ACUERDO No. 001-2018
(31 de Agosto de 2018)
“Por medio del cual se establece la Política y Disposiciones generales en materia de Uso, Tratamiento y Protección de Datos Personales de la CORPORACIÓN UNIVERSITARIA ANTONIO JOSE DE SUCRE – CORPOSUCRE”.
LA SALA GENERAL DE LA CORPORACIÓN UNIVERSITARIA ANTONIO JOSE DE SUCRE - CORPOSUCRE -, EN USO DE SUS FACULTADES LEGALES Y ESTATUTARIAS, Y
CONSIDERANDO
Que de conformidad en lo previsto en la Ley 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales”, y el decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012.”, la Corporación debe responder aspectos relacionados con la autorización del titular de información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al tratamiento de datos personales.
Que LA CORPORACION UNIVERSITARIA ANTONIO JOSE DE SUCRE - CORPOSUCRE es una entidad de derecho privado identificada con NIT. 823004609-9 a quien corresponde actuar bajo los postulados de protección de datos personales en Colombia, señalados por la Ley 1581 de 2012 “Ley General de protección de Datos Personales” y su decreto reglamentario 1377de 2013, en calidad de responsable y encargado del tratamiento de datos personales según el presente acuerdo.
ACUERDA
ARTICULO 1°. Aprobar la Política y disposiciones generales en materia de Uso, Tratamiento y Protección de Datos Personales de la Corporación Universitaria Antonio José de Sucre - CORPOSUCRE, mediante los siguientes artículos:
ARTICULO 2°. OBJETIVO: La política de tratamiento de la información, tiene por objeto desarrollar el procedimiento para recolectar, almacenar, usar y realizar cualquier actividad sobre información que se haya recogido sobre datos personales, en base de datos o archivos, indicando las actividades a realizar, para mantener la confidencialidad de la información y el garantizar el correcto uso de los recursos tecnológicos de la institución.
ARTICULO 3º. ALCANCE: Esta Política de Protección de Datos Personales se aplicará para cualquier registro de datos personales realizado en forma presencial, no presencial y/o virtual para la vinculación a cualquier servicio por parte de CORPOSUCRE y se aplicará a todas las Bases de Datos o Archivos que contengan datos Personales que sean objeto de Tratamiento por parte de CORPOSUCRE considerada como responsable o encargada del tratamiento de Datos Personales, y quien designara a través de Resolución de Rectoría, a un colaborador de manejo y confianza para su direccionamiento.
CORPOSUCRE se encarga directamente del tratamiento de los datos Personales; sin embargo, se reserva el derecho a delegar en un tercero tal tratamiento exigiendo así mismo al encargado, la atención e implementación de los lineamientos y procedimientos idóneos para la protección de los datos personales y la estricta confidencialidad de los mismos.
ARTICULO 4°. RESPONSABLE Y ENCARGADO DE ESTE TRATAMIENTO: El responsable del tratamiento de las bases de datos objeto de esta política es la CORPORACIÓN UNIVERSITARIA ANTONIO JOSE DE SUCRE - CORPOSUCRE, Institución de Educación Superior Privada, con personería jurídica, reconocida mediante Resolución No. 2306 del 26 de septiembre de 2003, expedida por el Ministerio de Educación Nacional, representada legalmente por AMAURY NICOLAS VELEZ TRUJILLO, ciudadano colombiano, mayor de edad, con domicilio y residencia en esta ciudad.
CORPOSUCRE tiene domicilio en la ciudad de Sincelejo, en la Carrera 21 # 25-59 Barrio La María y Carrera 19 A # 28A - 109 Avenida Alfonso López, y para el tratamiento de los datos, consulta, actualización, revocación y supresión de la información del titular de la misma ha dispuesto los siguientes medios:
- Portal web: http://www.corposucre.edu.co/politica-de-proteccion-de-datos
- Líneas de atención al usuario: PBX: 2820315 Ext 100-164 de lunes a viernes de 8am a 12:00m y 2:00pm a 6:00pm.; y Sábados de 8:00am a 12:00m
- Correo electrónico para la protección y tratamiento de datos personales: protecciondedatos@corposucre.edu.co
- Oficina de atención al usuario: Sincelejo Carrera 19 A # 28A - 109 Avenida Alfonso López, Dirección de Planeación.
ARTÍCULO 5°. OBLIGATORIEDAD: Esta política es de obligatorio y estricto cumplimiento por parte de todos los estudiantes, empleados de CORPOSUCRE, los contratistas y terceros que obran en nombre de CORPOSUCRE.
