POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES

Versión: 3

Fecha entrada en Vigencia: 11 de enero de 2018.

Actualizaciones recientes: 16 de agosto 2018, 22 de marzo 2020

GENERALIDADES

"GESTRAL" incluye a toda(s) persona(s) natural(es) o jurídica(s) asociada(s) con los productos o servicios que GESTRAL ofrece o preste, directa o indirectamente, presencialmente o por cualquier otro medio.

“Titular” y “Titulares” se refiere a la(s) persona(s) natural(es) o jurídica(s) y a su(s) representante(s) legal(es).

"Vínculados" se refiere a clientes, prospectos, proveedores, aliados estratégicos, empleados, subsidiarias, filiales, subordinadas, terceros y/o demás vinculados.

(Nota: Para la política de Términos y Condiciones de uso de los productos y servicios de GESTRAL acceder a https://www.gestral.com/terminos)

La presente política se define de conformidad con la entrada en vigencia de la Ley Estatutaria 1581 de 2012 reglamentada parcialmente por los Decretos 1377 de 2.013 y 886 de 2.014 y con las normas posteriores que la reglamenten, modifiquen o deroguen. La presente política tiene por objeto dictar las disposiciones generales para la protección de datos personales y desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos así como el derecho a la información; por tanto, GESTRAL teniendo en cuenta su condición de responsable del tratamiento de datos de carácter personal que le asiste, se permite formular el presente texto en aras de dar efectivo cumplimiento a dicha normatividad y en especial para la atención de consultas y reclamos acerca del tratamiento de los datos de carácter personal que recoja y maneje GESTRAL. El derecho al HÁBEAS DATA es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y le garantiza a todos los ciudadanos poder de decisión y control sobre su información personal. Por tanto, GESTRAL acoge tales disposiciones teniendo en cuenta que para el desarrollo de sus servicios continuamente está recopilando y efectuando diversos tratamientos a bases de datos de Vinculados. En virtud de lo anterior, dentro del deber legal, corporativo y/o moral de GESTRAL de proteger el derecho a la privacidad de las personas, así como la facultad de conocer, actualizar o solicitar la información que sobre ellas se archive en bases de datos, GESTRAL ha adaptado la presente política de manejo de la información de carácter personal y bases de datos en la cual se describe y explica el tratamiento de la Información Personal a la que tiene acceso a través de su sitio web, uso de redes sociales como por ejemplo FACEBOOK, INSTAGRAM, WHATSAPP y TWITTER, correo electrónico, información física, mensajes de texto, mensaje de voz, apps, llamadas telefónicas, cara a cara, medios físicos o electrónicos, actuales o que en el futuro se desarrollen como otras comunicaciones enviadas así como por intermedio de terceros que participan en nuestra relación social, comercial o legal con todos nuestros Vinculados.

La presente se irá ajustando a discreción de GESTRAL y en la medida en que se vaya reglamentando la normatividad aplicable a la materia y entren en vigencia nuevas disposiciones.

OBJETIVO GENERAL

Con la implementación de ésta política, se pretende garantizar la reserva de la información y la seguridad sobre el tratamiento que se le dará a la misma a todos los Vinculados de quienes GESTRAL ha obtenido legalmente información y datos personales conforme a los lineamientos establecidos por la ley regulatoria del derecho al HÁBEAS DATA. Asimismo, a través de la expedición de la presente política se da cumplimiento a lo previsto en el literal K del artículo 17 de la referida ley.

DEFINICIONES

1. Autorización: consentimiento que de manera previa, expresa e informada emite el titular de algún dato personal para que la compañía lleve a cabo el tratamiento de sus datos personales.

2. Titular: persona natural cuyos datos son objeto de tratamiento por parte de la compañía.

3. Base de datos: conjunto de datos personales.

4. Dato personal: información que está vinculada a una persona. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos personales pueden ser públicos, semiprivados o privados.

5. Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales dentro de las cuales se puede incluir su recolección, almacenamiento, uso, circulación o supresión.

6. Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza algún tratamiento sobre datos personales por cuenta del responsable del tratamiento.

7. Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

8. Dato público: Es aquel dato calificado como tal según los mandatos de la ley o de la Constitución Política. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales ejecutoriadas que no estén sometidas a reserva y los relativos al estado civil de las personas.

9. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial.

10. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

11. Dato sensible: aquellos relacionados con el origen racial o étnico, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, convicciones políticas, religiosas, de la vida sexual, biométricos o datos de la salud. Esta información podrá no ser otorgada por el Titular de estos datos.

