MANUAL DE POLÍTICAS Y PROCEDIMENTOS DE MANEJO DE INFORMACIÓN Y TRATAMIENTO DE DATOS PERSONALES PARA BIENES RAICES LORENCA LTDA. (En adelante Lorenca).

 

I. DEFINICIONES

Esta lista contiene las definiciones de las abreviaturas y términos utilizados en este documento.
Lorenca y/o La Compañía: Entiéndase Bienes Raices Lorenca Ltda.
Trabajador: Persona natural que presta servicios personales a Lorenca en virtud de un contrato de trabajo.
Exempleado: Persona natural que prestó servicios personales a Lorenca en virtud de un contrato de trabajo que terminó por cualquier causa.
Colaboradores: Se entiende para efectos del presente manual, como colaboradores, los trabajadores de Lorenca y personas que prestan sus servicios para temas específicos por contrato de prestación de servicios.
Visitantes: Se entiende para efectos del presente manual, como Visitante, toda persona natural que se encuentre en las instalaciones de Lorenca y que no tenga la calidad de Empleado.
Terceros: Se entiende por terceros para efectos de este manual, los proveedores, clientes y cualquier tercero que tenga una relación comercial con Lorenca.
SIC: Superintendencia de Industria y Comercio.
Tratamiento: El Tratamiento es cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación o supresión, entre otros.
Responsable del Tratamiento: Es la persona natural o jurídica que decida sobre la base de datos y/o el Tratamiento de los datos. Para efectos de este manual, Lorenca se considerará como el responsable del tratamiento de la información.
Encargado del Tratamiento: Es la persona natural o jurídica, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Para efectos del marco normativo sobre protección de datos personales, el Encargado del tratamiento es un tercero, ajeno a la empresa, por lo que no debe confundirse con el empleado que al interior de la organización es quien administra o hace uso de la base de datos.
Usuario: Es la persona natural o jurídica que puede acceder a información personal de uno o varios titulares de la información.
Titular de la Información: Es la persona natural o jurídica a quien se refiere la información que reposa en un base de datos y sujeto al derecho de Habeas Data.
Cliente: Es la persona natural o jurídica a la cual Lorenca le presta servicios profesionales en virtud de una relación comercial preexistente.
Proveedor: Es la persona natural o jurídica que suministra bienes y/o servicios a Lorenca en virtud de una relación comercial preexistente.
Posible Cliente: Es la persona natural o jurídica de la que Lorenca recibe datos para efectos de presentar una propuesta de servicios.
RNBD: Registro Nacional de Bases de Datos, es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual será administrado por la Superintendencia de Industria y Comercio y será de libre de consulta.
Autorización: Es el consentimiento previo, expreso e informado del Titular de la Información para llevar a cabo el tratamiento de sus datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior, se entenderá que la autorización cumple con los requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.
Esta autorización debe ser solicitada por el Responsable del Tratamiento, a más tardar en el momento de la recolección de los datos, y en ella deberá informar al titular la finalidad con el cual serán recolectados y tratados los datos personales y el tratamiento al cual serán sometidos, los derechos que le asisten como Titular, la información y los canales de comunicación a través de los cuales los Titulares pueden ejercer sus derechos ante el Responsable y/o Encargado del Tratamiento y la facultad que tiene el Titular de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de menores de edad.
Habeas Data: Es el derecho que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y que garantiza a todos los ciudadanos poder de decisión y control sobre su información personal.
Base de Datos Personales: Es un conjunto organizado de datos personales que se utiliza para llevar el registro y la administración de los mismos, bien sea en medio físico o en medio electrónico e independientemente de la cantidad de datos personales que contenga. Las bases de datos puede tener tratamiento automatizado o manual, en el territorio colombiano o fuera de él.
Bases de Datos Manuales: Las bases de datos manuales o archivos son aquellos cuya información se encuentra organizada y almacenada de manera física.
Bases de Datos Automatizadas: Las bases de datos automatizadas son aquellas que se almacenan y administran con la ayuda de herramientas electrónicas o informáticas.
Canales de Atención al Titular: Son los distintos medios que Lorenca como Responsable y/o Encargado del tratamientos de datos personales, ha puesto a disposición de los titulares para el ejercicio de los derechos de conocer, actualizar, rectificar y revocar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y en general a aquellos a los que se refiere la Ley 1581 de 2012 y demás normativa aplicable.
Oficial de Cumplimiento de Protección de Datos Personales: Es la persona que ha designado Lorenca para que asuma la función de protección de datos personales, y será quien dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos de conocer, actualizar, rectificar y revocar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y en general a aquellos a los que se refiere la Ley 1581 de 2012 y demás normativa aplicable.
Dato Personal: Es toda aquella información asociada o vinculada a una persona y que permite su identificación. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible como su estado de salud, sus características físicas, ideología política, vida sexual, etc.
Dato Público: Es el dato como tal según la ley o la Constitución Política de Colombia denominado como tal y que no sea semiprivado o privado. Por ejemplo: los datos contenidos en documentos públicos, sentencias judiciales ejecutoriadas, etc.
Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a un sector de personas; por ejemplo un dato financiero y crediticio de actividad comercial o de servicios.
Dato Privado: Es el dato de naturaleza íntima y reservada, que sólo es relevante para el titular.
Dato Sensible: Es el dato que puede afectar la intimidad del titular o cuyo uso indebido puede generar su discriminación. A manera de ejemplo se entiende como Dato Sensible entre otros información relacionada con origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como datos relativos a la salud, a la vida sexual y biométricos.
Aviso de Privacidad: Es la comunicación por medio de la cual el responsable informa a los titulares de datos personales sobre la existencia de la política de tratamiento de la información y la forma de acceder a ella y la finalidad que se le pretende dar a los datos personales.
Transferencia: Se entiende que hay transferencia de datos personales, cuando el Responsable y/o Encargado del tratamiento de datos personales que se encuentre ubicado en el País envíe los datos personales a un receptor que a su vez es Responsable del tratamiento y se encuentra dentro o fuera de Colombia.
Transmisión: La transmisión tiene lugar cuando existe un tratamiento de datos personales que implica la comunicación de estos dentro o fuera del país y que tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
Cesión de Datos: Se entiende como el tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.
Violación de datos personales: Se entiende por tal el delito consagrado en el articulo 269 F del Código Penal Colombiano que establece: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
Violación de las Medidas de Seguridad de los Datos Personales: Se entederá como tal, la situación que implique una violación de las medidas de seguridad adoptadas por Lorenca para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales deberá ser informado a la autoridad de control respectiva.