Todos los empleados de CORPOSUCRE deben observar y respetar estas políticas en el cumplimiento de sus funciones. En los casos en que no exista vínculo laboral, se deberá incluir una cláusula contractual para que quienes obren en nombre de CORPOSUCRE se obliguen a cumplir estas políticas.
El incumplimiento de las mismas acarreará sanciones de tipo laboral o responsabilidad contractual según el caso. Lo anterior, sin perjuicio del deber de responder patrimonialmente por los daños y perjuicios que cause a los titulares de los datos o a CORPOSUCRE por el incumplimiento de estas políticas o el indebido tratamiento de datos personales.
ARTÍCULO 6º. DEFINICIONES: Las siguientes son las definiciones consagradas en la Ley 1581 de 2012, que permitirán conocer el desarrollo de cada uno de los temas planteados en el presente documento y son indispensables para la protección del habeas data, lo que contribuye a determinar las responsabilidades de los involucrados en el tratamiento de datos personales:
BASE DE DATOS: Conjunto de información digital o física, ordenada y almacenada, que es susceptible a tratamiento.
DATO PERSONAL: Información vinculada o que se pueda vincular a una o varias personas naturales determinables o no determinables y que puede ser identificada. Por ejemplo: Nombres, dirección, número telefónico, correo eléctrico, estado civil, fotografía, huella dactilar.
DATO PERSONAL PRIVADO: Es un dato personal que por su naturaleza íntima o reservada sólo interesa a su titular y para su tratamiento requiere de su autorización expresa. Por ejemplo: Nivel de escolaridad, presencias comerciales, gustos personales, entre otros.
DATO PERSONAL SEMIPRIVADO: Son aquellos datos personales que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular, sino a un grupo de personas o a la sociedad en general. En este caso, para su tratamiento se requiere la autorización expresa del titular de la información. Por ejemplo: datos de carácter financiero, datos relativos a las relaciones con las entidades de seguridad social (EPS, AFP, ARL, Cajas de Compensación), sociedades a las que pertenece entre otros.
DATO PERSONAL SENSIBLE: Es aquella información que afecta la intimidad de su titular por lo que su uso indebido puede generar su discriminación, tales como aquellas que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como la información relativa a la salud, a la vida sexual y los datos biométricos. Esta información No puede ser objeto de tratamiento a menos que sea requerida para salvaguardar un interés vital del titular o éste se encuentre incapacitado y su obtención haya sido autorizada expresamente.
DATO PERSONAL PÚBLICO: Es aquel tipo de dato personal que las normas y la Constitución han determinado expresamente como públicos y, para cuya recolección y tratamiento, no es necesaria la autorización del titular de la información. Por ejemplo: estado civil de las personas, datos contenidos del RUNT, datos contenidos en sentencias judiciales ejecutoriadas, entre otros.
ENCARGADO DEL TRATAMIENTO: Es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.
RESPONSABLE DEL TRATAMIENTO: Es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos
TITULAR: es aquella persona natural, dueña del dato personal y que debe autorizar su tratamiento. En el caso de los menores de edad, sus representantes legales tendrán la facultad de autorizar o no el tratamiento de sus datos personales.
TRATAMIENTO: Es cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
TRANSFERENCIA: La transferencia de datos tiene lugar cuando el responsable o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
TRANSMISIÓN: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
ARTÍCULO 7º. PRINCIPIOS: En el desarrollo, interpretación y aplicación de la ley 1581 de 2012 por la cual se dictan disposiciones generales para la protección de datos personales y las normas que la complementan, modifican o adicionan, se aplicarán de manera armónica e integral los siguientes principios rectores:
Principios relacionados con la recolección de datos personales
PRINCIPIO DE LA LEGALIDAD: el Tratamiento de datos es una actividad regulada que debe sujetarse a lo estableció en la ley y las demás disposiciones que la desarrollen.
PRINCIPIO DE LIBERTAD: el tratamiento solo puede ejercerse con el consentimiento previo, expreso, e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
PRINCIPIO DE LIMITACIÓN DE LA RECOLECCIÓN: Sólo deben recolectarse los datos personales que sean estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo del tratamiento. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Es decir, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.
Principios relacionados con el uso de datos personales
PRINCIPIO DE FINALIDAD: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. En lo correspondiente a la recolección de datos personales, CORPOSUCRE se limitará a aquellos datos que sean pertinentes y adecuados para la finalidad con la cual fueron recolectados o requeridos.