12. Aviso de privacidad : documento físico y/o electrónico generado por el Responsable del tratamiento que es puesto a disposición del titular con la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los datos personales.

DERECHOS QUE TIENEN FRENTE A GESTRAL Y SUS REPRESENTANTES Y ASOCIADOS TODOS LOS TITULARES DE DATOS PERSONALES

Todo proceso que conlleve el tratamiento por parte de cualquier área de GESTRAL de datos personales de Vinculados con el cual GESTRAL sostenga relaciones sociales, comerciales y laborales deberá tener en cuenta e informarle de manera expresa y previa, por cualquier medio del cual se pueda conservar una constancia de su cumplimiento, los derechos que le asisten a ese titular de los datos, los cuáles se enuncian a continuación:

1. Derecho a acceder, conocer, consultar, rectificar, actualizar y suprimir sus datos personales en cualquier momento frente a GESTRAL respecto a los datos que considere parciales, inexactos, incompletos, fraccionados y aquellos que induzcan a error.

2. Derecho a solicitar en cualquier momento una prueba de la autorización otorgada a GESTRAL.

3. Derecho a ser informado por GESTRAL previa solicitud del titular de los datos, respecto del uso que le ha dado a los mismos.

4. Derecho a presentar ante la Superintendencia de Industria y Comercio las quejas que considere pertinentes para hacer valer su derecho al HÁBEAS DATA frente a GESTRAL.

5. Derecho a revocar la autorización y/o solicitar la supresión de algún dato cuando considere que GESTRAL no ha respetado sus derechos y garantías constitucionales.

6. Derecho a acceder en forma gratuita a los datos personales que voluntariamente decida compartir con GESTRAL, para lo cual GESTRAL se encarga de conservar y archivar de forma segura y confiable los formatos de autorización de cada uno de los titulares de datos personales debidamente otorgadas.

CASOS EN LOS CUALES GESTRAL NO REQUIERE AUTORIZACIÓN PARA EL TRATAMIENTO DE LOS DATOS QUE TENGA EN SU PODER

1. Cuando la información sea solicitada a la compañía por una entidad pública o administrativa que esté actuando en ejercicio de sus funciones legales o por orden judicial.

2. Cuando se trate de datos de naturaleza pública debido a que éstos no son protegidos por el ámbito de aplicación de la norma.

3. Eventos de urgencia médica o sanitaria debidamente comprobadas.

4. En aquellos eventos donde la información sea autorizada por la ley para cumplir con fines históricos, estadísticos y científicos.

5. Cuando se trate de datos relacionados con el registro civil de las personas debido a que ésta información no es considerada como un dato de naturaleza privada.

6. Cuando no hacerlo pueda llegar a causar daño evidente al Titular y/o a otras personas (riesgo inminente de suicidio, homicidio o abuso sexual). En aquellos casos se informará inmediatamente a las autoridades pertinentes y/o al contacto de emergencia provisto por el Titular y/o al Representante Legal a cargo de el Titular.

A QUIENES SE LES PUEDE ENTREGAR INFORMACIÓN POR PARTE DE GESTRAL SIN NECESIDAD DE CONTAR CON AUTORIZACIÓN DE LOS TITULARES DE LOS DATOS

A los titulares de los datos, sus herederos en caso de muerte del titular, y/o representante(s) legal(es) en cualquier momento y a través de cualquier medio cuando así lo soliciten a GESTRAL.

A las entidades judiciales o administrativas en ejercicio de funciones que eleven algún requerimiento a GESTRAL para que le sea entregada la información.

A los terceros que sean autorizados por alguna ley de la república de Colombia.

A los terceros a los que el Titular del dato autorice expresamente entregar la información y cuya autorización sea entregada a GESTRAL.

DEBERES QUE TIENE GESTRAL RESPECTO A LOS TITULARES DE LOS DATOS

GESTRAL reconoce que los datos personales son propiedad de los titulares de los mismos y que únicamente tales personas podrán decidir sobre éstos. En este sentido, hará uso exclusivo para aquellas finalidades para las que sea facultado en los términos de la ley y en aras de lo anterior se permite informar los deberes que asume en su calidad de responsable del tratamiento:

1. GESTRAL deberá buscar el medio a través del cual obtener la autorización expresa por parte del titular de los datos para realizar cualquier tipo de tratamiento.

