POLÍTICA PARA EL TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES

1.  CONSIDERACIONES

El Artículo 15 de la Constitución Política de Colombia establece que todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

De igual manera, el anterior texto constitucional exhorta a quienes manejan datos personales de terceros, a respetar la libertad y demás garantías previstas en la Constitución cuando se recibe, trata y circula la información.

En desarrollo de la norma constitucional antes citada, el Congreso de la República de Colombia expidió la Ley Estatutaria 1581 de 2012 por la cual se dictaron disposiciones generales para la protección de datos personales, ley que fue reglamentada parcialmente por el Decreto 1377 de 2013, compilado en el Decreto 1074 de 2015.

El referido Decreto estableció las condiciones mínimas para realizar el tratamiento de los datos personales y consagró la obligación en cabeza de los responsables del tratamiento de datos personales de «desarrollar políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den estricto cumplimiento a las mismas».

Corresponde a las directivas de SCANDINAVIA PHARMA LTDA., así como a sus colaboradores y contrapartes, observar, acatar y cumplir las responsabilidades, deberes, órdenes e instrucciones que establezca la compañía en relación a los datos de carácter personal cuya divulgación o uso indebido pueda ocasionar un perjuicio a los titulares de la misma.

Las normas legales externas relacionadas con datos personales establecen sanciones económicas, comerciales y privativas de la libertad, por lo cual es fundamental la cooperación entre SCANDINAVIA PHARMA LTDA. y los destinatarios de esta norma, con el fin de garantizar el cumplimiento de los derechos a la intimidad, al habeas data y a la protección de datos personales, evitando así perjuicios para cualquiera de las partes y/o terceros.

2.  DEFINICIONES

Autorización. Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Aviso de Privacidad. Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

Base de Datos. Conjunto organizado de datos personales que sea objeto de Tratamiento.

Dato personal. Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato público. Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Datos sensibles. Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

Transferencia. La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión. Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

3.  OBJETO

Adoptar y establecer conductas y reglas aplicables al tratamiento de datos de carácter personal recolectados, tratados y/o almacenados en SCANDINAVIA PHARMA LTDA. en desarrollo de su objeto social, bien sea en calidad de responsable y/o encargado del tratamiento.

4.  AMBITO DE APLICACIÓN

La presente norma se aplicará al tratamiento de datos personales efectuado en el territorio nacional, o cuando le sea aplicable la norma al responsable y/o encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.

Los principios y disposiciones contenidos en esta norma para el tratamiento y seguridad de la información personal se aplicarán a todas las bases de datos personales que se encuentren en custodia y manejo de SCANDINAVIA PHARMA LTDA., bien sea en calidad de responsable y/o como encargado del tratamiento.

Todos los procesos de SCANDINAVIA PHARMA LTDA. que involucren el tratamiento de datos personales, deberán someterse sin excepción a lo dispuesto en esta norma.

5.  DESTINATARIOS DE LA PRESENTE NORMA

La presente norma será de aplicación general y obligatoria para las siguientes personas:

1.            Representantes Legales y/o administradores societarios.

2. Personal interno de SCANDINAVIA PHARMA LTDA., directivos o no, que custodien y manejen bases de datos de carácter personal.

3. Contratistas y personas naturales o jurídicas que presten sus servicios a SCANDINAVIA PHARMA LTDA. bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier tratamiento de datos de carácter personal.

4. Los Accionistas, Revisores Fiscales y aquellas otras personas con las cuales exista una relación legal de orden estatutario.

5. Personas públicas y privadas en condición de usuarios de los datos personales.

6. Las demás personas que establezca la ley.

6.  PRINCIPIOS RECTORES

La protección de datos personales de SCANDINAVIA PHARMA LTDA. estará sometida en el desarrollo, interpretación y aplicación de la presente normatividad, de manera armónica e integral con los siguientes principios o reglas fundamentales:

Legalidad. El Tratamiento a que se refiere la presente ley es una actividad regulada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

6.1.  Finalidad. El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

6.2.  Libertad. El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

6.3.  Veracidad o Calidad. La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

6.4.  Transparencia. En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

6.5.  Acceso y Circulación Restringida. El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente Ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley.