PRINCIPIO DE TEMPORALIDAD: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir la finalidad del tratamiento y las exigencias legales o instrucciones de las autoridades de vigilancia y control u otras autoridades competentes. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Para determinar el término del tratamiento se considerarán las normas aplicables a cada finalidad y los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la (s) finalidad(es) se procederá a la supresión de los datos
PRINCIPIO DE NO DISCRIMINACIÓN: Queda prohibido realizar cualquier acto de discriminación por las informaciones recaudadas en las bases de datos o archivos.
PRINCIPIO DE REPARACIÓN: Es obligación indemnizar los perjuicios causados por las posibles fallas en el tratamiento de datos personales.
Principios relacionados con la calidad de la información.
PRINCIPIO DE VERACIDAD O CALIDAD: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Se deberán adoptar medidas razonables para asegurar que los datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando CORPOSUCRE lo determine, sean actualizados, rectificados o suprimidos cuando sea procedente
Principios relacionados con la protección, el acceso y circulación de datos personales
PRINCIPIO DE SEGURIDAD: la información sujeta a tratamiento por CORPOSUCRE, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
PRINCIPIO DE TRANSPARENCIA: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
PRINCIPIO DE ACCESO RESTRINGIDO: Sólo se permitirá acceso a los datos personales a las siguientes personas: - Al titular del dato - A las personas autorizadas por el titular del dato - A las personas que por mandato legal u orden judicial sean autorizadas para conocer la información del titular del dato. - A las demás personas legitimadas según lo indica el artículo 20 del decreto 1377 de 2013. En todos los casos, antes de dar acceso a los datos se debe establecer con certeza y suficiencia la identidad de la persona que solicita conocer los datos personales. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley y a la presente política.
PRINCIPIO DE CIRCULACIÓN RESTRINGIDA: Sólo se puede enviar o suministrar los datos personales a las siguientes personas: - Al titular del dato - A las personas autorizadas por el titular del dato - A las demás personas legitimadas según lo indica el artículo 20 del decreto 1377 de 2013. - A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial, en este último caso, de conformidad con lo establecido por la Corte Constitucional, se procederá de la siguiente manera: En primer lugar, la entidad pública o administrativa debe justificar su solicitud indicando el vínculo entre la necesidad de obtener el dato y el cumplimiento de sus funciones constitucionales o legales. En segundo lugar, con la entrega de la información se le informará a la entidad pública o administrativa que debe cumplir los deberes y obligaciones que le impone la ley 1581 de 2012 y sus normas reglamentarias como Responsable del tratamiento. La entidad administrativa receptora de los datos personales debe cumplir con las obligaciones de protección y las garantías que se derivan de la citada ley, en especial la observancia de los principios de finalidad, uso legítimo, circulación restringida, confidencialidad y seguridad.
PRINCIPIO DE CONFIDENCIALIDAD: CORPOSUCRE está obligada a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
ARTÍCULO 8º. TRATAMIENTO Y FINALIDAD: El tratamiento estará enmarcado en el orden legal y en virtud de la condición de “CORPOSUCRE” como Institución de Educación Superior, y serán todos los necesarios para el cumplimiento de la misión institucional de docencia, investigación y extensión.
Los datos personales de los titulares (prospectos de estudiantes, inscritos, estudiantes admitidos, matriculados, ausentes, desertores, egresados, empleados, personal inactivo, contratistas, etc.) de los que CORPOSUCRE es responsable y encargado, serán tratados de manera general con la siguiente finalidad:
- Programación de eventos, reuniones, citas etc.
- Establecer una comunicación directa con el titular.
- Solitudes referencia personal, comercial o laboral de otros titulares.
- Respuestas a solicitudes, oportunidades de mejora, peticiones, quejas y reclamos.
- Generación de certificados en general.
- Campañas informativas sobre la normatividad.
- Campañas comerciales de mercadeo y/o promoción de servicios.
- Campañas de educación al usuario.
- Información del estado de relaciones comerciales y servicios ofrecidos.
- Información de nuevos productos y servicios.
- Encuestas de satisfacción o sobre temas de interés para la organización.
- Generación de documentos contables y administrativos (Facturas, órdenes de compra etc.).
- Labores de autenticación como pueden ser: credenciales de acceso, datos biométricos controles de suplantación y acceso a las instalaciones.
- Información para fines históricos, estadísticos o científicos.