II. DATOS DE IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Razón Social: Bienes Raices Lorenca Ltda.

Domicilio: Bogotá – Colombia Dirección: Carrera 5 No. 71- 45 Oficina 402.

Correo Electrónico: comunicaciones@lorenca.com.co

Teléfono: (571) 3213260 Ext. 14
Página Web: www.lorenca.com.co

 

III. OFICIAL DE CUMPLIMIENTO DE PROTECCIÓN DE DATOS PERSONALES

En cumplimiento de la normatividad vigente en la materia, Lorenca ha dispuesto como encargada del trámite de consultas, peticiones, quejas y/o reclamos y como Oficial de Cumplimiento de Protección de Datos Personales a la señora Angelica Valdes, cuyos datos son los siguientes:
Dirección: Carrera 5 No. 71- 45 Oficina 402. Correo Electrónico: comunicaciones@lorenca.com.co Teléfono: (571) 3213260 Ext. 14

 

IV. ALCANCE Y OBJETIVOS

El objetivo del presente manual es garantizar el derecho que tienen todas las personas a conocer, actualizar, rectificar y revocar la información que se haya recopilado sobre ellas en las bases de datos o archivos de Lorenca, y entregar a los socios, colaboradores de Lorenca, proveedores y terceros, los lineamientos para el adecuado manejo de la información y datos personales, propendiendo por asegurar la seguridad en el uso de dicha información y el cumplimiento de los estandares legales establecidos en el ordenamiento jurídico colombiano teniendo en cuenta que para el desarrollo de nuestra operación y objeto social, Lorenca continuamente está recopilando y efectuando tratamientos de bases de datos que contienen información y datos personales. Es importante mencionar que en el momento en el que el titular de los datos suministra, entrega o envia cualquier tipo de información personal a Lorenca, acepta que dicha información sea utilizada de acuerdo con lo establecido en este manual, con la aclaración que dicha información no será utilizada para actividades o propósitos diferentes a los aquí previstos, en todo caso, en el evento que dicha información personal sea utilizada para otros propósitos, su utilización deberá estar amparada en alguna de las excepciones que sobre el particular prevé la normatividad o contar con la autorización expresa del Titular.

Para Lorenca, es un compromiso constante el propender por el respeto y garantía de los derechos de sus clientes, trabajadores, proveedores y terceros en general, en desarrollo de lo anterior adoptamos el siguiente manual de políticas y procedimentos de manejo de información y tratamiento de datos personales de obligatoria aplicación en todas las actividades que involucre, total o parcialmente, la recolección, el almacenamiento, el uso, la circulación y transferencia de esa información.
Las reglas adoptadas en este Manual, se adecúan a los estándares internacionales en materia de protección de datos personales.

V. AMBITO DE APLICACIÓN Y MARCO NORMATIVO

Este manual aplica a los socios, los funcionarios y colaboradores de todos los niveles de la Compañía, representantes legales y administradores, proveedores y terceros en general que presten sus servicios a Lorenca bajo cualquier modalidad contractual, visitantes, y a todo aquel que se encuentre en condición de usuario de los datos personales y a quien aplique de acuerdo con la normatividad aplicable vigente.
Este manual aplica a todas las bases de datos que se encuentren en poder de Lorenca y datos personales contenidos en ellas, aplica también para las relaciones entre Lorenca como responsable y cualquiera de sus encargados.
Se aplicará al tratamiento de datos personales efectuado en territorio colombiano, o cuando le sea aplicable la norma al responsable y/o encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.
Los principios y disposiciones contenidos en este manual, se aplicarán a cualquier base de datos personales que se encuentre en custodia de Lorenca, bien sea en calidad de responsable y/o como encargado del tratamiento.
Este manual será aplicable a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento y que se encuentre en poder de Lorenca, y será también para todos los titulares de información personal que sea utilizada y/o se encuentre en las bases de datos de Lorenca quien actúa en calidad de responsable del tratamiento de los datos personales. Esta información puede ser obtenida, entre otros, a través de medios como i) relación comercial o profesional con el respectivo cliente, proveedor u otros terceros; ii) relación laboral con los trabajadores y ex empleados; iii) aplicación a procesos de selección; iv) asistencia a capacitaciones, seminarios o cursos; y v) remisión de correos electrónicos solicitando información; entre otros.

El manual tiene como base el marco legal regulatorio de protección de datos personales cuyo fin es la salvaguarda de la información que nos ha sido confiada, siendo nuestra intención recolectar exclusivamente aquella información que ha sido suministrada voluntariamente por nuestros clientes, proveedores, trabajadores, ex empleados, colaboradores, visitantes, terceros, etc.
El marco normativo aplicable al presente manual es el siguiente: Artículo 15 de la Constitución Política de Colombia, Ley 1266 de 2008, Decreto 1727 de 2009, Decreto 2952 de 2010, Ley 1581 de 2012, Resolución 76434 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Circular 02 de 2015, Circular Única de la Superintendencia de Industria y Comercio -Título V, Sentencias Sentencias de la C – 1011 de 2008, y C – 748 del 2011 de la Corte Consititucional.
El artículo 15 de la Constitución de la República de Colombia establece que cualquier persona tiene derecho a conocer, actualizar y rectificar los datos personales que existan sobre ella en banco de datos o archivos de entidades públicas o privadas. Igualmente, ordena a quienes tienen datos personales de terceros respetar los derechos y garantía previstos en la Constitución cuando se recolecta, trata y circula esa clase de información.
La Ley Estatutaria 1581 del 17 de octubre de 2012 establece las condiciones mínimas para realizar el tratamiento legítimo de los datos personales de los clientes, empleados y cualquier otra persona natural. El literal k) del artículo 18 de dicha ley obliga a los responsables del tratamiento de datos personales a «adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos».
El artículo 25 de la misma ley establece que las normas de tratamiento de datos son de obligatorio cumplimiento y que su desconocimiento acarreará sanciones, dichas normas no pueden garantizar un nivel de tratamiento inferior al establecido en la ley 1581 de 2012.
De conformidad con la ley 1273 de 2009 incurre en el delito de violación de datos personales quien «sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes».