6.6.  Seguridad. La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

6.7.  Confidencialidad. Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

7.   DERECHOS DE LOS TITULARES

7.1.  Derecho de Acceso

SCANDINAVIA PHARMA LTDA., ha establecido el mecanismo de Atención y Trámite de Quejas y Reclamos por medio del área de Servicio al Cliente, para que los Titulares de la información puedan acceder a los datos personales que estén bajo el control de SCANDINAVIA PHARMA LTDA.. De esta manera los Titulares podrán ejercer sus derechos sobre los mismos.

El Titular podrá solicitar al menos una vez al mes a SCANDINAVIA PHARMA LTDA. la consulta gratuita de sus datos personales y cada vez que existan modificaciones sustanciales en las Políticas de Tratamiento de la información que motiven nuevas consultas.

Para consultas cuya periodicidad sea mayor a una por mes, SCANDINAVIA PHARMA LTDA. solo podrá cobrar al Titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, SCANDINAVIA PHARMA LTDA. deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos.

7.2.  Derecho de Actualización, Rectificación y Supresión de la Información del Titular

En desarrollo del principio de veracidad y/o calidad, en el tratamiento de los datos personales, SCANDINAVIA PHARMA LTDA. ha adoptado medidas de actualización de información con las diferentes contrapartes, para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes, así mismo, cuando así lo solicite el Titular o cuando el Responsable del manejo de los datos haya podido advertirlo, se deberá actualizar, rectificar o suprimir la información en un plazo no mayor a cinco (5) días hábiles, y estará bajo responsabilidad de quienes alimentan las bases de datos de Clientes, Proveedores y Colaboradores.

7.3.  Derecho a la Revocatoria del Consentimiento

El titular de los datos personales tiene el derecho de revocar el consentimiento o la autorización que habilitaba a SCANDINAVIA PHARMA LTDA. para el tratamiento con determinada finalidad. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

7.4.  Derecho a Otorgar Autorización Para el Tratamiento de Datos.

SCANDINAVIA PHARMA LTDA., deberá limitarse a recolectar aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son requeridos. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular.

Los datos se deberán solicitar, a más tardar en el mismo momento de la recolección de datos, asimismo se debe informar al Titular los datos personales que serán recolectados y las finalidades para lo cual se obtiene el consentimiento.

SCANDINAVIA PHARMA LTDA. deberá comunicar y obtener una nueva autorización del titular de la información, cuando se presenten cambios en el responsable y la finalidad del tratamiento de los datos personales.

El titular del dato tiene derecho a otorgar su autorización, por cualquier medio que asegure su consulta posterior.

La autorización no será requerida en los siguientes casos:

·      Cuando sea requerida por una entidad pública o administrativa en cumplimiento de sus funciones legales, y/o por orden judicial.

·      Cuando los datos tratados sean de naturaleza pública.

·      En casos de emergencia médica o sanitaria.

7.5.  Autorización de Datos Personales Sensibles

El tratamiento de datos personales sensibles es posible siempre y cuando se cumpla con las siguientes obligaciones:

·      Se debe informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.

·      Se deberá Informar al titular de manera previa y explícita, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como de obtener su consentimiento expreso.

·      Cumplir con los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal,

SCANDINAVIA PHARMA LTDA. no podrá condicionar a que el titular suministre datos personales sensibles.

7.6.  Obtención de la Autorización

Para efectos de dar cumplimiento a lo dispuesto con el artículo 9 de la Ley 1581 de 2012, SCANDINAVIA PHARMA LTDA. ha dispuesto los siguientes mecanismos para obtener la autorización de los titulares:

·         Durante el proceso de vinculación de clientes, proveedores y colaboradores, se hará la solicitud formal física o electrónica de autorización para el uso de datos personales.

·         En los procesos de actualización de información de Clientes, Proveedores y Colaboradores, se solicitará la autorización para el uso de información personal.

La autorización solo cumplirá con los requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

7.7.  Conservación de la Autorización

Se deberá conservar la prueba de autorización otorgada por los Titulares de datos personales para el tratamiento de los mismos.

Agotada la finalidad para la cual fue recolectada y/o tratado el dato personal, SCANDINAVIA PHARMA LTDA. deberá cesar su uso, por lo que deberá adoptar las medidas de seguridad pertinentes para tal fin.

Para ello se tendrán en cuenta las obligaciones de ley comercial en materia de conservación de libros de comercio y correspondencia del comerciante.