De manera específica tendrán la siguiente finalidad:
Titular | Finalidad |
---|---|
ESTUDIANTES | Custodia y tratamiento de la información que resulte de trasmites administrativos y académicos, como solicitudes de crédito directo, solicitudes de beca, encuestas, entrevistas psicológicas programación de actividades asociadas a la educación y enseñanza, culturales, recreativas, deportivas, sociales y registro académico, registro biométrico en la firma de matrícula académica y cualquier otra información que resulte de la relación entre el estudiante y CORPOSUCRE. |
PROSPECTO DE ESTUDIANTE | El tratamiento y recolección de la información de posibles candidatos para ingresar a los diferentes programas de pregrado, posgrado, educación continua, formación empresarial y en general para las actividades que se enmarquen dentro del objeto social y estatutos de CORPOSUCRE. |
EGRESADOS | Tratamiento y custodia de los datos personales de los egresados, las actividades que se desarrollen durante el contacto, seguimiento, caracterización y fidelización del egresado. |
ASPIRANTES A UN CARGO ADMINISTRATIVO O ACADEMICO | Tratamiento y custodia de los datos personales de posibles candidatos y contratista durante el proceso de selección de personal de CORPOSUCRE. |
PERSONAL ADMINISTRATIVO Y DOCENTE (Activo e Inactivo) | Tratamiento y Custodita de información como: Hoja de Vida, Certificaciones Laborales, pago de nómina, incapacidades médicas, horario, registro biométrico como control de entrada y salida del personal activo y para la firma de contrato laboral. |
BENEFICIARIOS DE LOS COLABORADORES | Tratamiento y Custodia de los datos personales del grupo familiar de los colaboradores, para realizar las afiliaciones correspondientes a EPS, caja de compensación o actividades recreativas y/o relacionadas con los diferentes beneficiarios. |
PROVEEDORES Y TERCEROS | Tratamiento y custodia de la información que resulte de los procesos de compras y procesos contables; gestión de convenios con el sector externo o partes interesadas. |
INVITADOS Y VISITANTES | Tratamiento y custodia de los datos personales de los invitados y visitantes a la Institución durante el tiempo que dure su estadía en CORPOSUCRE. |
PARAGRAFO 1. Para el tratamiento y custodia, se considera como medio de información las fotografías videos, producciones audiovisuales, formatos en papel etc.)
PARAGRAFO 2. Para los datos personales de titulares clasificados como terceros, para los cuales CORPOSUCRE es la institución encargada del tratamiento de datos en favor de estudiantes, proveedores o colaboradores, si la finalidad es distinta de las anteriormente definidas, deben ser especificadas mediante oficio por parte de la entidad responsable del tratamiento y debe ser adjuntada al contrato o solicitud de servicio.
ARTÍCULO 9°. POLÍTICA DE TRATAMIENTO: Al realizar el Tratamiento de los Datos Personales, CORPOSUCRE cumplirá con los requisitos contenidos en las normas aplicables y tendrá en cuenta los siguientes lineamientos:
- La presente Política deberá cumplir en todo momento con lo establecido en las Normas Aplicables y estará a disposición de los Titulares y terceros que deseen consultarla.
- CORPOSUCRE será el Responsable del Tratamiento de los Datos Personales que sean recolectados. Los Datos Personales generalmente se obtienen directamente del Titular (o de sus padres, si es menor de edad), quienes proporcionarán los Datos Personales a través del diligenciamiento de formularios físicos o web.
- Los Datos Personales contenidos en las Bases de Datos de CORPOSUCRE serán manejados bajo estrictas políticas de seguridad y confidencialidad. Para proteger la confidencialidad de la información personal tratada, CORPOSUCRE utiliza medidas técnicas y organizativas apropiadas a la delicadeza de la información. El acceso a la información de carácter confidencial o sensible se limita al personal de CORPOSUCRE que se haya autorizado para el tratamiento de los Datos Personales. En el caso en que se evidencie algún riesgo o violación al Tratamiento de los Datos Personales será responsabilidad de la persona o área que lo detecte informar de manera inmediata sobre tal riesgo al área encargada de la protección de Datos Personales de CORPOSUCRE.
- Según lo permitan las leyes locales, cierta información personal de carácter general (nombres, direcciones, números de teléfono y correos electrónicos) podrán distribuirse a los miembros de la comunidad académica y administrativa de CORPOSUCRE dentro del mismo barrio o zona, siempre que cuente con el consentimiento previo del Titular.
- No se podrá recolectar información si el titular no da previa autorización.
