Autorización y tratamiento de datos personales

1. OBJETIVO
   Establecer las políticas y normas para el tratamiento de datos personales, el cual podrá comprender la recolección, almacenamiento, uso, circulación, supresión, transmisión, transferencia y/o recepción de los mismos, con el fin de dar cumplimiento con lo dispuesto en la Ley 1581 de 2012, su Decreto Reglamentario 1377 de 2013 y demás disposiciones legales.

2. ALCANCE
   Las políticas y normas de tratamiento aquí establecidas son aplicables a los datos personales que se encuentren recolectados en las bases de datos de PAIS GOURMET S. A. S., en adelante LA EMPRESA, y a los titulares de los mismos, incluidos los colaboradores y los encargados del tratamiento de la información.

3. MARCO LEGAL
   Como norma fundamental se cuenta con el artículo 15 de la Constitución Política de Colombia: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

   Igualmente se cuenta con la Ley Estatutaria 1581 de 2012: “Por la cual se dictan disposiciones generales para la protección de datos personales”.
   
   Así mismo se incorpora su Decreto Reglamentario 1377 de 2013 del Ministerio de Comercio, Industria y Turismo: “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”.
   
   También se tiene en cuenta entre otras regulaciones la Circular Externa No. 02 de la Superintendencia de Industria y Comercio 

4. DEFINICIONES
   4.1. Autorización: Consentimiento previo, expreso e informado del Titular para darle el Tratamiento a sus datos personales.
   4.2. Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento.
   4.3. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
   4.4. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
   4.5. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
   4.6. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
   4.7. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
   4.8. Aviso de Privacidad: comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
   4.9. Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
   4.10. Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
   4.11. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
   4.12. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
   
   *Fuentes: Ley 1581 de 2012 y Decreto 1377 de 2013 del Ministerio de Comercio, Industria y Turismo. 

5. TRATAMIENTO DE LOS DATOS PERSONALES
   Con el fin de garantizar un servicio eficiente, mantener una comunicación efectiva, prestarle una mejor atención e informarle acerca de nuestros productos y servicios, además de facilitarle el acceso general a la información de su interés, PAIS GOURMET S. A. S., en condición de Responsable y Encargado del tratamiento de sus datos personales; el cual implica la recolección, almacenamiento, uso, circulación, supresión, transmisión, transferencia y/o recepción de sus datos para los siguientes fines:

1. El trámite de mi solicitud de vinculación a LA EMPRESA bien como empleado, cliente, deudor, patrocinador, contraparte contractual y/o proveedor
2. El proceso de negociación de contratos con LA EMPRESA, incluyendo la determinación de descuentos por pronto pago y las especificaciones de los productos.
3. La ejecución y el cumplimiento de los contratos que celebre.
4. El control y la prevención del fraude.
5. La liquidación y pago de intereses.
6. Todo lo que involucre la gestión integral de la relación con LA EMPRESA.
7. De ser necesario, controlar el cumplimiento de requisitos para acceder al Sistema General de Seguridad Social Integral
8. La elaboración de estudios técnico-actuariales, estadísticas, encuestas, análisis de tendencias del mercado y, en general, estudios de práctica comercial.
9. Envío de información relativa a la educación financiera, encuestas de satisfacción de clientes y ofertas comerciales de productos, así como de otros bienes o servicios inherentes a la actividad de LA EMPRESA.
10. Realización de encuestas sobre satisfacción en los servicios prestados por LA EMPRESA.
11. Envío de información de posibles sujetos de tributación en los Estados Unidos al Internal Revenue Service (IRS) y/o a la Dirección de Impuestos y Aduanas Nacionales de Colombia (DIAN), en los términos del Foreign Account Tax Compliance Act (FATCA) o las normas que lo modifiquen y las reglamentaciones aplicables.
12. Intercambio o remisión de información en virtud de tratados y acuerdos internacionales e intergubernamentales suscritos por Colombia.
13. La prevención y control del lavado de activos y la financiación del terrorismo y,
14. Consulta, almacenamiento, administración, transferencia, procesamiento y reporte de información a las a las Centrales de Información o bases de datos debidamente constituidas referentes al comportamiento crediticio, financiero y comercial. 

6. DERECHOS DE LOS TITULARES
   
   La Ley 1581 de 2012 establece los siguientes derechos para los titulares de los datos personales:

1. a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
2. b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
3. c) Ser informado por el Responsable o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
4. d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
5. e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento, el Responsable o Encargado ha incurrido en conductas contrarias a la Ley 1581 de 2012 y/o a la Constitución.
6. f) Acceder en forma gratuita a los datos personales que hayan sido objeto de Tratamiento.
7. g) Conocer el carácter facultativo de las respuestas a las preguntas que le sean hechas, cuando versen sobre datos sensibles, entendidos éstos como aquellos que afecten la intimidad del titular o cuyo uso indebido puede generar discriminación o, sobre los datos de los niños, niñas y adolescentes.