7.8.  Limitaciones Temporales al Tratamiento de los Datos Personales

SCANDINAVIA PHARMA LTDA. solo podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplidas las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, SCANDINAVIA PHARMA LTDA. deberá proceder a la supresión de los datos personales en su posesión. No obstante, lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.

8.   DEBERES DE LOS DESTINATARIOS CUANDO TENGAN LA CALIDAD DE RESPONSABLES Y ENCARGADOS

8.1.  Deberes Para los responsables del Tratamiento de Datos Personales

a.   Garantizar al Titular, su libre derecho al ejercicio de hábeas data.

b.   Solicitar y conservar, copia de la autorización y consentimiento otorgada por el Titular.

c.   Informar al Titular la finalidad de los datos recolectados, y en forma oportuna comunicar a los Titulares los derechos que tienen por la autorización otorgada.

d.   Garantizar que la información obtenida se encuentre bajo condiciones de seguridad necesarias que impidan o limiten su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e.   Garantizar que los datos que se suministre al Encargado del Tratamiento sean integra, veraz, completa, exacta, actualizada, comprobable y comprensible.

f.    Adoptar las medidas necesarias para mantener actualizada la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades que surjan al respecto de los datos que previamente le hubiera suministrado.

g.   Rectificar la información cuando esta se considere incorrecta y de manera oportuna debe comunicarlo al encargado del Tratamiento.

h.   Suministrar al Encargado del Tratamiento, datos privados cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

i.    Exigir al Encargado del tratamiento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

j.    Tramitar en los tiempos previstos en esta norma las consultas y reclamos formulados.

k.   Diseñar y Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

l.    Informar oportunamente al Encargado del tratamiento de la información, cuando se haya presentado una Petición, queja o reclamo y el estado de esta.

m. Cuando el Titular lo considere, deberá informar sobre el uso de sus datos.

n.   Informar a la autoridad de protección de datos, cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

o.   Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

9.   DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES

9.1.  Deberes Para los Encargados del Tratamiento de Datos Personales

a.   Garantizar al titular, su libre ejercicio del derecho de hábeas data.

b.   Garantizar que la información obtenida se encuentre bajo condiciones de seguridad necesarias que impidan o limiten su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

c.   Realizar de manera oportuna la actualización, rectificación, cancelación o supresión de los datos en los términos de la ley.

d.   Tramitar las consultas y reclamos formulados por los titulares en los términos señalados en esta norma y en la ley.

e.   Adoptar el manual interno de políticas y procedimientos para supervisar y garantizar el adecuado cumplimiento de esta normatividad y, para la atención de consultas y reclamos por parte de los Titulares de la información.

f.    Registrar en la base de datos la leyenda «reclamo en trámite«, para aquellas quejas o reclamos no resueltos presentados por los titulares de los datos personales.

g.   Registrar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

h.   Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

i.    Permitir el acceso a la información únicamente a quienes estén autorizados para ello.

j.    Informar a la Superintendencia de Industria y Comercio cuando se le presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

k.   Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

10.   DEBERES COMUNES DE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO

De manera general y complementaria, el responsable o encargado del tratamiento deberán asumir los siguientes deberes:

a.    Aplicar medidas de seguridad en el manejo y custodia de datos personales.

b.    Adoptar medidas y controles de recuperación de desastres o siniestros aplicables a las bases de datos personales.

c.    Desarrollar y adoptar procedimientos de respaldo o Back Up de bases de datos personales.

d.    Desarrollar procesos de revisión periódica para validar el cumplimiento de esta norma por parte de los destinatarios de la misma.

e.    Gestionar de manera segura las bases de datos que contengan información personal.

f.     Aplicar las políticas sobre protección de datos personales, en armonía con las prácticas de Seguridad de la Información.

g.    Diseñar y gestionar el registro central de las bases de datos con datos personales, donde se relacione el historial o trazabilidad desde su creación, tratamiento de la información y cancelación de la base de datos.

h.    Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como responsable o encargado del tratamiento.

i.      Establecer un procedimiento para la gestión de incidentes de seguridad, respecto de las bases de datos que contengan datos personales.

j.      Regular en los contratos con terceros el acceso a las bases que contengan datos de carácter personal.