- La entrega de información personal es voluntaria. Al proporcionar información personal del titular, la persona obtendrá el consentimiento de la otra persona y le proporcionará acceso al Aviso de Privacidad de Datos. En todo caso de no ser posible contactar al Titular de los Datos Personales, CORPOSUCRE dejará de realizar el Tratamiento de los mismos. Este requisito no se aplica cuando los padres proporcionan información personal a CORPOSUCRE en nombre de sus hijos menores de edad.
- CORPOSUCRE, por ser una entidad sin ánimo de lucro, podrá realizar el Tratamiento de Datos Personales sensibles, es decir de aquellos Datos Personales que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación o conlleve un riesgo grave para éste de conformidad con las finalidades establecidas en la presente Política. En todo caso, la transmisión de dichos datos no se podrá realizar salvo que se cuente con autorización expresa para tal fin.
- Así mismo, CORPOSUCRE realizará el Tratamiento de Datos Personales de niños, niñas y adolescentes, para lo cual deberá contactar a un padre o tutor del menor para obtener el consentimiento y autorización para el Tratamiento de dichos Datos Personales. En caso de no haber sido posible obtener el consentimiento del padre o tutor del menor después de un período razonable de tiempo, o si el padre o tutor expresamente solicita no usar o no mantener dicha información, CORPOSUCRE procederá a eliminar dicha información de las Bases de Datos.
- El área responsable dentro de CORPOSUCRE para realizar del Tratamiento de los Datos Personales y atender las consultas o reclamos relacionados con los Datos Personales es: La Dirección de Planeación.
- CORPOSUCRE se reserva el derecho de efectuar modificaciones a la presente Política. De conformidad con lo establecido en el artículo 5 del Decreto 1377 de 2013, cuando se presenten cambios sustanciales referidos a la identificación del Responsable y a la finalidad del tratamiento los cuales afecten el contenido de la autorización, será necesario comunicar dichos cambios al Titular y obtener una nueva autorización.
ARTÍCULO 10°. DERECHOS QUE LE ASISTEN AL TITULAR DE LA INFORMACIÓN: El titular de los datos personales tendrá los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales frente a CORPOSUCRE en su condición de responsable del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada a CORPOSUCRE salvo cuando expresamente se exceptúe como requisito para el tratamiento (casos en los cuales no es necesaria la autorización).
- Ser informado por CORPOSUCRE, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
ARTÍCULO 11°. DERECHOS DE LOS NIÑOS Y ADOLESCENTES: En el tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.
Queda proscrito el tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.
Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás.
ARTÍCULO 12°. DEBERES EN RELACION CON EL TRATAMIENTO DE DATOS PERSONALES: En virtud de la presente política de tratamiento y protección de datos personales, son deberes de CORPOSUCRE, sin perjuicio de las disposiciones previstas en la ley:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
- Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Actualizar la información, atendiendo de esta forma todas las novedades respecto de los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para que la información se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
- Respetar las condiciones de seguridad y privacidad de la información del titular.
- Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
- Identificar cuando determinada información se encuentra en discusión por parte del titular.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
- Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012.
- La corporación universitaria Antonio José de Sucre, procederá de acuerdo con la normatividad vigente y la reglamentación que para tal fin expida el Gobierno Nacional, a realizar el registro de sus bases de datos, ante el Registro Nacional de Bases de Datos (RNBD) que será administrado por la Superintendencia de Industria y Comercio. El RNBD, es el directorio público de las bases de datos sujetas a tratamiento que operan en el país; y que será de libre consulta para los ciudadanos, de acuerdo con la normatividad que para tales efectos expida el gobierno nacional.
CORPOSUCRE hará uso de los datos personales del titular solo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
ARTICULO 13°. TRATAMIENTO DE INFORMACION DATOS SENSIBLES: CORPOSUCRE prohíbe a sus servidores y colaboradores directos o indirectos divulgar datos considerados como sensibles en la constitución y la ley, tales como origen racial o étnico, preferencia política, afiliación sindical, afiliación a organizaciones sociales gubernamentales o no, organismos de derechos humanos, convicciones religiosas, orientación sexual, datos biométricos o de salud, etc., los cuales están sometidos a reserva y confidencialidad, en especial cuando se trata de NIÑOS MENORES DE EDAD Y ADOLESCENTES.
De acuerdo con nuestra política de tratamiento de datos personales, los medios a través de los cuales CORPOSUCRE efectuara un tratamiento de la información personal de niños, niñas y adolescentes, respetando el interés superior de los mismos y asegurando, en todos los casos el respeto de sus derechos fundamentales y garantías que se requieran.