IMPORTANTE

“La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos”

Artículo 9 – Decreto 1377 de 2013 del Ministerio de Comercio, Industria y Turismo 

7. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
   Nombre – Razón Social: PAIS GOURMET S. A. S.
   NIT: 901026613-6
   Domicilio: Circular 4ª número 66 B – 11  Medellín
   Teléfono: 3003665336
   Correo: operaciones@medellingourmet.com 

8. POLÍTICAS DE PROTECCIÓN DE DATOS

8.1 GENERALIDADES

1. LA EMPRESA ha identificado a las siguientes áreas como responsables de capturar y realizar Tratamiento sobre los datos personales de personas naturales: sistemas, auxiliares administrativos, gerencia, facturación y Compras. En todo caso, la empresa es la responsable por el adecuado tratamiento de sus datos personales. 

2. Las áreas responsables del Tratamiento deben garantizar que la información del titular sujeta a tratamiento deba ser veraz, completa, exacta, actualizada, comprobable y comprensible. En ningún caso los responsables del tratamiento podrán realizar el tratamiento de datos parciales, incompletos, fraccionados o que induzcan al error. 

3. Las áreas responsables del tratamiento deben garantizar la reserva de la información inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento. 

4. Las áreas responsables del tratamiento deben asegurar el respeto a los derechos prevalentes de los niños, niñas y adolescentes. 

5. LA EMPRESA, no realiza tratamiento a los datos sensibles de los titulares contenidos en sus bases de datos, definidos en el artículo 5 de la Ley 1581 de 2012. 

6. En caso que las áreas antes mencionadas transmitan o transfieran una base de datos a otra entidad, deben garantizar que cuentan con la autorización de los titulares para realizar esta acción. Así mismo, estas áreas deben llevar registro de los datos entregados y el nombre de la entidad que los recibió. Toda entidad que reciba estas bases de datos, solo podrá usar la información para los propósitos que se encuentran definidos en la autorización otorgada por el titular de los datos a LA EMPRESA. 

7. En ningún caso las áreas responsables del tratamiento podrán circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. 

8. Está prohibida la Transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos, solo se podrá realizar esta operación cuando se cuente con la autorización del titular de los datos. 

9. El área de Tecnología e Información es responsable de asegurar que los datos personales de los titulares salvo la información pública (nombre, número de cédula de ciudadanía o datos del registro mercantil) no podrán estar disponibles en internet u otros medios similares de comunicación, de acuerdo con el Principio de Acceso y Circulación Restringida establecido en la Ley 1581 de 2012. 

10. Las áreas responsables del Tratamiento deben garantizar que la información contenida en sus bases de datos, se encuentran bajo las condiciones mínimas de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 

11. En caso que se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares, LA EMPRESA notificará oportunamente de esta situación a la autoridad en protección de datos personales (Superintendencia de Industria y Comercio). 

8.2 AUTORIZACIÓN DE USO DE DATOS PERSONALES

1. Las áreas responsables del tratamiento deben solicitar al titular la autorización previa para capturar y dar tratamiento a sus datos personales e informarle:
2. El tratamiento al cual serán sometidos sus datos y la finalidad del mismo.
3. Los derechos que le asisten como titular de acuerdo al artículo 8 de la Ley 1581 de 2012.
4. La identificación, dirección física o electrónica y el teléfono de LA EMPRESA como Responsable del Tratamiento. 

2. Las áreas responsables del tratamiento no deben capturar su información personal de quienes no estén registrados en las bases de datos de LA EMPRESA y/o no otorguen la autorización para el tratamiento de sus datos personales. 

3. En caso que un titular registrado en las bases de datos de LA EMPRESA desee revocar la autorización o no autorizar el tratamiento de sus datos personales, el área Responsable del Tratamiento debe pedirle que gestione dicha solicitud a través del correo electrónico de LA EMPRESA. 

4. De acuerdo con lo establecido en la Ley 1581 de 2012, el tiempo establecido para dar respuesta a las solicitudes de supresión de datos personales es de quince (15) días hábiles. 

5. Las áreas responsables del tratamiento están en la obligación de conservar la autorización otorgada por el titular y entregar una copia en caso que sea solicitada por el titular o sus causahabientes. 

6. Las áreas responsables del tratamiento deben conservar y proteger la autorización para el tratamiento de datos personales otorgada por el titular, de acuerdo con nuestras políticas ya establecidas. 

7. Las áreas responsables del tratamiento deben conservar, bajo los mismos criterios establecidos en el punto anterior, las solicitudes de supresión de datos radicadas por los titulares de la información. 

8.3 TRATAMIENTO DE LA INFORMACIÓN

1. Las áreas responsables del tratamiento deben garantizar el derecho del titular o de sus causahabientes a obtener en cualquier momento y sin restricciones información acerca de la existencia de los datos que le conciernen. 

2. En ningún caso las áreas responsables del tratamiento podrán realizar el tratamiento de los datos sin la autorización del titular. 

3. En ningún caso las áreas responsables del tratamiento podrán realizar el tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública (nombre y datos del registro civil) bajo la respectiva aprobación de su representante. 

4. En ningún caso se realizará tratamiento a los datos sensibles de los titulares contenidos en las bases de datos (artículo 5 de la Ley 1581 de 2012). 