11.   PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, CANCELACIÓN Y OPOSICIÓN

Los Titulares podrán en todo momento solicitar a SCANDINAVIA PHARMA LTDA. o al encargado, los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del titular de datos personales, o interesado habilitado legalmente, mediante la presentación de un reclamo, el cual deberá ser tramitado bajo las siguientes reglas contenidas en el artículo 15 de la Ley 1581 de 2012 y que se señalan a continuación:

En relación al ejercicio se establece el siguiente procedimiento:

·      El Titular del dato y/o interesado en ejercer estos derechos deberá acreditar con copia de documento de identidad, que podrá suministrar por medio físico o digital. En caso de que el titular este representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento del contenido ante notario. El apoderado deberá igualmente acreditar su identidad en los términos indicados.

·      Por sus causahabientes: quienes deberán acreditar con documentos físicos tal calidad.

·      Por el representante y/o apoderado del titular: previa acreditación de la representación o apoderamiento establecido en documento de Cámara de Comercio.

·      Por estipulación a favor de otro o para otro.

·      Los derechos de los niños, niñas o adolescentes se ejercerán por medio de su respectivo representante que se encuentre facultado para ello.

·      El Titular podrá ejercer cualquiera de los derechos ya mencionados y en cualquier momento, y para ello deberá realizarlo por medio de soporte escrito, sea físico o digital. Para ello podrá dirigirse a la dirección principal Calle 106 No. 18 A 45 Barrio San Patricio en la ciudad de Bogotá, al correo electrónico [email protected] destinado para el proceso de Atención de Quejas y Reclamos de SCANDINAVIA PHARMA LTDA.

· Para que el Titular pueda ejercer sus derechos, deberá relacionar la siguiente información:

–      Nombre del Titular y el de sus representantes de ser el caso.

–      Descripción fundamentada, detallada y concreta de la petición precisa de información, acceso, actualización, rectificación, cancelación oposición o revocatoria del consentimiento.

–  Dirección física y electrónica para notificaciones.

–  Documentos que soportan la solicitud

–      Firma de la solicitud por parte del Titular del dato personal.

·  En caso de que el reclamo resulte incompleto, se deberá requerir al Titular dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane los faltantes, transcurridos dos (2) meses desde la fecha del requerimiento sobre los faltantes, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

·  Una vez recibido el reclamo completo por parte de Servicio al Cliente, este deberá incluir en la base de datos de Atención de Quejas y Reclamos (PQR) una leyenda que diga «reclamo en trámite«, y documentar en esta base el motivo del reclamo, de igual manera deberá asignar el reclamo al área correspondiente, esta actividad deberá realizarse en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido, para lo cual deberá asignar la leyenda de “reclamo resuelto” según sea el caso.

·  El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir de la fecha de radicado de la queja o reclamo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

·  El área de Servicio al cliente deberá parametrizar en el sistema Isokey las alertas de seguimiento oportuno de Quejas y Reclamos a los 5, 10 y 13 días hábiles, para evitar incumplimientos normativos relacionados a esta política.

·  Si vencido el término legal respectivo según fuera el caso, SCANDINAVIA PHARMA LTDA. no hubiera eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012 que se describe a continuación:

·  La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la ley de protección de datos personales por parte del responsable del Tratamiento o el Encargado del Tratamiento (SCANDINAVIA PHARMA LTDA.), adoptará las medidas o impondrá las sanciones correspondientes

·  Como proceso de gestión documental, las solicitudes realizadas por los Titulares de la información personal se deberán documentar y almacenar, de igual manera para las respectivas respuestas. Para ello se tendrán en cuenta las obligaciones de ley comercial en materia de conservación de libros de comercio y correspondencia de la compañía.

12.   REGISTRO CENTRAL DE BASES DE DATOS PERSONALES

En cumplimiento a la normatividad vigente para el tratamiento de datos personales, SCANDINAVIA PHARMA LTDA. dispondrá de un proceso de registro centralizado, por medio del cual relacionará cada una de las bases de datos contenidas en sus sistemas de información.

Este registro permitirá:

a)  Inscribir toda base de datos personales contenida en los sistemas de información de SCANDINAVIA PHARMA LTDA., asimismo, se asignará un número de registro a cada base de datos.

La inscripción de las bases de datos personales indicará:

·      Política de tratamiento de la información.

·      La condición de SCANDINAVIA PHARMA LTDA. como RESPONSABLE o ENCARGADO del tratamiento de las bases de datos;

·      Datos de identificación, ubicación y contacto del responsable del tratamiento de la base de datos.

·      Datos de identificación, ubicación y contacto del o de los Encargados del tratamiento de la base de datos.