Cuando se requiera darle tratamiento a la información personal de menores de edad CORPOSUCRE obtendrá la autorización correspondiente por parte de uno de los padres o de la persona que tenga la patria potestad del menor.
ARTICULO 14°. AUTORIZACIONES Y CONSENTIMIENTO DEL TITULAR: La Ley 1581 de 2012 exige que la autorización para recolectar datos personales (dirección de correo electrónico, teléfono, etc.) sea informada, previa y expresamente tal y como se ilustra a continuación:
Sin perjuicio de las excepciones previstas en la Ley, en el tratamiento de datos personales del titular se requiere la autorización previa e informada de éste, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
Así las cosas, los obligados a cumplir esta política deberán obtener de parte del titular su autorización previa, expresa e informada para recolectar y tratar sus datos personales. Esta obligación no es necesaria cuando se trate de datos de naturaleza pública, tratamiento de información para fines históricos, estadísticos o científicos en los cuales no se vincule la información a una persona específica y datos relacionados con el Registro Civil de las Personas.
Para obtener la autorización se deberá seguir las siguientes instrucciones:
En primer lugar, antes de que la persona autorice es necesario informarle de forma clara y expresa lo siguiente:
- El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
- El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
- Los derechos que le asisten como titular previstos en el artículo 8 de la ley 1581 de 2012.
- La identificación, dirección física o electrónica y teléfono de CORPOSUCRE. En segundo lugar, obtendrá el consentimiento del titular a través de cualquier medio que pueda ser objeto de consulta posterior.
Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento. Si el Titular solicita copia de éstos deberán suministrárselos.
La autorización también podrá obtenerse a partir de conductas inequívocas del Titular del Dato que permitan concluir de manera razonable que éste otorgó su consentimiento para el tratamiento de su información. Dicha(s) conducta(s) debe(n) ser muy clara(s) de manera que no admita(n) duda o equivocación sobre la voluntad de autorizar el tratamiento. En ningún caso, el silencio del Titular podrá considerarse como una conducta inequívoca.
ARTÍCULO 15°. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN: La autorización puede constar en un documento físico, electrónico, en un archivo de audio o en cualquier otro formato que permita garantizar su posterior consulta. El contenido de la autorización otorgada para la recolección y tratamiento del dato será emitido por CORPOSUCRE, y será puesta a disposición del Titular previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2012.
Con el procedimiento de autorización consentida se garantiza que se ha puesto en conocimiento del titular de los datos personales, tanto el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de conocer cualquier alternación a los mismos y el uso específico que de ellos se ha dicho. Lo anterior con el fin de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de información personal. La autorización contendrá lo siguiente:
- Quién recopila (responsable o encargado)
- Qué recopila (datos que se recaban)
- Para qué recoge los datos (las finalidades del tratamiento)
- Cómo ejercer derechos de acceso, corrección, actualización o supresión de los datos personales suministrados.
- Si se recopilan datos sensibles, y la posibilidad de no darlos a conocer.
ARTÍCULO 16°. PRUEBA DE LA AUTORIZACIÓN: CORPOSUCRE, adoptará todas las medidas necesarias para mantener registro de la obtención de autorización por parte de los titulares de datos personales para el tratamiento de los mismos.
ARTÍCULO 17°. DATOS RECOLECTADOS ANTES DE LA EXPEDICIÓN DEL DECRETO 1377 DE 2013:
- Los responsables del tratamiento de los datos deberán informar a los titulares de los datos ya recolectados las políticas de uso de los mismos, y cuestionar sobre el continuo uso y manejo, lo anterior por los métodos ya mencionados en este manual.
- Si para quien está a cargo del tratamiento de datos es dificultoso la ubicación e información a cada titular de los datos, frente a los procesos que se llevaran a cabo con los mismos, podrá implementar otros mecanismos alternos, como diarios de amplia circulación nacional, diarios locales o revistas, página de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días hábiles siguientes a su implementación. Igualmente sucedería cuando para el responsable de los datos sea imposible ubicar al titular de los mismos por omisión de datos de ubicación o cambio en los mismos sin actualización propia.
- Si en el término de treinta (30) días hábiles, después de interponer alguno de los anteriores mecanismos, el titular de los datos no ha tenido comunicación con el Responsable o Encargado, podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los Titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.
- En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581 de 2012 y el presente Decreto. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.
