo, para que subsane las fallas y presente la información o documentos faltantes.

Si transcurridos dos (2) meses, desde la fecha del requerimiento por parte de CODESA, el solicitante no ha presentado la información requerida se entenderá que ha desistido de la solicitud.

18.      PROCEDIMIENTO DE ATENCIÓN A CONSULTAS, RECLAMOS, SOLICITUDES DE RECTIFICACIÓN, ACTUALIZACIÓN Y SUPRESIÓN DE DATOS.

Legitimación. El procedimiento que se describen a continuación sólo puede ser ejercido por el titular, sus causahabientes o representantes, siempre que se acredite previamente la identidad o la representación.

Suministro de información. El titular o su representante, debe suministrar, por lo menos, la siguiente información:

  • Nombre del titular de los datos.
  • Identificación del Titular (cédula de ciudadanía – pasaporte, etc.).
  • Descripción de los hechos que dan lugar a la petición, consulta o reclamo.
  • Dirección y demás datos de contacto del titular.
  • Descripción del procedimiento que desea realizar (corrección, actualización, supresión o revocatoria).
  • Documentos que corroboren la solicitud (opcional).

Solicitud. En cumplimiento de los preceptos legales del régimen general de protección de datos personales, CODESA le permitirá al titular o representante de los datos personales, conocerlos, corregirlos, actualizarlos o rectificarlos, presentando una solicitud, en los términos señalados en la presente política de tratamiento de la información.

Consulta. Todo titular, tiene el derecho de conocer si sus datos personales han sido sometidos a un tratamiento por parte de CODESA en los términos expresados en la Ley de protección de datos.

La consulta debe ser atendida a través de los canales de atención, en un término máximo de diez (10) días hábiles contados a partir de la fecha de acuse de recibo. En caso de no ser posible dar respuesta a la consulta dentro de dicho término, se le informa al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que será atendida su consulta, la cual se le dará respuesta máximo cinco (5) días hábiles siguientes al vencimiento del primer plazo.

Reclamación, solicitud de rectificación. Los titulares de tratamiento de datos personales tienen el derecho de comprobar frente al responsable del tratamiento de la información la exactitud y veracidad del dato, y solicitar su rectificación cuando los mismos resulten inexactos, estén incompletos o conlleven a error. Los titulares de los datos deben indicar la información que solicitan corregir y adjuntar los soportes de la documentación que justifique lo solicitado.

El reclamo debe ser atendido a través de los canales de atención, en un término máximo de (15) quince días hábiles contados a partir del día siguiente a la fecha de acuse de recibo. En caso de no ser posible atender el reclamo dentro de dicho término, se le informa al interesado los motivos de la demora y se le dará respuesta máxima (8) ocho días hábiles siguientes al vencimiento del primer término. En caso de que el reclamo se encuentre incompleto, se debe solicitar al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el interesado presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que CODESA no sea competente para resolver el reclamo, debe realizar el traslado a quien corresponda en un término máximo de dos (2) días hábiles e informar de la situación al interesado.

Actualización. CODESA rectifica y actualiza a solicitud del titular de tratamiento de datos personales, la información que resulte ser incompleta o inexacta de conformidad con el procedimiento y los términos antes señalados. Los titulares de la información deben indicar los datos que solicitan corregir y, además, adjuntar los soportes de la documentación que justifique lo solicitado.

La actualización debe ser atendida a través de los canales de atención, en un término máximo de diez (10) días hábiles contados a partir de la fecha de acuse de recibo. En caso de no ser posible, se debe dar respuesta dentro de dicho término, se le informa al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que será atendida su actualización, la cual se le dará respuesta máximo cinco (5) días hábiles siguientes al vencimiento del primer plazo. 

Supresión de datos. El titular de los datos personales tiene el derecho a solicitar a CODESA su supresión. Este derecho del titular de datos no es absoluto y en consecuencia CODESA puede negar el ejercicio de este cuando:

  • El titular del tratamiento de datos personales tenga un deber legal o contractual de permanecer en la base de
  • La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones
  • Los datos personales sean necesarios para proteger los intereses jurídicamente tutelados del titular de datos; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el

Efectos de la supresión. La supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o tratamientos realizados por El responsable. Para el efecto, el titular deberá indicar el canal de comunicación, medio de contacto, red social o aplicación de mensajería instantánea de la cual desea suprimirse.

Casos en los cuales no es posible la supresión. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio de este en los siguientes casos:

  • La solicitud de supresión de la información no procede cuando el titular tenga el deber legal o contractual de permanecer en la base de datos.
  • No sea posible efectuar la eliminación del dato por la orden de autoridad judicial o administrativa con competencia en el Territorio Nacional.
  • Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular, o para garantizar el cumplimiento de una obligación legalmente adquirida por el titular.