·      El tipo de dato personal que contiene;

·      La finalidad y uso previsto de la base de datos;

·      Identificación del área responsable del tratamiento de la base de datos;

·      Forma de tratamiento de la base de datos usado (automatizado o manual).

·      Indicación del nivel y medidas de seguridad que aplican a la base de datos personales que contiene.

·      Ubicación de la base de datos en los sistemas de información de SCANDINAVIA PHARMA LTDA.;

·      Autorización de comunicación o cesión de la base de datos, si existe;

·      Procedencia de los datos y procedimiento en la obtención del consentimiento.

·      Canal por el cual el Titular ejerció su derecho; para los casos que aplique.

·      Colaborador de SCANDINAVIA PHARMA LTDA. que custodia la respectiva base de datos.

·      Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse.

b)  Para efectos de Cumplimiento y Auditoría, mensualmente se validará y registraran los cambios que se puedan presentar en las bases de datos personales en relación al registro central de inscripción, si por el contrario no se hubieran presentado cambios en las bases de datos se deberá dejar constancia por el custodio de la misma.

c)  En el registro central se debe documentar y guardar trazabilidad del historial de los incidentes de seguridad y sanciones que se puedan llegar a presentar contra alguna base de datos personal que se encuentre custodiado por SCANDINAVIA PHARMA LTDA.

d)  La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por SCANDINAVIA PHARMA LTDA. para hacer efectiva la cancelación.

13.   TRATAMIENTO DE DATOS PERSONALES

El proceso de tratamiento de datos personales por parte de SCANDINAVIA PHARMA LTDA., en calidad de responsable o encargado, se regirán por los siguientes parámetros:

13.1.  Datos Personales Relacionados con la Gestión de Talento Humano

SCANDINAVIA PHARMA LTDA. deberá informar de manera anticipada, las reglas aplicables al tratamiento de los datos personales que suministre el candidato.

Cuando el candidato no hubiera sido seleccionado, el área de Talento Humano deberá hacer la devolución de los datos personales suministrados, salvo que los titulares de los datos autoricen por escrito la destrucción de los mismos, asimismo los resultados de las pruebas psicotécnicas y entrevistas deberán ser eliminadas o destruidas.

Los datos personales, y la información obtenida durante el proceso de selección del personal seleccionado, serán almacenados en su respectiva carpeta personal física y electrónica, aplicando a esta información medidas de Gestión Documental y de seguridad de la Información, en virtud de la información sensible.

La finalidad del tratamiento de datos personales suministrados por los interesados se limita a la participación en el mismo; por tanto, su uso para fines diferentes está prohibido.

13.2.  Tratamiento de Datos Durante la Relación Laboral

La Gestión Documental obtenida de datos personales de los colaboradores, durante el proceso de selección, deberá ser almacenada en una carpeta física o digital identificada con el nombre de cada uno de ellos. A esta información solo podrá tener acceso de consulta y manipulación por el área de Talento Humano, área de digitalización con su respectivo administrador del sistema y la Gerencia Financiera y Administrativa, con la finalidad de administrar la relación contractual entre SCANDINAVIA PHARMA LTDA. y el colaborador.

Está prohibido el uso de datos e información personal de los empleados para fines diferentes a la administración de la relación contractual. El uso diferente de los datos de los empleados solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad.

Corresponderá al Oficial de Cumplimiento evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión no autorizada de datos personales.

13.3.  Tratamiento de Datos Personales, Cuando se Termina la Relación Contractual

Terminada la relación laboral, se debe proceder a almacenar los datos personales físicos o digitales obtenidos en el proceso de selección, así como la documentación generada en el desarrollo de la relación laboral, en un archivo central que garantice altos niveles de seguridad, acceso, modificación y eliminación no autorizada, en virtud de que la información laboral pueda contener datos sensibles.

Esta rotundamente prohibido ceder tal información a terceras partes, por posibles incumplimientos en la finalidad para la cual fueron entregados por sus titulares, salvo autorización previa y escrita que documente el consentimiento por parte del titular del dato personal.

13.4.  Tratamiento de Datos Personales de Clientes

SCANDINAVIA PHARMA LTDA. solamente solicitara de sus clientes los datos que sean necesarios, relevantes, pertinentes y no excesivos para la finalidad de vinculación, evaluación de riesgos y otorgamiento de línea de crédito, para la evaluación, ejecución y seguimiento de las operaciones contractuales.