Para efectos de dar cumplimiento a lo dispuesto en el artículo 9º de la Ley 1581 de 2012, los Responsables del tratamiento de datos personales establecerán mecanismos para obtener la Autorización de los titulares o de quien se encuentre legitimado en los términos de la Ley. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada. La Autorización podrá otorgarse conforme a alguna de las siguientes opciones: (i) Por escrito, (ii) De forma verbal o (iii) Mediante conductas inequívocas del titular que permitan concluir de manera razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
Así mismo, de conformidad a lo dispuesto en el artículo 10º del Decreto 1377 de 2013, CORPOSUCRE publicó en su sitio web y en sus instalaciones principales el aviso de privacidad a través del cual comunico la existencia de la presente política, informando al respecto a la Superintendencia de Industria y Comercio. Conforme se indica en este Decreto, si en el término de treinta (30) días hábiles a partir de la implementación del anterior mecanismo, los titulares no contactaron al RESPONSABLE o ENCARGADO para solicitar la supresión de sus datos personales, el RESPONSABLE y ENCARGADO podrán continuar realizando el Tratamiento de los datos personales contenidos en sus bases de datos para la finalidad o finalidades previstas e indicadas en la política de tratamiento de la información.
ARTÍCULO 18°. REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESIÓN DE DATOS: El titular tendrá derecho a solicitar en cualquier momento a CORPOSUCRE, la revocatoria de la autorización y la supresión de sus datos personales cuando:
- Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
- Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados.
La supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, base de datos o tratamientos realizados por CORPOSUCRE. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio del mismo en los siguientes casos:
- La solicitud de supresión de la información no procederá cuando el Titular tenga el deber legal o contractual de permanecer en la base de datos.
- No sea posible efectuar la eliminación del dato por orden de la autoridad judicial o administrativa con competencia en el territorio Nacional.
- Los datos sean necesarios para proteger los intereses jurídicamente tutelables del Titular, o para garantizar el cumplimiento de una obligación legalmente adquirida por el Titular.
ARTÍCULO 19° AVISO DE PRIVACIDAD: El aviso de privacidad es el documento físico, electrónico o en cualquier otro formato, puesto a disposición del titular de los datos personales, para el tratamiento de sus datos. A través de este documento se comunica al titular de la información:
- El nombre o razón social y datos de contacto del responsable del tratamiento
- El tratamiento al cual serán sometidos los datos y la finalidad del mismo
- Los derechos que le asisten al titular
- Los mecanismos generales dispuestos por el responsable para que el titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. En todos los casos, debe informar al titular como acceder o consultar la política de tratamiento de la información.
No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter voluntario de responder a las preguntas que se versen sobre este tipo de datos.
El aviso de privacidad de CORPOSUCRE, se encuentra disponible, entre otros medios, en la página web www.corposucre.edu.co y el de video vigilancia en el ingreso a las instalaciones de CORPOSUCRE.
Esta leyenda se encuentra impresa en los formularios o documentos por medio de los cuales se recolecta información de prospectos de estudiantes, inscritos, estudiantes admitidos, matriculados, ausentes, desertores, egresados, donantes, empleados, proveedores y demás titulares de los datos personales que maneja CORPOSUCRE.
Cuando se recolectan de manera verbal, esta leyenda es comunicada al Titular de igual forma, y de la autorización se deja constancia a través de medios técnicos dispuestos para el efecto.
ARTÍCULO 20°. EVENTOS EN LOS CUALES NO ES NECESARIA LA AUTORIZACIÓN DEL TÍTULAR DE LOS DATOS PERSONALES: La autorización del titular de la información no será necesaria en los siguientes casos:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el Registro Civil de las personas.
ARTÍCULO 21° LEGITIMACIÓN PARA EL EJERCICIO DEL DERECHO DEL TITULAR: Los derechos de los titulares establecidos en la Ley podrán ejercerse por las siguientes personas:
- Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición CORPOSUCRE.
- Por los causahabientes del titular, quienes deberán acreditar tal calidad.
- Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
ARTICULO 22°. TRANFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES: CORPOSUCRE en cumplimiento de la misión institucional de docencia, investigación y extensión y en consideración de sus vínculos permanentes u ocasionales de carácter académico y administrativos con instituciones internacionales, entidades gubernamentales internacionales, agencias de cooperación internacional podrá efectuar transferencia y transmisión de datos personales de los titulares.
Para la transferencia internacional de datos personales de los titulares, CORPOSUCRE tomará las medidas necesarias para que los terceros conozcan y se comprometan a observar esta Política, bajo el entendido que la información personal que reciban, únicamente podrán ser utilizada para asuntos directamente relacionados con CORPOSUCRE y solamente mientras ésta dure y no podrá ser usada o destinada para propósito o fin diferente. Para la transferencia internacional de datos personales se observará lo previsto en el artículo 26 de la Ley 1581 de 2012.