8.4 CONSULTAS

1. LA EMPRESA ha establecido que el titular o sus causahabientes podrán realizar consultas con relación a sus datos personales, a través del correo electrónico operaciones@paisgourmet.com  o mediante un escrito dirigido al área de Servicio al Cliente en la oficina principal de la empresa, ubicada en la Circular 4ª No. 66 B 11, apartamento 501 Medellín adjuntando copia del documento de identidad. 

2. En caso que el causahabiente del titular realice la solicitud de consulta a través de medio escrito, debe adjuntar un documento que soporte el parentesco con el titular, de lo contrario no se podrá dar trámite a dicha solicitud. 

3. Toda solicitud de consulta radicada por medio escrito, debe direccionase al área de Servicio al Cliente en un tiempo máximo de dos (2) día hábiles contados a partir de la fecha de recibido. El Auxiliar de Servicio al Cliente debe gestionar la respuesta a dicha solicitud, en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma, de acuerdo con lo establecido por la Ley 1581 de 2012. 

4. En caso que LA EMPRESA no pueda atender la consulta en el tiempo establecido, el área responsable del tratamiento debe informar al interesado los motivos de la demora y la fecha en la que se atenderá su consulta, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. 

5. Las áreas responsables del tratamiento deben garantizar que se conservan los registros de las solicitudes y de las respuestas dadas a los titulares o sus causahabientes. 

8.5 RECLAMOS

1. LA EMPRESA ha establecido que el titular o sus causahabientes podrán interponer un reclamo con relación a sus datos personales, a través del correo electrónico operaciones@paisgourmet.com o mediante un escrito dirigido al área de Sistemas en la oficina principal de la empresa en la Circular 4ª No. 66 B – 11 apartamento 501 Medellín, adjuntando copia del documento de identidad. 

2. En caso que el causahabiente del titular interponga un reclamo, debe adjuntar un documento que soporte el parentesco con el titular, de lo contrario no se podrá dar trámite al reclamo. 

3. Todo reclamo interpuesto y radicado por medio escrito, debe direccionase al área de Sistemas en un tiempo máximo de dos (2) día hábiles contados a partir de la fecha de recibido. El Auxiliar de Sistemas debe gestionar la respuesta a dicha solicitud cumpliendo los tiempos establecidos por LA EMPRESA para el proceso de Reconocimientos, Sugerencias y Reclamos. 

4. De acuerdo con lo establecido en la Ley 1581 de 2012, el reclamo debe incluir la identificación del titular, la descripción de los hechos que dan lugar al mismo, la dirección y estar acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. 

5. En caso de que LA EMPRESA no sea competente para resolver el reclamo interpuesto, le informará la situación al interesado y dará traslado a quien corresponda en los términos y plazos establecidos por la ley. 

6. Una vez recibido el reclamo con la información completa, el área responsable del tratamiento debe garantizar que en las bases de datos correspondientes, se incluya la leyenda “Reclamo en Trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. 

7. El responsable dar respuesta al reclamo debe enviar la contestación al Auxiliar de Sistemas, para que sea enviada por el medio en que el titular haya solicitado. 

8. De acuerdo con lo establecido en la Ley 1581 de 2012, el término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de recibido. Cuando no sea posible atender el reclamo dentro de dicho término, se debe informar al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual no debe superar los ocho (8) días hábiles siguientes al vencimiento del primer término. 

9. En caso que LA EMPRESA sea notificada por la autoridad competente, sobre procesos judiciales en su contra relacionados con el tratamiento de datos personales, se incluirá la leyenda “Información en Discusión Judicial” en los respectivos registros de las bases de datos. 

10. La información del titular que se encuentra en trámite de reclamación, que esté siendo controvertida por el titular y cuyo bloqueo sea ordenado por la Superintendencia de Industria y Comercio, no puede ser usada por las áreas encargadas del tratamiento. 

11. En caso que la Superintendencia de Industria y Comercio identifique un riesgo que vulnere los derechos fundamentales del titular, podrá solicitar a LA EMPRESA el bloqueo temporal de los datos y el área responsable del tratamiento deberá garantizar que se efectúe esta acción en el menor tiempo posible. 

12. LA EMPRESA y las áreas encargadas del tratamiento de los datos personales, deben brindar toda la información que la Superintendencia de Industria y Comercio requiera para el ejercicio efectivo de sus funciones. 

9. SANCIONES

9.1. De acuerdo con el Artículo 23 de la Ley 1581 de 2012, la Superintendencia de Industria y Comercio podrá imponer a los Responsables y Encargados del Tratamiento las siguientes sanciones:

2. a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) SMMLV al momento de la imposición de la sanción.
3. b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses.
4. c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
5. d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles. 

9.2. El incumplimiento de las políticas de Protección de Datos Personales de LA EMPRESA, de la Ley 1581 de 2012 o del Decreto 1377 de 2013, por parte de cualquier colaborador da lugar a que se tipifique el delito de “Violación de Datos Personales” consagrado en el artículo 269F del Código Penal Colombiano, según el cual: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.