SCANDINAVIA PHARMA LTDA. podrá solicitar de sus clientes, los datos personales necesarios, relevantes, pertinentes y no excesivos de alguno de sus empleados, y que por motivos de seguridad deba analizar y evaluar, atendiendo las características de la capacidad operacional con el cliente.

Los datos personales de empleados de los clientes, tendrá como única finalidad la verificación de la idoneidad moral, seguridad y competencia de los empleados; una vez verificado este requisito, se podrá devolver tal información al cliente, salvo si es necesario preservar estos datos.

Los datos solicitados, podrán ser usados para campañas comerciales, promocionales, evaluación y satisfacción del servicio al cliente de nuestras marcas, siempre y cuando se hubiera solicitado con anterioridad, la respectiva autorización para ello.

13.5.  Tratamiento de Datos Personales de Proveedores

SCANDINAVIA PHARMA LTDA. solamente solicitara de sus proveedores los datos que sean necesarios, relevantes pertinentes y no excesivos para la finalidad de selección, evaluación de riesgos y ejecución de las operaciones contractuales.

SCANDINAVIA PHARMA LTDA. podrá solicitar de sus proveedores, los datos personales necesarios, relevantes, pertinentes y no excesivos de alguno de sus empleados, y que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor.

Los datos personales de empleados de los proveedores, tendrá como única finalidad la verificación de la idoneidad moral y competencia de los empleados; una vez verificado este requisito, se podrá devolver tal información al proveedor, salvo si es necesario preservar estos datos.

13.6.     Tratamiento de Datos Personales de la Comunidad en General

La obtención y tratamiento de datos de personas naturales que SCANDINAVIA PHARMA LTDA. gestione en desarrollo de acciones con la comunidad, bien sea por responsabilidad social empresarial o de cualquier otra actividad, se deberá sujetar a lo señalado en esta norma. Para ello, previamente SCANDINAVIA PHARMA LTDA. deberá informar y obtener la autorización de los titulares de los datos.

Las áreas de la compañía que desarrollen procesos de negocios en los que se involucren datos de carácter personal, deberán considerar obligatoriamente en sus estrategias, procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada, además de prevenir posibles sanciones legales.

14.   PROHIBICIONES

En cumplimiento de esta norma de tratamiento y seguridad de datos personales de SCANDINAVIA PHARMA LTDA., a continuación, se definen las siguientes prohibiciones y sanciones en consecuencia a posibles incumplimientos.

SCANDINAVIA PHARMA LTDA. prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquier otro tratamiento de datos personales de carácter sensible sin autorización del titular del dato personal y/o de SCANDINAVIA PHARMA LTDA.

El incumplimiento de la anterior prohibición por parte de los colaboradores de SCANDINAVIA PHARMA LTDA. será considerado como falta grave, lo que podría ocasionar la terminación de la relación laboral. Lo anterior, sin perjuicio de las acciones legales a que haya lugar.

El incumplimiento de esta prohibición por parte de los clientes o proveedores que contraten con SCANDINAVIA PHARMA LTDA. será considerado como causa grave que podría dar por terminado al contrato, sin perjuicio de las acciones a que haya lugar.

En las relaciones contractuales con clientes y proveedores, donde el objeto contratado tenga relación con datos personales, se pactará una previsión o clausula en relación con los perjuicios que se pueden llegar a materializar por consecuencia de la declaración o imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes, como efecto de actuaciones imprudentes y negligentes del cliente o proveedor.

SCANDINAVIA PHARMA LTDA. prohíbe la cesión, comunicación o circulación de datos personales, sin el debido consentimiento previo, escrito y expreso del titular del dato, o sin la respectiva autorización de SCANDINAVIA PHARMA LTDA. La cesión o comunicación de datos personales deberá ser inscrita en el registro central de datos personales de SCANDINAVIA PHARMA LTDA. y contar con la autorización del custodio de la base de datos.

SCANDINAVIA PHARMA LTDA. prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible que pudieran llegar a ser identificados en un procedimiento de revisión o auditoría en aplicación de la norma sobre el buen uso del tratamiento de datos personales y de seguridad de la información de la compañía u otras normas expedidas por SCANDINAVIA PHARMA LTDA. aplicable para estos fines.

Los datos sensibles que se identifiquen sin el debido consentimiento, SCANDINAVIA PHARMA LTDA. procederá a eliminarlos de manera segura.

·      SCANDINAVIA PHARMA LTDA. prohíbe a los destinatarios de esta norma, cualquier tratamiento de datos personales, salvo que se cuente con la autorización del titular del dato y/o de SCANDINAVIA PHARMA LTDA., según el caso.

·      SCANDINAVIA PHARMA LTDA. prohíbe el Tratamiento de datos personales de niños, niñas y adolescentes está, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

a.   Que responda y respete el interés superior de los niños, niñas y adolescentes.

b.  Que se asegure el respeto de sus derechos fundamentales.

Una vez se cumpla con los anteriores requisitos, será el representante legal del niño, niña o adolescente quien otorgara la autorización, previo ejercicio del menor en su derecho a ser escuchado, opinión que deberá ser valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

15.   TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Para la transferencia de datos personales, se deben aplicar las siguientes reglas:

15.1       Se prohíbe a SCANDINAVIA PHARMA LTDA. la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios, Esta prohibición no regirá cuando se trate de:

a.   Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.

b.  Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.

c.   Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.

d.  Transferencias necesarias para la ejecución de un contrato entre el Titular y SCANDINAVIA PHARMA LTDA., o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.

e.   Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.

f. Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

15.2       Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales.

15.3       Corresponderá al Representante Legal aprobar los acuerdos o contratos que conlleven una transferencia internacional de datos personales, atendiendo como directrices los principios aplicables en esta norma. Así mismo le corresponderá hacer las consultas pertinentes ante la Superintendencia de Industria y Comercio para asegurar la circunstancia de “país seguro” en relación con el territorio de destino y/o procedencia de los datos.

16.   ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS PERSONALES

El adecuado tratamiento de datos personales que se encuentran bajo responsabilidad de SCANDINAVIA PHARMA LTDA., está en cabeza de todos sus colaboradores y administradores societarios.

Por lo tanto, en cada área de la compañía donde se involucre el tratamiento de datos personales, deberán adoptar y aplicar procedimientos y directrices que aseguren el cumplimento de la presente norma, dada su condición de custodios de la información personal que contenida en los sistemas de información de SCANDINAVIA PHARMA LTDA.

En caso de duda respecto del tratamiento de los datos personales, se deberá acudir al área responsable de la seguridad de la información y/o al Oficial de Cumplimiento para que indiquen la directriz a seguir, según sea el caso.

17.    TEMPORALIDAD DEL DATO PERSONAL

La permanencia de los datos personales en los sistemas de información estará determinada por la finalidad de dicho tratamiento. Por lo tanto, una vez se agote la finalidad respectiva para lo cual se recolectaron los datos, SCANDINAVIA PHARMA LTDA. deberá proceder a su destrucción, devolución o custodia, según lo dispuesto en la ley, adoptando las medidas técnicas de seguridad que impidan un tratamiento inadecuado.

17.1.  Acreditar y conservar el Aviso de Privacidad y las Políticas de Tratamiento de la Información.

SCANDINAVIA PHARMA LTDA., deberá conservar el Aviso de Privacidad que hubiera usado para dar a conocer al Titular la existencia de la política del tratamiento de la información y la respectiva forma de acceder a las mismas, mientras se traten datos personales y perduren las obligaciones que de este se puedan derivar. Los debidos soportes deben ser almacenados en medio electrónicos, siempre y cuando se garantice su adecuada consulta y reproducción autorizada.

18.   MEDIDAS DE SEGURIDAD

En cumplimiento de esta normatividad, SCANDINAVIA PHARMA LTDA. adoptará medidas de seguridad físicas, lógicas y administrativas, clasificadas en nivel de riesgo alto, medio y bajo, de acuerdo a la criticidad de los datos personales tratados.

SCANDINAVIA PHARMA LTDA. adoptará la política de seguridad y tratamiento de datos personales que será de obligatorio cumplimiento por parte de los destinatarios de esta norma.

Es obligación de los destinatarios de esta norma informar de manera oportuna a SCANDINAVIA PHARMA LTDA. (Oficial de Cumplimiento) cualquier sospecha o tratamiento inadecuado que pueda implicar una violación a las medidas de seguridad adoptadas por la compañía para proteger los datos personales.

Para estos casos, SCANDINAVIA PHARMA LTDA. deberá comunicar a la autoridad de control y supervisión tal situación, y procederá a gestionar el respectivo incidente de seguridad respecto de los datos personales, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.

19.   PROCEDIMIENTOS Y SANCIONES

De acuerdo al régimen de sanciones definido por la Ley 1581 de 2012 en su artículo 23., SCANDINAVIA PHARMA LTDA. comunica a los destinatarios la materialización de los riesgos que se asume por tratamiento indebido de datos personales:

“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a.    Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

b.    Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

c.    Cierre temporal de las operaciones relacionadas con el Tratamiento, una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

d.    Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.”

Cualquier notificación que la compañía o alguno de sus colaboradores reciba sobre un proceso de investigación por parte de alguna autoridad relacionada con el tratamiento de datos personales, deberá comunicarla de manera inmediata al Oficial de Cumplimiento de SCANDINAVIA PHARMA LTDA., con el objetivo de poder actuar y tomar las medidas necesarias para evitar posibles imposiciones de las sanciones previstas en la legislación Colombiana, en particular las definidas en el Título VI, y articulo 23 de la ley 1581 de 2012., anteriormente descritas.

En consecuencia, a los riesgos a los que se expone y asume SCANDINAVIA PHARMA LTDA. en calidad de responsable y/o Encargado del tratamiento de datos personales, el incumplimiento de esta norma por parte de sus destinatarios, se considera una falta grave y dará lugar a la terminación del contrato respectivo sin perjuicio de las demás acciones que legalmente procedan.

20.   RESTRICCIONES EN EL USO DE ESTA NORMA

Esta política de protección de datos personales es para uso exclusivo de la Compañía, por lo tanto, no se permite cualquier otro uso por personal distinto a SCANDINAVIA PHARMA LTDA., en respeto de la propiedad intelectual, así como por razones de seguridad de la información.

21.   UTILIZACIÓN DE COOKIES

Para la utilización de los siguientes Sitios Web:

www.edapil.co                            www.umquan.com                        www.abrilar.co

www.scandinavia.com.co             www.toplear.com.co                      www.perspirex.com.co

www.laprendaperfecta.com          www.appmegalabs.com                www.hidrisage.co

www.hidrisage.com

Es necesaria la utilización de cookies y pequeños ficheros de datos. Las cookies se utilizan con la finalidad de mejorar el servicio prestado por SCANDINAVIA PHARMA LTDA y son aceptadas por el Usuario en el momento de acceder al Sitio Web.  Si el Usuario lo desea, puede configurar su navegador para impedir la instalación de cookies en su disco duro, para lo cual le aconsejamos que consulte las instrucciones y manuales de su navegador. 

22.   PROPIEDAD INTELECTUAL E INDUSTRIAL

SCANDINAVIA PHARMA LTDA ostenta todos los derechos sobre el contenido, diseño y código fuente del Sitio Web y, en especial, con carácter enunciativo, pero no limitativo, sobre las fotografías, imágenes, textos, logos, diseños, marcas, nombres comerciales y datos que se incluyen en la web o aplicación.

Se advierte a los Usuarios de que tales derechos están protegidos por la legislación vigente colombiana e internacional relativa a la propiedad intelectual e industrial.

Queda expresamente prohibida la reproducción total o parcial del Sitio Web, ni siquiera mediante un hiperenlace, ni de cualquiera de sus contenidos, sin el permiso expreso y por escrito de SCANDINAVIA PHARMA LTDA.

Asimismo, queda totalmente prohibida la copia, reproducción, adaptación, modificación, distribución, comercialización, comunicación pública y/o cualquier otra acción que comporte una infracción de la normativa vigente colombiana y/o internacional en materia de propiedad intelectual y/o industrial, así como el uso de los contenidos de la web o aplicación si no es con la previa autorización expresa y por escrito de SCANDINAVIA PHARMA LTDA.

SCANDINAVIA PHARMA LTDA informa que no concede licencia o autorización implícita alguna sobre los derechos de propiedad intelectual y/o industrial o sobre cualquier otro derecho o propiedad relacionada, directa o indirectamente, con los contenidos incluidos en la web o aplicación.

23.   BIBLIOGRAFIA

·         Ley 1581 de 2012

·         Decreto 1074 del 26 de mayo de 2015

·         Circular Externa 2 del 3 de noviembre de 2015 RNBD de la SIC

·         http://www.sic.gov.co/drupal/