2. GESTRAL deberá informar de manera clara y expresa a sus Vinculados de quienes obtenga bases de datos el tratamiento al cual serán sometidos los mismos y la finalidad de dicho tratamiento. Para ello, GESTRAL deberá diseñar la estrategia a través de la cual para cada evento, mecánica o solicitud de datos que se realice, informará a los mismos el respectivo tratamiento de que se trate. Algunos de estos medios puede ser el envío de mensajes de texto, correos electrónicos, diligenciamiento de formatos físicos, a través del sitio web o sitios web de GESTRAL entre otros.

3. GESTRAL debe informar a los titulares de los datos para cada caso, el carácter facultativo de responder y otorgar la respectiva información solicitada.

4. En todos los casos en los que se recopilen datos, se deberá informar los derechos que le asisten a todos los titulares respecto a sus datos.

5. GESTRAL debe informar la dirección electrónica de quien tendrá la calidad de responsable del tratamiento, datos @ gestral.com, dentro de los cuales se podrá tener la(s) página(s) web y demás medios actuales o futuros de GESTRAL, como por ejemplo de manera ilustrativa mas no limitativa, Instagram, Facebook, Whatsapp y Twitter.

6. GESTRAL, deberá garantizar en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho al HÁBEAS DATA y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, solicitar la actualización o corrección de datos y tramitar consultas, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos previstos en la presente política.

7. GESTRAL deberá conservar con las debidas seguridades los registros de datos personales almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento y realizar periódica y oportunamente la actualización y rectificación de los datos cada vez que los titulares de los mismos le reporten novedades o solicitudes.

FINALIDADES EN LA CAPTURA, USO Y TRATAMIENTO DE DATOS PERSONALES

GESTRAL en el desarrollo de su objeto social y sus relaciones con Vinculados; recopila constantemente datos para llevar a cabo diversas finalidades y usos dentro de los cuales se pueden enmarcar:

● Fines administrativos, comerciales, promocionales, informativos, de mercadeo y ventas.

● Ofrecer todo tipo de productos y servicios comerciales; así como realizar campañas de promoción, marketing, publicidad.

● Búsqueda de un conocimiento más cercano con todos sus clientes, proveedores, empleados y terceros vinculados.

En relación con lo anterior, GESTRAL podrá ejecutar las siguientes acciones:

1. Obtener, almacenar, compilar, intercambiar, actualizar, recolectar, procesar, reproducir y/o disponer de los datos o información parcial o total de aquellos titulares que le otorguen la debida autorización en los términos exigidos por la ley y en los formatos que para cada caso estime convenientes.

2. Clasificar, ordenar, separar la información suministrada por el titular de los datos.

LA AUTORIZACIÓN

A efectos de llevar a cabo los fines anteriormente mencionados , GESTRAL requiere de manera libre, previa, expresa y debidamente informada de la autorización por parte de los titulares de los datos y para ello ha dispuesto mecanismos idóneos garantizando para cada caso que sea posible verificar el otorgamiento de dicha autorización. La misma podrá constar en cualquier medio, bien sea un documento físico, electrónico y/o en cualquier formato que garantice su posterior consulta a través de herramientas técnicas, tecnológicas y desarrollos de seguridad informática.

La autorización es una declaración que informa al titular de los datos la siguiente información:

● Quien es el responsable o encargado de recopilar la información

● Datos recopilados

● Finalidades del tratamiento

● Procedimiento para el ejercicio de los derechos de acceso, consulta, rectificación, actualización o supresión de datos

● Información sobre recolección de datos sensibles

Las formas de autorización incluyen de manera enunciativa mas no limitativa, envío de correo postal a la(s) direccion(es) físicas asociadas a GESTRAL, llamadas y/o envío de mensajes de cualquier tipo a línea(s) telefónica(s) asociada(s) a GESTRAL, envío de correo electrónico a cualquier dirección terminada en @gestral.com, transmisión verbal y/o escrita a cualquier persona asociada a GESTRAL, contacto con GESTRAL via su sitio web (www.gestral.com) y/o sus redes sociales (@GestralColombia en FACEBOOK, @Gestral en INSTRAGRAM y TWITTER) y/o demás formas futuras de contacto con, y/o transmisión de datos a, GESTRAL.

La(s) persona(s) jurídica(s) o naturales que transmitan información a GESTRAL, declara(n) y garantiza(n) con el acto de dicha transmisión que ha(n) obtenido la(s) autorización(es) para tratar los datos personales, incluyendo los datos sensibles, de todas las personas naturales, tanto de mayores como de menores de edad incluidas en dicha transmisión, para ser incluida en las bases de datos de GESTRAL. Por lo tanto, el transmisor declara y garantiza que tanto él como GESTRAL, pueden recolectar, almacenar, utilizar o transferir los datos personales de las personas naturales incluidas en las bases de datos proporcionadas por el transmisor, con el único propósito de cumplir el objeto para lo cual contactó a GESTRAL o fue contactado por GESTRAL.

Como consecuencia de lo anterior, el transmisor libera de responsabilidad a GESTRAL por cualquier reclamo y/o acción ya se judicial o extrajudicial, de cualquier tercero relacionado con cualquier violación o presunta violación, a los derechos de privacidad o cualquier otro derecho, relacionados con los datos personales que son almacenados en las bases de datos del transmisor y/o de GESTRAL en los términos del objeto para lo cual GESTRAL lo ha contactado (y/o fue contactado por el transmisor); en caso de alguna reclamación, demanda o proceso que se inicie en contra de GESTRAL por alguno de estos hechos, deberá el transmisor adoptar oportunamente las medidas necesarias para mantener indemne a GESTRAL y asumir inmediatamente su defensa, de lo contrario deberá pagar todos los gastos en los que GESTRAL incurra por estos hechos.

PROTECCION DATOS PERSONALES DE MENORES DE EDAD Y ADOLESCENTES

En atención a lo dispuesto en la Ley Estatutaria 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, GESTRAL asegura que el Tratamiento de los datos personales de niños y adolescentes será realizado respetando sus derechos, razón por la cual, en las actividades comerciales y de mercadeo que realice GESTRAL deberá contar con la autorización previa, expresa e informada del padre o la madre o del representante legal de la niña, niño o adolescente.

FORMA DE PROCEDER RESPECTO A LAS CONSULTAS Y SOLICITUDES HECHAS POR LOS TITULARES DE LOS DATOS

Todo titular de datos personales tiene derecho a realizar consultas y elevar solicitudes a GESTRAL respecto al manejo y tratamiento dado a su información.

A. PROCEDIMIENTO PARA EL TRÁMITE DE RECLAMOS O SOLICITUDES:

Toda solicitud, petición, queja o reclamo (PQR) que sea presentada a GESTRAL por parte de cualquier titular o sus causahabientes respecto al manejo y tratamiento dado a su información será resuelta de conformidad con la ley regulatoria al derecho al HÁBEAS DATA y será tramitado bajo las siguientes reglas:

1. La petición o reclamo se formulará mediante escrito o cualquier otro de los medios definidos en la presente política para tal fin, dirigido a GESTRAL, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección o medio detallado a través del cual desea obtener su respuesta, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer. En caso de que el escrito resulte incompleto, GESTRAL solicitará al interesado para que subsane las fallas dentro de los cinco (5) días siguientes a la recepción del reclamo. Transcurridos dos meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación o petición.

2. Una vez recibida la petición o reclamo completo, GESTRAL incluirá en el registro individual en un término no mayor a dos (2) días hábiles una leyenda que diga "reclamo en trámite" y la naturaleza del mismo. Dicha información deberá mantenerse hasta que el reclamo sea decidido.

3. El solicitante recibirá una respuesta por parte de GESTRAL dentro de los diez (10) días hábiles siguientes contados a partir de la fecha en la cual ha tenido conocimiento efectivo de la solicitud.

4. Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

B. CONSULTAS:

La Política de manejo de la información personal por parte de GESTRAL y los derechos básicos que los titulares de los datos tienen en relación con la misma podrá ser consultados a través de www.gestral.com y/o ser solicitados a datos @ gestral.com.

Cualquier consulta que tenga un titular sobre su información o datos personales o cuando considere necesario instaurar una solicitud de información o considere que sus derechos han sido vulnerados en relación con el uso y el manejo de su información; podrá hacerlo a través del siguiente correo electrónico: datos @ gestral.com.

Si dentro de los diez (10) días señalados, no fuere posible para GESTRAL atender la consulta, el área correspondiente deberá informar al interesado, los motivos de la demora e indicarle la fecha en que se atenderá la misma, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

C. RESPONSABLE DEL TRATAMIENTO: GESTRAL tiene la calidad de responsable del tratamiento y a través de la presente política se permite informar sus datos de contacto

para recibir y canalizar todas las solicitudes e inquietudes, peticiones, consultas y reclamos es a través del correo electrónico datos @ gestral.com

D. ENCARGADO DEL TRATAMIENTO:

Eventualmente, GESTRAL. podrá tener la calidad de ENCARGADO DEL TRATAMIENTO, siendo los datos de contacto los mismos indicados en el punto anterior.

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Para GESTRAL es fundamental y prioritario adoptar medidas técnicas, jurídicas, humanas y administrativas que sean necesarias para procurar la seguridad de los datos de carácter personal protegiendo la confidencialidad, integridad, uso, acceso no autorizado y/o fraudulento. Asimismo, se permite informar que internamente GESTRAL ha implementado protocolos de seguridad de obligatorio cumplimiento para todo aquel con acceso a datos de carácter personal y a los sistemas de información. Las políticas internas de seguridad bajo las cuales se conserva la información del titular para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, son las siguientes:

1. Uso del servicio G Suite básico empresarial cuyo acceso está limitado a través de datos confidenciales de usuario y contraseña y toda la seguridad que el proveedor multinacional GOOGLE LLC provee en relación a dicho servicio.

2. Contraseña para evitar acceso indebido a dispositivos electrónicos usados para accesar los datos.

3. Cuando sea aplicable, acuerdo de confidencialidad con Vinculados.

4. En los correos electrónicos de GESTRAL la cláusula de confidencialidad y enlace al sitio web a la parte con políticas de GESTRAL a cuanto a los términos de uso de servicios y productos de GESTRAL y al tratamiento de información y datos personales.

5. Anonimizar datos cuando sean requeridos para mejorar los servicios de Gestral, como por ejemplo, de manera enunciativa mas no limitativa, consulta con profesionales.

6. En todos los casos en que se captura información del titular se hace referencia al presente documento.

7. Aviso HÁBEAS DATA. Por el hecho de proporcionar datos a GESTRAL, todo titular declara conocer y autorizar de manera libre, previa, voluntaria, expresa y debidamente informada a GESTRAL para recolectar, registrar, procesar, compilar, actualizar y disponer de los datos o información parcial o total que le suministró con el fin de que GESTRAL pueda ofrecer sus productos y/o servicios al titular de una manera más personalizada y directa, y además a contactar al titular con información publicitaria de los productos y servicios propios, vía mailing, sms, correo directo, electrónico y/o llamadas telefónicas o por otros medios. De manera que no identifique al titular, GESTRAL podrá transferir, difundir, intercambiar, dichos datos o información parcial o total a terceros con tal de mejorar los productos y/o servicios que GESTRAL ofrece o de mejorar la publicidad que GESTRAL quiera realizar para ofrecer sus productos y/o servicios a terceros. GESTRAL podrá transferir, difundir, intercambiar, dichos datos o información parcial o total a terceros de manera que identifique al titular solo en caso de que ello sea requerido para mejorar los productos y/o servicios que GESTRAL. Ejemplo de lo anterior es de manera enunciativa mas no limitativa, la libreta de contactos, calendario, correos electrónicos y demás servicios contratados para GESTAL vía GOOGLE LLC, el acceso de GESTRAL a dicha información via los dispositivos electrónicos utilizados por GESTRAL y el o los servicios de terceros que GESTRAL requiere para facilitar el proceso de programación de citas.

GESTRAL garantiza que da cumplimiento a la protección de los datos personales suministrados por sus Vinculados en virtud de lo dispuesto en la normatividad regulatoria del derecho al HÁBEAS DATA, para lo cual se permite informar:

1. Que el derecho de HÁBEAS DATA es aquel que tiene toda persona de conocer, actualizar y rectificar de forma gratuita la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada. 2. Que el titular de la información podrá acceder a sus datos en cualquier momento, por lo cual podrá modificarlos, corregirlos , actualizarlos, revocar y solicitar prueba de la autorización dada si así lo considera a través de el correo a datos @ gestral.com.

3. Que el titular de la información tiene la facultad o no de informar aquellos datos que libremente disponga y de elevar solicitudes respecto al uso que se la haya dado a sus datos.

4. Que para el ejercicio pleno y efectivo de este derecho por parte de todos sus Vinculados, GESTRAL ha dispuesto el siguiente medio a través de cual podrán presentar sus solicitudes y/o quejas y/o reclamos: datos @ gestral.com (sin espacios).

Fin del Documento