VI. GENERALIDADES DEL TRATAMIENTO DE DATOS PERSONALES

1. El tratamiento de datos personales, sólo puede hacerse con el consentimiento, previo, expreso e informado del titular, por lo anterior, los datos personales no podrán ser obtenidos, tratados o divulgados si autorización del titular salvo mandato legal o judicial que supla el consentimiento del titular.
2. Los datos de carácter personal recolectados deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados, en consecuencia, se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.
3. En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
4. Los datos personales que sean recolectados o tratados por Lorenca, serán usados solo en el ámbito de la finalidad y autorización concedida por el titular del dato personal, por esta razón, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros.
5. Los datos personales bajo custodia de Lorenca no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a lo dispuesto en la ley y los principios que gobiernan la materia.
6. En la recolección de los datos personales se deberá tener en cuenta la finalidad del tratamiento y/o de la base de datos; por tanto deben ser datos adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen.
7. Agotada la finalidad para la cual fue recolectado y/o tratado el dato personal, deberá cesar su uso y por ende Lorenca adoptará las medidas de seguridad pertinentes a tal fin.
8. Lorenca, en calidad de responsable o encargado del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales. Lorenca, de acuerdo con la clasificación de los datos personales, implementará las medidas de seguridad de nivel alto, medio o bajo, aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento.
9. Lorenca y todas las personas que intervengan en el tratamiento de datos personales, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual y/o comercial, para este fin, Lorenca implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.
10. Lorenca informará a los titulares de los datos personales, así como a los responsables y encargados del tratamiento, del contenido de este manual que incluye las politicas y procedimientos aplicables en materia de protección de datos, así mismo informará sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del habeas data por parte de los titulares, procediendo al registro que exige la ley.

VII. AUTORIZACIÓN DEL TITULAR

El tratamiento de datos personales en Lorenca, sólo puede hacerse con el consentimiento, previo, expreso e informado del titular, los datos personales no podrán ser obtenidos, tratados o divulgados sin dicha autorización salvo mandato legal o judicial que supla el consentimiento del titular, dicha autorización deberá constar en algún medio que permita su posterior consulta. Al momento mismo de suministrar, entregar o enviar cualquier tipo de información personal a Lorenca, el Titular de los datos debe aceptar que dicha información va a ser utilizada de acuerdo con el presente manual para el Tratamiento de Datos Personales. Lorenca, no utilizará los datos suministrados para actividades o propósitos diferentes a los aquí previstos, no obstante, en el evento en que dicha información personal sea utilizada para otros propósitos, su utilización deberá estar amparada en alguna de las excepciones que sobre el particular prevé la normatividad o contar con la autorización expresa del Titular, las cuales se relacionan en el presente Manual. No obstante lo anterior, y de conformidad con la Ley, Lorenca podrá proceder al Tratamiento de datos personales, sin que se requiera autorización previa, cuando se trate de:

1. Información requerida por una Entidad Pública o Administrativa en ejercicio de sus funciones legales o por orden judicial;

2. Datos de naturaleza pública (de conformidad con la definición legal del término);

3. Casos de urgencia médica o sanitaria;

4. Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos;

5. Datos relacionados con el Registro Civil de las Personas.

Salvo las excepciones anteriormente mencionadas, y dentro de los fines legítimos propios del objeto social de Lorenca, en ningún caso suministrará, distribuirá, comercializará, compartirá, intercambiará con terceros y, en general, realizará actividad alguna en la cual se vea comprometida la confidencialidad y protección de la información recolectada.

VIII. MANEJO DE DATOS SENSIBLES

De acuerdo con lo establecido por la Ley Estatutaria 1581 de 2012, el Tratamiento de datos sensibles se encuentra prohibido, salvo las siguientes excepciones:
a) Cuando el Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
b) Cuando el Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
c) Cuando el Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
d) Cuando el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
e) Cuando el Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
En virtud de lo anterior, Lorenca no recolectará ni tratará datos personales sensibles, salvo autorización expresa del titular y en aquellos casos de ley en los cuales no se requiera del consentimiento. La información personal de carácter sensible que se pueda obtener de un proceso de selección de personal o en virtud de alguna visita que Usted realice a nuestras instalaciones será́ protegida a través de medidas de seguridad altas.
Lorenca prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible sin autorización del titular del dato personal y/o de Lorenca.
El incumplimiento de esta prohibición por parte de los trabajadores y/o colaboradores de Lorenca será́ considerado como falta grave, que podrá́ dar lugar a la terminación de la relación laboral, civil o comercial según el caso, sin perjuicio de las acciones legales a que haya lugar.

De igual forma, el incumplimiento de esta prohibición por parte de los proveedores y/o terceros de Lorenca será́ considerada como causa grave para dar terminación al contrato o relación comercial, sin perjuicio de las acciones legales a que haya lugar.
Los datos sensibles que se identifiquen serán informados al titular de los mismos, con el fin de que si así lo decide proceda a eliminarlos; de no ser posible esta opción, Lorenca procederá́ a eliminarlos de manera segura.
Lorenca prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible que llegaren a ser identificados en un procedimiento de auditoria.

IX. TRATAMIENTO Y FINALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES

En el tratamiento de datos personales que realiza Lorenca, la permanencia de los datos en sus sistemas de información estará determinada por la finalidad de dicho tratamiento, de esta manera, agotada la finalidad para la cual se recolectaron los datos, Lorenca procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.
Se prohíbe a los destinatarios de este Manual cualquier tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009.

a. Respecto de los Datos Personales de Clientes o suministrados por Clientes:

Lorenca podrá llevar a cabo el Tratamiento de la información personal acerca de sus Clientes para los propósitos de prestar los servicios profesionales por ellos contratados, de conformidad con el objeto social de la Compañía, en ese sentido, los documentos de naturaleza contractual que se celebren con Clientes se regirán por lo dispuesto en el Manual, e incluirán una cláusula que regule el Tratamiento de la información a la que se acceda en virtud del mismo y en la que se pacte una previsión en relación con los perjuicios que se pueden llegar a ocasionar a Lorenca como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del cliente.