Las transmisiones internacionales de datos personales que efectúe CORPOSUCRE, no requerirán ser informadas al Titular ni contar con su consentimiento cuando medie un contrato de transmisión de datos personales de conformidad al artículo 25 del Decreto 1377 de 2013.
Con la aceptación de la presente política, el Titular autoriza expresamente para transferir y transmitir Información Personal. La información será transferida y transmitida, para todas las relaciones que puedan establecerse con la CORPOSUCRE.
ARTÍCULO 23°. VIDEO VIGILANCIA:
- CORPOSUCRE utiliza diversos medios de video-vigilancia instalados en diferentes sitios internos y externos de nuestras instalaciones u oficinas.
- CORPOSUCRE informa sobre la existencia de estos mecanismos mediante la difusión en sitios visibles de anuncios de video-vigilancia.
- La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización.
ARTÍCULO 24°. MEDIDAS DE SEGURIDAD APLICADAS AL TRATAMIENTO DE LAS BASES DE DATOS: CORPOSUCRE protege la información mediante varios mecanismos como, entre otros, los siguientes:
- Capacitación del personal que ingresa a la institución acerca de la Política de Tratamiento de datos personales y los mecanismos y protocolos de seguridad para el tratamiento de estos.
- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
- Funciones y obligaciones del personal.
- Estructura de las bases de datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Procedimientos de realización de copias de respaldo y de recuperación de los datos.
- Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se implemente.
- Medidas a adoptar cuando un soporte o documento sea transportado, desechado o reutilizado.
- El procedimiento deberá mantenerse actualizado en todo momento y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
- El contenido del procedimiento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos personales.
- Protección de acceso a los datos mediante contraseñas y roles de diferentes niveles de autoridad.
- Protección de las contraseñas.
- Aseguramiento del nivel de complejidad de las contraseñas de los usuarios.
- Rastreo de todas las actividades realizadas con las plataformas y sus datos.
- Procedimientos de recuperación y redundancia.
- Almacenamiento de las copias de respaldo.
- Cifrado y protección por contraseña de los computadores desde los que se realiza la manipulación de los datos.
ARTICULO 25°. RESPONSABILIDAD DEMOSTRADA FRENTE AL TRATAMIENTO DE DATOS PERSONALES: CORPOSUCRE adoptará las medidas necesarias para, de ser necesario, demostrar ante la Superintendencia de Industria y Comercio (SIC) que ha implementado medidas apropiadas y efectivas para cumplir con sus obligaciones legales en todo lo relacionado con el tratamiento de datos personales. Dichas medidas serán consistentes con las instrucciones que para el efecto imparta la SIC y los mandatos de los artículos 26 y 27 del decreto 1377 de 2013.
ARTICULO 26°. CAMBIOS SUSTANCIALES DE LA PRESENTE POLÍTICA O DE LAS AUTORIZACIONES: De conformidad con los artículos 5 y 13 del decreto 1377 de 2013, cualquier cambio sustancial de la presente política deberá ser comunicado oportunamente por CORPOSUCRE a los titulares de los datos de una manera eficiente antes de implementar las nuevas políticas. Por cambios sustanciales se entenderán aquellos referidos a la identificación del responsable y a la finalidad del tratamiento de los datos personales. Además, CORPOSUCRE deberá obtener del titular del dato una nueva autorización cuando el cambio se refiera a la finalidad del tratamiento.
ARTICULO 27°. FECHA DE ENTRADA EN VIGENCIA DE LA PRESENTE POLÍTICA Y PERÍODO DE VIGENCIA DE LA BASE DE DATOS: Esta política fue aprobada en cumplimiento de la Ley 1581 de 2012 y los Decretos 1377 de 2013, 886 de 2014, 1074 de 2015, y la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio razón por la cual entrará en vigencia a partir de la fecha de su expedición y publicación. La vigencia de la base de datos será el tiempo razonable y necesario para cumplir las finalidades del tratamiento teniendo en cuenta lo dispuesto en el artículo 11 del Decreto 1377 de 2013.
PUBLIQUESE Y CUMPLASE
Dado en la ciudad de Sincelejo, a los treinta y un (31) días del mes de agosto de 2018.
DIONISIO VELEZ WHITE
Presidente
LUISA GARCIA PINEDA
Secretaria General