Revocar la autorización. El titular de los datos personales o su representante puede revocar la autorización otorgada para el tratamiento de datos personales, elevando una solicitud dirigida a CODESA. El trámite y los términos para resolver dicha solicitud es el consagrado en el artículo 14 y 15 de la Ley 1581 de 2012. No podrá concederse la revocatoria de la autorización del tratamiento de los datos personales por solicitud realizada por el titular o su representante, cuando exista un deber legal o contractual para que los datos personales permanezcan en la respectiva base de datos. Al atender solicitudes de información personal, se debe tener en cuenta:

  • Verificar la calidad de titular de quien formula verbalmente una petición o consulta, así: (i) Si la petición o consulta se realiza personalmente, deberá dejarse constancia de la exhibición de cualquier documento idóneo que permita su identificación. (ii) Si la petición o consulta se realiza telefónicamente, se informará que realice su solicitud por medio del correo protecciondedatos@codesa.com.co o por escrito con respectivos soportes de identificación mediante correo certificado a la dirección Calle 22N No. 6AN-24 Torre 2 pisos 4 y 5.
  • Verificar que las peticiones o consultas escritas estén debidamente suscritas por el titular, quien debe acreditar su calidad mediante la exhibición de cualquier documento o medio idóneo que permita su identificación.
  • Verificar que se allegue el respectivo poder, otorgado con las formalidades de ley, cuando la petición o consulta se presente por escrito, a través de mandatario, apoderado o persona autorizada.
  • Verificar la calidad de causahabiente del titular de la información cuando la petición se presente por escrito por éstos.
  • Verificar que las peticiones o consultas relacionadas con las personas jurídicas se encuentren debidamente suscritas por su representante legal, quien deberá probar su condición con el respectivo documento que acredite la existencia y representación legal de la misma y la exhibición de cualquier documento idóneo que permita su identificación.

No será necesario acompañar el documento que acredite la existencia y representación legal de la persona jurídica cuando el operador ya cuente con éste o cuando la información esté disponible a través del acceso a las bases de datos de las Entidades públicas o privadas que tengan a su cargo el deber de certificar.

19.      VIGENCIA DE LAS BASES DE DATOS

Las Bases de Datos de CODESA tendrán el periodo de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia, así como aquellas normas que establezcan el ejercicio de las funciones legales asignadas a la compañía.

20.      REGISTRO NACIONAL DE BASES DE DATOS (RNBD)

De conformidad con el artículo 25 de la Ley 1581 y sus decretos reglamentarios, CODESA registrará sus bases de datos, en el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio, de conformidad con el procedimiento establecido para el efecto.

21.      MEDIOS DE CONTROL

La compañía realizará procesos de revisión o auditorías en materia de protección de datos personales, con una periodicidad mínima de un año o de forma extraordinaria ante incidentes graves que afecten a la integridad de las bases de datos personales, a través del proceso de Riesgo y Cumplimiento, verificando que las políticas y procedimientos se han implementado adecuadamente.

Con base a los resultados obtenidos, se diseñarán e implementarán los planes de mejoramiento (preventivos, correctivos y de mejora) necesarios.

22.   SEGURIDAD DE LA INFORMACIÓN

CODESA garantiza la seguridad y protección de los datos personales bajo su responsabilidad, apoyándose en sistemas de gestión certificados en ISO 9001 e ISO/IEC 27001. Sus políticas y estándares de seguridad de la información están orientados a salvaguardar la confidencialidad, integridad y disponibilidad de los datos, mediante controles de acceso, autenticación, gestión de autorizaciones, monitoreo y registro de actividades.

La compañía cumple estrictamente con el marco normativo de Protección de Datos Personales y cuenta con políticas, lineamientos y procedimientos de seguridad que se actualizan conforme a nuevas exigencias normativas y necesidades organizacionales, ha adoptado medidas técnicas, administrativas y humanas razonables que son indispensables para proteger la información de los titulares e impedir su adulteración, pérdida, consulta, uso, o acceso no autorizado o fraudulento.

CODESA implementa medidas tecnológicas y prácticas de seguridad en todas las etapas del tratamiento de la información, incluyendo transmisión y almacenamiento seguros, uso de protocolos protegidos, restricción de accesos, respaldos de información y desarrollo seguro de software.

CODESA no permite el acceso a la información a terceros, a excepción de una solicitud expresa del titular de los datos o de las personas legitimadas de conformidad con la normatividad Nacional.

Cuando se requiere compartir información con terceros por vínculos contractuales, se suscriben acuerdos de transmisión o transferencia que garantizan la confidencialidad, seguridad y cumplimiento de la Política de Tratamiento de Datos y de los estándares de seguridad de la información de la compañía.

Cuando haya lugar a ello, CODESA dispondrá de un aviso de privacidad que contendrá:

  • Nombre o razón social y datos de contacto del responsable del tratamiento. 
  • El tratamiento al cual serán sometidos los datos y la finalidad de este. 
  • Los derechos que le asisten al titular. 
  • Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente.
  • Información al titular de cómo acceder o consultar la política de tratamiento de información. 
  • Si se recolectan datos personales sensibles, el aviso de privacidad señalará expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos. 

23.   VIGENCIA DE LA POLÍTICA DE TRATAMIENTO DE DATOS

La presente Política para el Tratamiento de Datos Personales rige a partir de la fecha de su publicación, con vigencia indefinida.

CODESA, revisará la política de tratamiento de datos personales una vez al año o en el momento que existan modificaciones de Ley. Para lo anterior garantiza que los canales de comunicación se encuentran debidamente actualizados.

Cualquier cambio sustancial en las políticas de Tratamiento de datos personales, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto.