Manual de Tratamiento de Datos Personales

GL INGENIEROS S.A. ha decidido adoptar de forma voluntaria el presente Manual, el cual establece las condiciones de organización, obligaciones de los implicados e intervinientes en el tratamiento y uso de la información de carácter personal, régimen de funcionamiento, y procedimientos aplicables al tratamiento de datos personales que en el desarrollo de su objeto social la empresa tenga que solicitar, utilizar, almacenar, corregir, ceder o suprimir.

Este manual se aplica en cumplimiento a lo dispuesto por La Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, Decreto Reglamentario 886 de 2014, Decreto Único 1074 de 2015 y la Circular No. 2 de la Superintendencia de Industria y Comercio, así como las demás normas que reglamentan y complementan el tratamiento para la Protección de Datos Personales en Colombia.

GL INGENIEROS S.A. como recolector de información y responsable del tratamiento de bases de datos, adopta este manual para establecer las políticas con las que se basará para el manejo de información de datos personales, por lo tanto hace público a todos los interesados el presente Manual que contiene todos los elementos esenciales, sencillos y seguros para el cumplimiento con la legislación correspondiente a la Protección de Datos Personales.

Este manual tendrá vigencia a partir del 1 de febrero del año 2016. Las políticas aquí establecidas podrán ser consultadas en el sitio web de la empresa www.glingenieros.com.co, así como en las carteleras corporativas.

Conforme a lo establecido en el artículo 3 de la Ley Estatutaria 1581 de 2012 y para efectos del presente manual se entiende por:

Autorización: Consentimiento previo, expreso e informado por el Titular para llevar a cabo el Tratamiento de datos personales.

Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Base de Datos: Conjunto organizado de datos personales susceptibles a Tratamiento.

Datos personales: Información asociada a una persona que permite su identificación, ubicación, contacto, etc. Cualquier información vinculada o que pueda asociarse a una o varias personas naturales.

Datos privados: Información que sólo es relevante para el Titular.

Datos públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. También se entenderá que todos los datos que estén contenidos en los registros públicos tendrán esta misma naturaleza.

Dato sensible: Aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Oficial de protección de datos: Es la persona dentro de GL INGENIEROS, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales, bajo la orientación y lineamientos del Comité de Seguridad de la Información. El Comité de Seguridad de la Información designará el Oficial de Protección de Datos.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Tercero: Persona natural o jurídica, pública o privada u organización administrativa distinta al Titular y al Responsable del Tratamiento.

Titular: Persona natural cuyos datos personales son objeto de Tratamiento.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

El manejo y tratamiento de datos personales, sensibles y de menores, dentro de la empresa está enmarcado bajo los siguientes principios:

1. Principio de finalidad: El tratamiento de los datos personales deberá obedecer a una finalidad legítima, previamente informada al Titular.
2. Principio de libertad: el tratamiento sólo puede realizarse con la autorización previa y expresa del Titular. Ningún dato personal podrá ser divulgado sin esta autorización.
3. Principio de veracidad o calidad: La información relacionada en el Tratamiento deberá ser completa, veraz, actualizada y comprobable. No deberán haber datos parciales, incompletos o fraccionados que induzcan a error.
4. Principio de transparencia: Debe garantizársele al Titular el derecho a obtener en cualquier momento, por parte de GL INGENIEROS S.A., información acerca de la existencia de los datos que le conciernen.
5. Principio de acceso y circulación restringida: Todos los datos personales, a excepción de los datos públicos, no podrán estar disponibles en Internet u otros medios de comunicación o divulgación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido a un Tercero o al mismo Titular.
6. Principio de seguridad: La información sujeta a Tratamiento por GL INGENIEROS S.A., se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
7. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

De conformidad con el artículo 2 de la Ley 1581 de 2012, se excluyen de la aplicación de la ley y del manual las siguientes bases de datos:

1. Bases de datos o archivos mantenidos en ámbito exclusivamente personal o doméstico. (en caso de que se vayan a suministrar a un Tercero, deberá ser previamente autorizado por el Titular)
2. Bases de datos o archivos que tengan por finalidad la seguridad nacional, la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
3. Bases de datos que contengan información de inteligencia y contrainteligencia.
4. Bases de datos que contenga información periodística y otros contenidos editoriales.
5. Bases de datos con información financiera, crediticia, comercial y de servicios, de los censos de población y vivienda.

a) Tratamiento de datos sensibles: GL INGENIEROS S.A. solo trata datos personales sensibles para lo estrictamente necesario, solicitando consentimiento previo y expreso a los titulares (representantes legales, apoderados, causahabientes) e informándoles sobre la finalidad exclusiva para su tratamiento.

La empresa utiliza y trata datos catalogados como sensibles, cuando: i) El tratamiento haya sido autorizado expresamente por el Titular de los datos sensibles, salvo en los casos que por Ley, no se requiera el otorgamiento de dicha autorización, ii) El Tratamiento sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar la autorización y iii) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Así mismo GL INGENIEROS S.A. cumple con las siguientes obligaciones: i) Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento, ii) Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de Tratamiento son de carácter sensible y la finalidad del tratamiento, y obtener el consentimiento expreso y iii) No condicionar ninguna actividad a que el titular suministre datos personales sensibles (salvo que exista una causa legal o contractual para hacerlo).

 b) Tratamiento de datos de menores de edad: GL INGENIEROS S.A. solo trata datos personales de menores de edad cuando estos sean de naturaleza pública o provengan de la información suministrada por empleados o contratistas, al momento de su vinculación laboral o de prestación de servicios con la empresa. Lo anterior, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y, cuando el tratamiento cumpla con los siguientes parámetros y requisitos: i) Que responda y respete el interés superior de los niños, niñas y adolescentes y ii) Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, GL INGENIEROS S.A. exigirá al representante legal o tutor del niño, niña o adolescente, la autorización del menor, previo a que el menor de su opinión frente al tratamiento que se le dará a sus datos, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, tal como lo indica la Ley.

a) Empleados: Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales que se vinculan laboralmente con GL INGENIEROS S.A. o que han participado en procesos de selección, cuyo tratamiento tiene como finalidad cumplir con las disposiciones legales y reglamentarias. En esta base de datos, se incorpora información privada, pública, datos sensibles y de menores. El tratamiento de los datos para los fines diferentes a las obligaciones derivadas de la relación laboral requerirá autorización previa del titular o su representante legal, según sea el caso.

b) Contratistas y Proveedores: Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales que mantienen un vínculo contractual y comercial, cuyo tratamiento tiene como finalidad cumplir con las disposiciones contractuales entre las partes para las adquisiciones de bienes y servicios demandados por la Empresa para su normal funcionamiento. Esta base de datos contiene datos personales públicos, privados y sensibles, los cuales tienen como finalidad el desarrollo de relaciones contractuales. El tratamiento de estos datos para fines diferentes al mantenimiento de la relación contractual o el cumplimiento de deberes de carácter legal, requiere de autorización previa del titular.

c) Accionistas: Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales que son accionistas de la Empresa, cuyo tratamiento tiene como finalidad cumplir con las disposiciones contenidas en el Código de Comercio y en los Estatutos Sociales. Esta base de datos contiene datos personales públicos, privados y sensibles. El tratamiento de estos datos para fines diferentes a los mencionados, requiere de autorización previa del titular.

d) Miembros de Junta Directiva: Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales que son miembros de la Junta Directiva de la Empresa, cuyo tratamiento tiene como finalidad cumplir con las disposiciones contenidas en el Código de Comercio y en los Estatutos Sociales. Esta base de datos contiene datos personales públicos, privados y sensibles. El tratamiento de estos datos para fines diferentes a los mencionados, requiere de autorización previa del titular.

e) Información General: Son las bases de datos manuales o automatizadas que contengan información de carácter personal que no sea pública, sensible ni de menores. Serán de carácter ocasional para el cumplimiento de finalidades específicas de la Empresa. El tratamiento de estos datos requerirá autorización previa e información de las finalidades de su tratamiento, bajo los formatos que para tal efecto defina la Empresa.

a) Autorización.

La recolección, uso y disposición de los datos personales deberán ser previamente autorizados por el Titular, quien dará su consentimiento libre y expreso para el Tratamiento de sus datos personales. Esta autorización se realizará ya sea por documento físico o electrónico, que garantice la posibilidad de verificar dicha autorización posteriormente. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

No se requerirá autorización del Titular cuando: i) se trate de información de naturaleza pública, ii) sea información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, iii) casos de urgencia médica o sanitaria, iv) tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos y v) datos relacionados con el Registro Civil de las personas.

Aunque el Tratamiento de esta información no requiere una autorización previa, su disposición y uso deberá estar alineado con la ley ya mencionada.

b) Recolección.

El proceso de recolección de información se realizará de manera verbal y escrita y será liderado por la Coordinadora del área de Talento Humano para la información del personal, y el Coordinador de Mercadeo y Ventas para la información de terceros contratistas, quienes se encargarán de organizar la información de manera categórica, bajo los parámetros contenidos en el capítulo VII.

c) Actualización.

La actualización de las bases de datos se realizará cada que se requiera, al inicio de una nueva obra, en su culminación, cuando ingrese nuevo personal o cuando haya cambios significativos en los datos ya registrados. La periodicidad oficial para la actualización general de bases de datos será dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año.

Es importante aclarar que los datos personales sólo podrán ser tratados durante el tiempo que permanezca vigente la finalidad para la que fueron registrados, después de cumplir con esta vigencia, los datos deben ser suprimidos. Con carácter general se consideran como tiempo de cancelación de bases de datos las siguientes:

• Datos de carácter personal para la gestión de recursos humanos: 6 años, a excepción de los datos sobre salarios y cotizaciones que será de 5 años.
• Datos de carácter personal con fines fiscales: 5 años.
• Datos de carácter personal para fines contables: 6 años.
• Datos de carácter personal relacionados con acciones civiles personales: 15 años.
• Datos de carácter personal relacionados con acciones reales sobre bienes inmuebles: 30 años.
• Datos de carácter personal relacionados con la salud: 5 años desde la terminación del proceso asistencial.

d) Disposición

Todos los datos personales registrados en cualquier base de datos en GL INGENIEROS S.A., que sean susceptibles a Tratamiento, deberán alinearse con los principios del presente documento. Por tratarse de bases de datos independientes, se responsabilizará a cada área que haga uso de esta información, de garantizar su seguridad, protección y buen uso de la información.

GL INGENIEROS hará uso de los datos personales, solamente en cumplimiento de las finalidades para las que se encuentra debidamente facultada y autorizada previamente por el titular, respetando en todo momento la normatividad vigente sobre Protección de Datos Personales.

La Empresa como Responsable o Encargada del tratamiento de datos personales, cumple los deberes y obligaciones previstas en el artículo 17 de la Ley 1581 de 2012, y normas que la reglamenten o modifiquen, a saber:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
10. Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
11. Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos (Superintendencia de Industria y Comercio – Delegatura de Protección de Datos -) cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

GL INGENIEROS reconoce y garantiza a los titulares de los datos personales los siguientes derechos fundamentales:

a) Acceder, conocer, actualizar y rectificar sus datos personales frente a la Empresa en su condición de responsable del Tratamiento de datos personales.
b) Solicitar prueba de la existencia de la autorización otorgada a la Empresa, salvo los casos en los que la Ley exceptúa la autorización.
c) Recibir información por parte de la Empresa, previa solicitud, respecto del uso que le ha dado a sus datos personales.
d) Presentar quejas por infracciones a lo dispuesto en la normatividad vigente ante la Superintendencia de Industria y Comercio (SIC).
e) Modificar y revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes. Este Derecho de revocatoria de la autorización no es absoluto siempre y cuando exista una obligación legal o contractual que limite este Derecho.
f) Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

Del derecho de acceso o consulta

GL INGENIEROS garantiza el derecho de acceso solamente a los Titulares de datos personales privados que correspondan a personas naturales, previa acreditación de la identidad del titular, legitimidad, o personalidad de su representante, poniendo a disposición de éste, sin costo los respectivos datos personales tratados, a través de cualquier medio de comunicación, incluyendo los electrónicos que permitan el acceso directo del titular.

Del derecho a reclamar

El Titular de datos personales que correspondan a una persona natural y considere que la información contenida o almacenada en una base de datos puede ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes y principios contenidos en la normatividad sobre Protección de Datos Personales, podrá presentar reclamación ante el Responsable o Encargado del tratamiento.

Del derecho a la rectificación y actualización de datos

GL INGENIEROS se obliga a rectificar y actualizar a solicitud del Titular, la información de carácter personal que corresponda a personas naturales, que resulte incompleta o inexacta. En las solicitudes de rectificación y actualización de datos personales, el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.

Del derecho a la supresión de datos.

El Titular de datos personales, tiene el derecho en todo momento, a solicitar a GL INGENIEROS, la supresión (eliminación) de sus datos personales. Esta supresión implica la eliminación o borrado seguro, total o parcial, de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por la Empresa.

Cualquier consulta o reclamo frente a derechos inherentes de los titulares sobre datos de carácter personal se debe realizar mediante un escrito dirigido a la Empresa adjuntando fotocopia del documento de identidad del Titular interesado o cualquier otro documento equivalente que acredite su identidad y titularidad conforme a Derecho.

Los derechos de acceso, actualización, rectificación, supresión y revocación de la autorización de datos personales son personalísimos y podrán ser ejercidos únicamente por el Titular. No obstante, el Titular podrá actuar a través de representante legal o apoderado cuando aquel se encuentre en situación de incapacidad o minoría de edad, hechos que le imposibilitan el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal o apoderado acredite tal condición.

Con el objeto de facilitar el ejercicio de estos derechos, La Empresa pone a disposición de los interesados, los formatos físicos o electrónicos adecuados a esta finalidad, los cuales se encuentran disponibles en la página web www.glingenieros.com.co y en la sede de la entidad.

Si la consulta o reclamo  estuviese incompleta, se requerirá al titular dentro de los cinco (5) días siguientes a la fecha de radicación de la reclamación para que subsane las fallas o errores. El titular lo podrá completar dentro de los cinco (5) días hábiles siguientes a la recepción del requerimiento. Transcurrido un (1) mes desde la fecha del requerimiento, sin que el solicitante presente la información solicitada, se entenderá que ha desistido del reclamo.

El término máximo para resolver la reclamación es de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, GL INGENIEROS informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Una vez cumplidos y agotados los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación, por parte de la Empresa, podrá poner en conocimiento ante la Autoridad Nacional de Protección de Datos Personales (Superintendencia de Industria y Comercio – Delegatura de Protección de Datos Personales -) la negación o inconformidad frente al derecho ejercido.

El responsable del tratamiento de datos personales es GL INGENIEROS, quien velara por el debido cumplimiento del presente Manual y de las demás normas que regulen la Protección de Datos Personales.

El encargado del tratamiento de datos personales es cualquier persona natural o jurídica, pública o privada, que realice el tratamiento de datos personales por cuenta del responsable. GL INGENIEROS distingue entre encargado interno y encargado externo.

Los encargados internos son los directores de los Departamentos de Talento Humano, Mercadeo y Ventas y Compras; mientras que los externos son personas naturales o jurídicas que tratan datos que la Empresa les suministra para la realización de una tarea asignada (proveedores, consultores, empresas de tercerización).

a) Autorización de tratamiento de datos personales de contratistas o proveedores.
b) Autorización de tratamiento de datos personales de Empleados.
c) Aviso de privacidad.
d) Formato para el ejercicio de derechos.

El presente Manual rige a partir del 1 de Febrero de 2016. La Empresa podrá modificar los términos y condiciones de la presente política para cumplir con las obligaciones establecidas por la Ley 1581 de 2012, los decretos reglamentarios y demás normas que complementen, modifiquen o deroguen esta política. En los casos que esto ocurra se publicará la nueva política en la página web y en nuestra sede.

Si tiene alguna pregunta sobre esta política, comuníquese con GL INGENIEROS o envíe su consulta directamente por cualquiera de los siguientes canales de comunicación:

Dirección: Avenida 30 de Agosto No. 40-45 de la ciudad de Pereira, Risaralda.

Correo electrónico: habeas.data@glingenieros.co, Teléfono: 3291500 extensión 101-104, móvil 311-3165554 y 313-7371297.