Lorenca podrá llevar a cabo el tratamiento de la información personal de sus Clientes actuales o futuros (posibles clientes) y de aquellos Clientes con los cuales haya terminado su relación comercial, con la finalidad de enviarles información comercial que a juicio de Lorenca pueda ser de su interés; así como, entre otros, invitarlos a eventos que organice Lorenca; remitir boletines o publicaciones y en general, utilizar los datos para el desarrollo de las actividades comprendidas en su objeto social. Los datos que sean recolectados por Lorenca podrán, eventualmente, ser compartidos con terceros o autoridades que ejercen supervisión y/o control, con la finalidad de dar cumplimiento con los requerimientos de dichas entidades. La información personal de terceros, cuyo Responsable sea el Cliente, que deba conocer Lorenca en razón o con ocasión de la prestación de los servicios contratados por el Cliente, debe contar con autorización por parte del titular y que dicha autorización faculta al Cliente para el Tratamiento de los datos por parte de Lorenca. Lorenca en virtud del principio de Buena Fe asume que ha sido Tratada en apego estricto a lo dispuesto en la Ley 1581 y el Decreto 1377 de 2013. En todo caso, los datos personales de terceros cuyo Responsable sea el Cliente serán tratados en el marco del objeto de los servicios contratados por el Cliente con la finalidad de dar cumplimiento a la relación contractual que Lorenca haya entablado con el Cliente. Lorenca, con ocasión de los eventos, capacitaciones o demás actividades llevadas a cabo por éstas en desarrollo de su objeto social, podrá grabar y tomar audios, videos o fotos de Clientes del desarrollo de éstos, datos que podrán ser utilizados por Lorenca en en general en cualquier actividad que realice en desarrollo de su objeto social. El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos.

b. Respecto de los Datos Personales de Empleados:

 

Lorenca y/o el tercero que este contrate para la realización de las actividades relacionadas con la liquidación y pago de nómina (que se entederá “encargado” y/o “responsable” según las condiciones contractuales que se pacten para este efecto) llevará a cabo el Tratamiento de información personal de los empleados de Lorenca y su núcleo familiar con la finalidad de cumplir con las obligaciones que emanan de las respectivas relaciones laborales, como pagos de nómina, otorgamiento de beneficios, evaluaciones de desempeño, afiliación y pago al sistema de seguridad social integral, caja de compensación, etc., cumplimiento de políticas internas, entre otros.

Así mismo, Lorenca y/o el tercero que este contrate para la realización de las actividades relacionadas con contratación de personal (que se entederá “encargado” y/o “responsable” según las condiciones contractuales que se pacten para este efecto) podrá recolectar información personal de aspirantes que se presenten para procesos de selección con la finalidad de poder adelantar los procesos respectivos. Lorenca y/o el tercero que este contrate para la realización de las actividades relacionadas con contratación de personal, podrá almacenar indefinidamente la información de quienes se presenten para estos procesos y utilizarla en procesos de selección de personal futuros, para lo cual se entiende que quien someta a consideración su hoja de vida, por cualquier medio, entiende y autoriza el Tratamiento de sus datos personales en estos términos.
Los datos personales e información obtenida del proceso de selección respecto de las personas seleccionadas para trabajar en Lorenca, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible. En este sentido, Lorenca almacenará los datos personales e información personal de los trabajadores en una carpeta identificada con el nombre de cada uno de ellos, esta carpeta que puede ser física o digital solo podrá será accedida y tratada por el Área de Recursos Humanos y con la finalidad de administrar la relación contractual entre Lorenca y el trabajador. Lorenca, con ocasión de los eventos, capacitaciones o demás actividades llevadas a cabo en desarrollo de sus actividades, podrá grabar y tomar audios, videos o fotos de los empleados, estos datos podrán ser utilizados por Lorenca en publicaciones y en general en cualquier actividad de Lorenca, incluso una vez el empleado se retire de Lorenca y se considere un exempleado.
El uso diferente de los datos e información personal de los trabajadores solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad, para lo cual corresponderá al Área Legal de la Compañía, evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión no autorizada de datos personales.
Los datos personales e información obtenida del proceso de selección, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible. El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos.

c. Respecto de los Datos Personales de Ex Empleados:

Lorenca podrá almacenar indefinidamente los datos personales de todos los Empleados que hayan terminado su relación laboral con la Compañía, dicho archivo tendrá como finalidad:

(i) Servir como base para la expedición de los certificados laborales de que trata el Artículo 57, numeral 7° del Código Sustantivo del Trabajo, a solicitud del Exempleado o sus causahabientes; (ii) Servir de base para el otorgamiento de referencias laborales a potenciales empleadores del Exempleado, cuando éste así lo autorice al momento de su desvinculación; y/o iii) la información almacenada en este archivo podrá ser estudiada, analizada y utilizada a efectos de considerar al Exempleado en los procesos de contratación de personal que se lleven a cabo.

 

Lorenca, con ocasión de los eventos, capacitaciones o demás actividades llevadas a cabo en desarrollo de sus actividades, podrá grabar y tomar audios, videos o fotos de los empleados, estos datos podrán ser utilizados por Lorenca en publicaciones y en general en cualquier actividad de Lorenca, incluso una vez el empleado se retire de Lorenca y se considere un exempleado.
Lorenca procederá a almacenar los datos personales de Ex Empleados, en un archivo central, sometiendo tal información a medidas y altos niveles de seguridad, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles.
Lorenca no podrá ceder esta información a terceras partes, pues puede configurar una desviación en la finalidad para la cual fueron entregados los datos personales por sus titulares. Lo anterior, salvo autorización previa y escrita que documente el consentimiento por parte del titular del dato personal en este sentido.
El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos.

d. Respecto de los Datos Personales de Proveedores o terceros:

Lorenca llevará a cabo el Tratamiento de información personal de sus Proveedores o terceros con quienes tengan una relación comercial con la finalidad de seleccionar, evaluar y ejecutar el respectivo contrato y por tanto cumplir con las obligaciones adquiridas en virtud de la respectiva relación, tales obligaciones incluyen, entre otras, evaluar su desempeño; establecer, gestionar o terminar las relaciones comerciales o verificar las referencias, realizar pagos, y las demás que se desprendan de la naturaleza de la relación comercial y/o se encuentre incluidas en los acuerdos o contratos que se suscriban con el Proveedor respectivo.

En virtud de la relacion comercial con el Proveedor y/o tercero respectivo, Lorenca podrá solicitar datos personales de los trabajadores y/o colaboradores del Proveedor con la finalidad de realizar los analisis pertinentes de seguridad si por ejemplo estos tuvieran que tener acceso a las instalaciones de Lorenca y/o de sus clientes, y de idoneidad para evaluar que cumplan con los perfiles, calidades y competencia requeridos, una vez realizada este verificación, Lorenca podrá devolver tal información al proveedor, salvo cuando fuere necesario preservar estos datos.

En el evento en que sea Lorenca quien entregue datos de sus trabajadores y/o colaboradores o de algún tercero a sus proveedores y/o terceros, estos deberán proteger la información suministrada, como mínimo respetando lo establecido en este Manual, para tal efecto, Lorenca podrá realizar directamente o a través de un tercero, auditorias para verficar el cumplimiento de los dispuesto en este Manual. Sin excepcion alguna, deberá ser incluido en los contratos, ordenes de compra o de servicios y en general en el documento que formalice la relacion contractual comercial y/o contractual entre las partes, un texto en el que claramente se establezca que con la firma del mismo el Proveedor y sus trabajadores y/o colaboradores conocen, entienden y aceptan en su integridad el contenido de este Manual y se obligan a su total cumplimiento y en el que se pacte una previsión en relación con los perjuicios que se pueden llegar a ocasionar a Lorenca como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del proveedor o tercero.
El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos.

e. Respecto de los Datos Personales de Visitantes:

Lorenca, llevará a cabo el tratamiento de información personal de las personas que visiten sus instalaciones con la finalidad de salvaguardar su seguridad, la de sus instalaciones y la de sus colaboradores y demás personas que se encuentren en sus oficinas.

En el desarrollo de esta finalidad podrá recolectar entre otros datos como videos, fotos, datos biometricos, datos de identificación, etc. El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos.

f. Respecto de los Datos Personales de Socios:

Los datos e información personal de las personas que llegaren a tener la condición de socios de Lorenca, se considerarán información sujeta a confidencialidad, pues la misma está registrada en los libros de comercio y tiene el carácter de reservada por disposición legal, por lo anterior, el acceso a esta nformación personal deberá realizarse de acuerdo con las normas contenidas en el Código de Comercio que regulan la materia y solo podrá ser usada para las finalidades derivadas de la relación societaria existente de acuerdo con lo estabelcido en los Estatutos y en la Ley.

X. DERECHOS DE LOS TITULARES DE DATOS PERSONALES

Los titulares o sus causahabientes debidamente acreditados de acuerdo con lo establecido en la Ley, respecto de los datos personales tendrán los siguientes derechos:
1. El derecho a obtener toda la información respecto de: (i) sus propios datos personales, sean parciales o completos, (ii) del tratamiento aplicado a los mismos, (iii) de la finalidad del tratamiento, (iv) la ubicación de las bases de datos que contienen sus datos personales, (v) y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no. Para este fin podrán consultar, mediante solicitud escrita gratuita, sus datos que reposen en cualquier base de datos cuyo Responsable sea Lorenca.
2. El derecho de actualizar o modificar sus datos personales cuando éstos hayan tenido alguna variación o cuando la información resulte ser incompleta o inexacta o inexistente.

 

3. El derecho a cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepciones por la ley.
4. El derecho de revocar el consentimiento o la autorización que fue entregada a Lorenca para realizar el tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepciones por la ley y/o que sea necesario en un marco contractual o legal específico.
5. El derecho de oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular, en este sentido Lorenca revisará desde el punto de vista legal los argumentos del titular con la finalidad de determinar si prevalece el interés general sobre el particular o si por el contrario hay una pre eminencia del derecho particular del titular del dato.
6. El derecho a presentar ante Lorenca por medio de los canales que estan destinados para este fin y que se mencionan en el presente Manual, así como ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente; peticiones, quejas y reclamos, así como instaurar las acciones que resulten pertinentes para la protección de sus datos. 7. El derecho de presentar una queja ante la Superintendencia de Industria y Comercio cuando considere que se ha incumplido este Manual o la normatividad vigente sobre la protección de datos personales.
8. El derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para que Lorenca pueda realizar el tratamiento de sus datos personales. Si bien dicha autorización no será requerida en los siguientes casos, el tratamiento de los mismos debe darse atendiendo los principios y disposiciones establecidas en la legislación vigente para protección de datos personales:
a. Cuando la información sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.
b. Cuando se trate de datos de naturaleza pública.
c. En casos de emergencia médica o sanitaria.
d. Cuando el tratamiento de la información sea autorizado por la ley para fines históricos, estadísticos o científicos.
e. Cuando se trate de datos personales relacionados con el Registro Civil de las personas. 9. El derecho a solicitar a Lorenca, prueba de la aceptación dada para el tratamiento de sus datos personales, siempre que no se trate de aquellos casos en los cuales la Ley exceptúa de obtener la Autorización del Titular, o aquellos casos en los cuales la recolección de dato se dió con anterioridad al 27 de junio de 2013. Para los datos recolectados con anterioridad a la expedición del Decreto 1377 del 27 de Junio de 2013 deberá procederse de acuerdo con lo establecido en el presente Manual,

XI. PROCEDIMIENTOS

A. PROCEDIMIENTOS QUE DEBEN LLEVAR A CABO LOS TITULARES PARA EJERCER LOS DERECHOS RELACIONADOS CON SUS DATOS PERSONALES:

i. Cuando se trate de Consultas y/o inquietudes:

Cuando el titular o sus causahabientes quieran presentar consultas relacionadas con los datos personales que reposen en cualquier base de datos que se encuentre en poder de Lorenca, deberá presentar mediante petición escrita a la dirección y/o correo electrónico ya mencionados, en la cual deberá incluir toda la información que este vinculada con la identificación del titular de dicho dato, de igual forma cuando dicha consulta tenga como finalidad elevar inquietudes sobre el contenido del presente manual y/o sobre el Tratamiento que Lorenca le ha dado a sus datos. En el evento en el cual la solicitud se haga mediante correo físico, el Titular deberá indicar la dirección a la cual desea que le sea enviada la respuesta.
La solicitud deberá estar acompañada de la dirección a la cual quiere que le sea remitida la información, de su número de identificación, de una copia de su cédula de ciudadanía, extranjería o pasaporte y deberá estar firmada por el titular de los datos personales. Esta documentación podrá ser suministrada por medio físico o digital. En los casos en que el titular este representando por un tercero, este deberá allegar el respectivo poder, en estos casos el apoderado deberá tambien adjuntar copia de su documento de identificación como se indico anteriormente.
La solicitud deberá contener la petición concreta y precisa de información la cual deberá estar adecuadamente fundamentada y adjuntar los documentos que la soportan.
En caso de faltar alguno de los requisitos antes señalados, el Área Encargada lo comunicará al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud, para que esta situación sea subsanada, una vez realizado este procedimiento se

continuará entonces a dar respuesta a la solicitud. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud.
Una vez recibida la comunicación respectiva, el Área Encargada si se trata únicamente de una consulta contará con un término máximo de diez (10) días hábiles para dar respuesta. Cuando no sea posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Los términos mencionados para efectos de las consultas se contarán a partir de la fecha de recibo de la consulta, en el caso de reclamos a partir del día siguiente a la fecha de su recibo. El Área Encargada enviará la respuesta respectiva al correo electrónico desde el cual se envió la inquietud y/o reclamo, o a la dirección que se señale en la solicitud. Toda solicitud que carezca de dirección física o electrónica para responder no se estudiará, y será descartada.
El Área Encargada dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud indicará que se trata de una consulta en trámite y en la respectiva base de datos de Peticiones, Quejas y/o Reclamos (PQR) se deberá consignar una casilla en la que se indique las siguientes leyendas: “Consulta en trámite” y “Consulta resuelta” a fin de que conste el status actualizado de la misma según sea el caso.
Cuando Lorenca ostente la calidad de Encargado del tratamiento, deberá informar tal situación al titular o interesado en el dato personal, y comunicar al responsable del dato personal la solicitud, con el fin de que éste de respuesta a la solicitud de consulta presentada. Copia de esta comunicación deberá ser dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derechos y por tanto dar oportuna respuesta a su solicitud.
Lorenca documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes, información que será tratada conforme a la política de correspondencia y gestión documental de la Compañía.

ii. Cuando se trate de Reclamos:

El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento. Cuando el Titular o sus causahabientes soliciten que se corrija, actualice y/o se supriman sus datos de las bases de datos cuyo Responsable sea Lorenca, deberá enviar una solicitud por escrito a la dirección y/o correo electrónico antes señalado, que deberá contener de acuerdo con lo establecido en el Artículo 15 de la Ley 1581 de 2012, la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección a la cual se debe responder o notificar y los documentos que se quieran hacer valer y soporten la solicitud, entre los cuales deberá anexar una copia de su cédula de ciudadanía, extranjería o pasaporte.
La solicitud deberá estar acompañada de una copia de su cédula de ciudadanía, extranjería o pasaporte y deberá estar firmada por el titular de los datos personales. Esta documentación podrá ser suministrada por medio físico o digital. En los casos en que el titular este representando por un tercero, este debera allegar el respectivo poder con reconocimiento de firma ante Notario, en estos casos el apoderado deberá tambien adjuntar copia de su documento de identificación como se indico anteriormente. La solicitud debe contener la petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento y en cada caso deberá estar razonablemente fundamentada. Cuando lo que se solicite sea la actualización o corrección de un dato, el Titular deberá declarar que la nueva información que está entregando a Lorenca es cierta.
En caso de faltar alguno de los requisitos antes señalados, el Área Encargada lo comunicará al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud, para que esta situación sea subsanada, una vez realizado este procedimiento se continuará entonces a dar respuesta a la solicitud. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud. Una vez recibida la solicitud respectiva, el Área Encargada tendrá quince (15) días hábiles para dar trámite a su solicitud, en caso de no ser posible atender la solicitud dentro del término antes señalado, se informará al Titular los motivos de la demora y la fecha en que se atenderá la misma, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Los términos mencionados para efectos de reclamos se contarán a partir del día siguiente a la fecha de su recibo. El Área Encargada enviará la respuesta respectiva al correo electrónico desde el cual se envió la inquietud y/o reclamo, o a la dirección que se señale en la comunicación. Toda comunicación que carezca de dirección física o electrónica para responder no se estudiará, y será descartada.
El Área Encargada dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud indicará que se trata de un reclamo en trámite y en la respectiva base de datos de Peticiones, Quejas y/o Reclamos (PQR) se deberá consignar una casilla en la que se indique las siguientes leyendas: “Reclamo en trámite” y “Reclamo resuelto” a fin de que conste el status actualizado de la misma según sea el caso.
Para todos los efectos, en lo no establecido en este aparte, se dará cumplimiento a lo establecido en el Artículo 15 de la Ley 1581 de 2012.
Cuando Lorenca ostente la calidad de Encargado del tratamiento, deberá informar tal situación al titular o interesado en el dato personal, y comunicar al responsable del dato personal la solicitud, con el fin de que éste de respuesta a la solicitud de reclamo presentada. Copia de esta comunicación deberá ser dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derechos y por tanto dar oportuna respuesta a su solicitud.
Lorenca documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes, información que será tratada conforme a la política de correspondencia y gestión documental de la Compañía.

B. PROCEDIMIENTO PARA LOS DATOS RECOLECTADOS ANTES DEL 27 DE JUNIO DE 2013:

Para los datos recolectados antes de la expedición del Decreto 1377 de 2013 del 27 de junio de 2013; Lorenca procederá así:
Deberá enviarse un correo electrónico a todas las personas respecto de las cuales Lorenca posea datos personales informándoles acerca de la implementación de este Manual y el modo de ejercer sus derechos.

En dicho correo electrónico se incluirá el Aviso de Privacidad en el que se mencionará como mínimo: (i) Nombre o razón social y datos de contacto de Lorenca; (ii) El tratamiento al cual serán sometidos los datos y la finalidad del mismo; (iii) Los derechos que le asisten al titular, (iv) Las formas de acceso por medio de las los los titulares pueden acceder a los datos registrados en las bases de datos que se encuentren en poder de Lorenca, y; (v) la forma de acceso al Manual de Políticas y Procedimentos de Manejo de Información y Tratamiento de Datos Personales de Lorenca y los cambios sustanciales que se produzcan a la misma.
Si en el término de treinta (30) días hábiles, contados a partir de la fecha de envío del correo electrónico a que se hace referencia, el Titular no ha dado respuesta o no se ha contactado por cualquier medio con Lorenca para solicitar la supresión de sus datos personales, se podrá continuar realizando el Tratamiento de los datos.
De igual forma y para garantizar que el Aviso de Privacidad llegue a todos los destinatarios de este Manual o cualquier interesado en el contenido del mismo, se publicará indefinidamente en la página web: www.lorenca.com.co
El Área Encargada, deberá llevar registro y tener soporte de todas las autorizaciones emitidas por los titulares o en su defecto del envío de la comunicación a la que se hace referencia en este acápite. Esta documentación deberá estar disponible en todo momento mientras se lleve a cabo el Tratamiento de Datos Personales y cinco (5) años más. Lorenca podrá almacenar esta documentación en medios físicos, informáticos, electrónicos o cualquier otra tecnología.

C. PROCEDIMIENTO PARA LA ELABORACIÓN Y DILIGENCIAMIENTO DEL REGISTRO CENTRAL DE DATOS PERSONALES:

Lorenca en relación con los datos personales que tiene bajo su custodia y especialmente en su calidad de responsable del tratamiento de dichos datos o de encargado cuando así fuere, en desarrollo del giro ordinario de sus negocios, dispondrá de un Registro Central de Datos Personales en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información.
En este registro Lorenca en cabeza del Área Encargada deberá:
1. Inscribir toda base de datos personales contenida en sus sistemas de información y le asignará un número de registro.
2. Al realizar esta inscripción indicar: (i) El tipo de dato personal que contiene; (ii) La finalidad y uso previsto de la base de datos; (iii) Identificación del área que hace el tratamiento de la base de datos; (iv) Forma de tratamiento empleada en la base de datos (automatizada o manual); (v) Nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de datopersonal que contiene; (vi) Ubicación de la base de datos; (vii) La condición que ostenta Lorenca respecto de esa base de datos ya sea como RESPONSABLE o ENCARGADO del tratamiento; (viii) Status de Autorización por parte de los Titulares de los datos personales que contiene la base, Procedencia de los datos y procedimiento en la obtención del consentimiento; (ix) Autorización de comunicación o cesión de la base de datos, si existe; (x) Situación de Transferencia o Transmisión de Datos Personales (nacional o internacional) (xi) Funcionario que custodia la base de datos; (xii) Conusltas y/o Reclamos efectuados sobre los datos personales contenidos en la base y su correspondiente status actualizado; (xiii) Cambios efectuados en la base de datos personales en relación con la información mencionados en este numeral. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia.
3. Registrar y documentar la ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodidas por Lorenca.
4. Indicar las sanciones que se impongan respecto del uso de la base de datos personales, indicando el origen de la misma.
5. Registrar la cancelación de la base de datos de datos personales indicando los motivos y las medidas técnicas adoptadas para este efecto.

D. PROCEDIMIENTO PARA LA ENTREGA DE DATOS PERSONALES A AUTORIDADES COMPETENTES:

En caso en que las entidades del Estado o autoridades competentes soliciten el acceso y/o entrega de datos de carácter personal que se encuentren contenidos en cualquiera de las bases de datos de Lorenca, el Área Encargada llevará a cabo el siguiente procedimiento:
1. Verificar la legalidad de la petición.
2. Verificar la pertinencia de los datos solicitados por la Entidad en relación con la finalidad expresada por la autoridad competente
3. Documentar la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber que tiene dicha entidad respecto de la protección sobre estos datos, explicando claramente que dicha obligación recae tanto sobre el funcionario que hace la solicitud, como sobre quien la recibe, así como sobre la entidad para quien este labora.
4. Informar a la autoridad competente que requiera los datos personales, sobre las medidas de seguridad que aplican a los datos personales entregados y los riesgos que conllevan su indebido uso e inadecuado tratamiento.

XII. DEBERES DE LOS RESPONSABLES Y/O ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES:

a. Deberes de los Responsables del Tratamiento:

Sin perjuicio de las demás disposiciones previstas en la ley, los deberes a cumplir por parte de los Responsables del tratamiento son los siguientes:
1. Informar al Titular sobre la finalidad de la recolección de sus datos personales y los derechos que le asisten en virtud de la autorización otorgada a Lorenca para el correspondiente tratamiento.
2. Garantizar al Titular, el pleno y efectivo ejercicio del derecho de hábeas data y todos los derechos mencionados en este Manual y consagrados en la legislación aplicable vigente.
3. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
4. Solicitar y conservar, en las condiciones previstas en este Manual y en la Ley, copia de la respectiva autorización otorgada por el Titular.
5. Garantizar que la información que suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las medidas necesarias para que la información suministrada se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar en lo pertinente al Encargado del tratamiento.
8. Suministrar al Encargado del tratamiento, únicamente datos cuyo tratamiento esté previamente autorizado por su titular de conformidad con lo previsto en la ley.
9. Exigir al Encargado del tratamiento, cumplir con las condiciones de seguridad y privacidad de la información del Titular, como mínimo con las impartidas por Lorenca como Responsable del tratamiento.
10. Tramitar las consultas y reclamos formulados en los términos señalados en el presente Manuel y en la ley.

11. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley en relación con la protección de datos personales y para la atención de consultas y reclamos.
12. Informar al Encargado del tratamiento en el evento en que determinada información se encuentre en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del titular sobre el uso dado a sus datos personales.
14. Informar a la autoridad de protección de datos personales cuando se presenten violaciones a los códigos o políticas de seguridad y considere que existan riesgos en la administración de los datos de los titulares.
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

b. Deberes de los Encargados del Tratamiento:

Sin perjuicio de las demás disposiciones previstas en la ley, los deberes a cumplir por parte de los Encargados del tratamiento son los siguientes:
1. Garantizar al Titular, el pleno y efectivo ejercicio del derecho de hábeas data y todos los derechos mencionados en este Manual y consagrados en la legislación aplicable vigente.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos personales en los términos de la ley.
4. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en el presente Manual y en la ley.
6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley en relación con la protección de datos personales y para la atención de consultas y reclamos.
7. En caso de reclamos en curso, marcar la base de datos con «reclamo en trámite» de la forma prevista en la ley, respecto de aquellas quejas o reclamaciones no resueltas presentadas por los titulares de los datos personales.
8. Cuando así aplique, marcar la base de datos como «información en discusión judicial», en los casos en que sea notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
9. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

11. Informar a la autoridad de protección de datos personales cuando se presenten violaciones a los códigos o políticas de seguridad y considere que existan riesgos en la administración de los datos de los titulares.
12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

c. Deberes conjuntos de los Responsables y Encargados del Tratamiento:

Sin perjuicio de las demás disposiciones previstas en la ley, los deberes que deben cumplir de manera compartida tanto los Responsables como los Encargados del tratamiento son los siguientes:
1. Regular en los contratos con trabajadores, colaboradores, proveedores, clientes y/o terceros el acceso a las bases que contengan datos de carácter personal.
2. Llevar un registro completo de las bases de datos que contengan datos personales en el que se incluya el historial desde su creación, tratamiento de la información y cancelación de la base de datos.
3. Gestionar el acceso, manejo, uso y/o tratamiento de las bases de datos personales bajo custodia, en los que Lorenca actúe como responsable o encargado del tratamiento de forma segura.
4. Aplicar las medidas de seguridad suficientes para salvaguardar los datos personales que se encuentren bajo su custodía e implementar políticas adecuadas de seguridad de la información como por ejemplo la implementación de procedimientos de recuperación de desastres aplicables a los base de datos que contengan datos personales, la adopción de procedimientos de Respaldo o Back Up de los base de datos que contienen datos personales, o disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales. entre otros.
5. Contar con una infraestructura tecnológica que proteja de manera razonable los datos personales bajo su custodia, limitando el acceso a terceros en la medida de lo posible y realizar esfuerzos para mejorar los estándares de seguridad que protegen la información personal recolectada.
6. Auditar de forma periódica el cumplimiento del contenido de este Manual por parte de los destinatarios del mismo.

XIII. COMUNICACIÓN Y/O CESIÓN DE DATOS PERSONALES Y TRATAMIENTO DE DATOS PERSONALES DE NIÑOS Y ADOLESCENTES

Por regla general, se prohíbe la cesión, comunicación o circulación de datos personales, sin el consentimiento previo, escrito y expreso del titular del dato y sin autorización del Área Encargada de Lorenca. En caso de ser autorizada, dicha cesión o comunicación de datos personales deberá ser inscrita en el Registro Central de Datos Personales.
Se prohíbe el tratamiento de datos personales de niños y adolecentes menores de edad, salvo autorización expresa de sus representantes legales o cuando se trate de datos de naturaleza pública y el tratamiento responda y respete los intereses y derechos del menor. Todo tratamiento que se llegare a hacer respecto de los datos de los menores, deberá asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.

XIV. TRANSFERENCIA INTERNACIONAL DE BASES DE DATOS

Lorenca no permitirá la transferencia de datos personales a países que no cumplan con los estandares de Protección de Datos Personales y que no proporcionen niveles adecuados de protección de los mismos de acuerdo con lo indicado por la Superintendencia de Industria y Comercio, salvo por las excepciones que se detallan a continuación:
1. Cuando el titular del dato haya otorgado su autorización previa, expresa e inequívoca para realizar la transferencia.
2. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el titular y Lorenca como responsable y/o encargado del tratamiento o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;
3. Cuando se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.
4. Cuando se trate de transferencia de datos en el marco de tratados internacionales en los que Colombia haga parte de acuerdo con el principio de reciprocidad
5. Cuando se trate de Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública;

6. Cuando se trate de transferencias legalmente exigidas para salvaguardar un interés público o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Al momento de presentarse una transferencia internacional de datos personales, previo envío o recepción de los mismos, Lorenca deberá suscribir los acuerdos o contratos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes, especialmente en lo siguiente:
1. Alcance del tratamiento por parte del Encargado del tratamiento
2. Actividades que el Encargado realizará por cuenta del Resonsable para el tratamiento de Datos Personales.
3. El compromiso del Encargado en cumplir este Manual.
4. Obligarse a dar tratamiento a nombre del Responsable a los datos personales conforme a los principios establecidos en la legislación vigente y a los derechos y deberes consagrados en este Manual y en la ley.
5. Obligarse a salvguardar la seguridad de las bases de datos en las que se contengan datos personales como minimo con las mismas medidas que toma Lorenca.
6. Obligarse a guardar la confidencialidad respeto del tratamiento de los datos personales.
7. Adherirse y obligarse al estricto cumplimiento de este Manual y a las normas colombianas en materia de protección de Datos Personales. (Esta obligación debe hacerse extensiva para sus funcionarios, colaboradores, proveedores y cualquier tercero que pueda participar en el tratamiento).
8. Obligarse a realizar Auditorias Internas para verificar el cumplimiento de este Manual.
9. Incluir las medidas de seguridad tecnológica o física que se implementarán sobre los canales a través de los cuales se realizará la transmisión de los datos.
10. Incluir las finalidades autorizadas por el titular de los datos al Responsable del tratamiento, para que el Encargado solo ejerza tratamiento sobre los datos hasta donde dicha finalidad lo autorice.
11. Incluir las medidas de seguridad a tomar por parte del Encargado sobre la información, para evitar su acceso, adulteración, destrucción no autorizados o fraudulentos, así como para evitar la fuga de información.
12. Incluir los canales establecidos para que los titulares ejerzan sus derechos frente al Encargado.
13. Inlcuir las medidas a tomar sobre la información objeto de comunicación, una vez se termine la ejecución del contrato, bien sea de destrucción o devolución al Responsable.
14. Detallar las responsabilidades por el incumplimiento del contrato frente al manejo de la información personal, teniendo en cuenta que la materialización de cualquie riesgo sobre estos datos como fuga, alteración o acceso no autorizado, entre otros, puede acarrear sanciones de carácter económico, administrativo e incluso penal.
15. Incluir los mecanismos por medio de los cuales el Encargado reportará periodicamente al Responsable los incidente de seguridad que se presenten sobre los datos personales.

16. Detallar los planes de capacitación con lo que cuenta el Encargado del Tratamiento para instruir a sus funcionarios en el cumplimiento de las normas relacionadas con Protección de Datos Personales y particularmente de las normas vigentes en la materia en el Ordenamiento Jurídico Colombiano y de este Manual.
Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales.
Corresponderá al Área Encargada la aprobación de los acuerdos o contratos que impliquen una transferencia internacional de datos personales, atendiendo a las directrices establecidas en este Manual y en la normatividad vigente en la materia, así como hacer las consultas pertinentes ante la Superintendencia de Industria y Comercio para asegurar la circunstancia de “país seguro” en relación con el territorio de destino y/o procedencia de los datos.

XV. PROCESO DE REVISION DEL MANUAL

Lorenca podrá modificar este Manual en el momento que lo considere necesario y de realizarse algún cambio o modificación al mismo, esta circunstancia se podrá evidenciar en el acápite “Control de Cambios” al final del presente documento. Por lo anterior, Lorenca invita a todos los interesados a que consultar y revisar de manera periódica este Manual, con el objetivo de mantenerse informado respecto de las actualizaciones al mismo.

De llegarse a realizar un cambio en la finalidad del tratamiento de los datos personales, Lorenca solicitarán una nueva autorización a los titulares que se vean afectados por dicho cambio, cualquier cambio sustancial al presente Manual de igual forma será informado de los titulares.

El contenido de este manual deberá ser permanentemente revisado y actualizado por las personas responsables así:

Funcionario

Gerente General y/o
Representante Legal

Oficial de Protección de
Datos Personales

Responsabilidad

Autorizar cambios que no sean considerados sustanciales al manual y para los casos de cambios sustanciales elaborar el proyecto de actualización para llevar dichas propuestas para aprobación de la Gerencia General y/o Representante Legal.
Autorizar el manual y cambios o actualizaciones posteriores relevantes al mismo.
Revisar por lo menos anualmente el índice de cumplimiento del manual y proponer mejoras y cambios.
Responsable del cumplimiento del manual y de la permanente revisión para proponer mejoras, cambios y ajustes respectivos.

XVI. CONTROL DE CAMBIOS

No se han realizado cambios a la política

XVII. FIRMAS Y AUTORIZACIONES

Cuando usted firma y aprueba este documento, también está aprobando su distribución en las siguientes formas de distribución: impresa, via email, página de internet, etc.

Volver