Actualizada 2 de enero de 2023
AG TECHNOLOGY GLOBAL, LLC (en adelante “AG TECHNOLOGY”) en cumplimiento de las normas aplicables sobre recolección y tratamiento de los datos personales (en adelante “DP”), hemos adoptado la siguiente política de seguridad de la información y tratamiento de datos personales, previas las siguientes consideraciones:
1. Que AG TECHNOLOGY ha venido trabajando en el proceso de regulación del tratamiento de DP bajo el marco de la norma ISO 27001/27002, el cual supone el sometimiento de AG TECHNOLOGY al cumplimiento de la normatividad vigente en materia de protección de DP.
2. Que en cumplimiento de la obligación que tiene AG TECHNOLOGY de mejorar su Sistema de Gestión de Seguridad de la Información dentro de un esquema de Planear- Hacer- Verificar- Actuar, se requiere expedir una norma que establezca las reglas aplicables al tratamiento de DP que estén bajo responsabilidad de AG TECHNOLOGY.
3. Que corresponde tanto a las directivas de AG TECHNOLOGY, así como a sus empleados y terceros contratistas, observar, acatar y cumplir las órdenes e instrucciones que de modo particular imparta AG TECHNOLOGY respecto de los DP cuya divulgación o indebido uso pueda generar un perjuicio a los Titulares de la misma.
4. Que las normas legales relacionadas con los DP establecen sanciones económicas, comerciales y privativas de la libertad, por lo cual es fundamental la cooperación entre AG TECHNOLOGY y los destinatarios de esta norma, con el fin de garantizar el cumplimiento de los derechos a la intimidad, al habeas data y a la protección de DP evitando así perjuicios para cualquiera de las partes y/o terceros.
5. Que la regulación de la política de tratamiento de datos personales, en particular respecto de las relaciones laborales y prestación de servicios, debe incluir la protección de los DP relacionados con el recurso humano, respetando el mínimo de derechos y garantías de los empleados y prestadores de servicios, so pena de que las estipulaciones no produzcan ningún efecto.
6. Que conforme a la legislación laboral surge para el empleador el deber de proteger a los empleados, y para estos surge el deber de acatamiento y lealtad para con AG TECHNOLOGY, de manera que estos contribuyan en la gestión segura de la información de carácter personal.
7. Que esta norma complementa y no contraviene las obligaciones del empleado y de AG TECHNOLOGY contenidas en la legislación laboral.
8. Que es deber de los empleados para con AG TECHNOLOGY prestar toda su colaboración en caso de siniestro o riesgo inminente que afecte o amenacen los activos de información, especialmente los relacionados con los DP que custodia AG TECHNOLOGY, de manera que se preste la debida cooperación que AG TECHNOLOGY requiera para investigar, analizar y capturar evidencia de incidentes de seguridad que comprometan ésta información, tengan o no vocación judicial, acatando para ello las instrucciones contenidas en el protocolo de cadena de custodia de AG TECHNOLOGY. Con base en las anteriores consideraciones que fundamentan la protección de DP en AG TECHNOLOGY, se formulan las siguientes disposiciones para su tratamiento y que son de obligatorio cumplimiento para los destinatarios de esta norma.
DEFINICIONES
1. Base de Datos Personales. Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
2. Base de datos automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.
3. Base de datos no automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.
4. Cesión de datos. Tratamiento de datos que supone su revelación a una persona diferente al Titular del dato o distinta de quien estaba habilitado como cesionario.
5. Custodio de la base de datos. Es la persona física que tiene bajo su custodia la base de DP al interior de AG TECHNOLOGY. 6. Dato personal. Es cualquier dato y/o información que identifique a una persona física o la haga identificable. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.
7. Dato personal sensible. Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su Titular y en los casos previstos en la ley.
8. Encargado del Tratamiento. Es la persona física o jurídica, autoridad pública o privada, que por si misma o en asocio con otros, realice el tratamiento de DP por cuenta del Responsable.
9. Fuentes Accesibles al Público. Se refiere a aquellas bases contentivas de DP cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a DP de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.
10. Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y DP que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.
11. Procedimiento de análisis y creación de Información. Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los DP recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del Titular de cada dato personal. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
12. Procedimiento de Disociación. Hace referencia a todo tratamiento de DP de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
13. Principios para el tratamiento de datos. Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de DP, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los DP, y el derecho a la información.
14. Propietario de la base de datos. Dentro de los procesos de negocios de AG TECHNOLOGY, es propietaria de la base de datos el área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión.
15. Responsable del Tratamiento. Es la persona física o jurídica, de naturaleza pública o privada, que recolecta los DP y decide sobre la finalidad, contenido y uso de la base de datos.
16. Titular del dato personal. Es la persona física cuyos datos sean objeto de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.
17. Tratamiento de Datos. Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre DP, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.
18. Usuario. Es la persona natural o jurídica que tiene interés en el uso de la información personal.
19. Violaciones de las Medidas de Seguridad de los Datos Personales. Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por AG TECHNOLOGY para proteger los DP entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de DP en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los DP en poder de AG TECHNOLOGY deberá ser informado a la autoridad de control en la materia. II. OBJETO Adoptar y establecer las reglas aplicables al tratamiento de DP recolectados, tratados y/o almacenados por AG TECHNOLOGY en desarrollo de su objeto social, bien sea en calidad de Responsable y/o Encargado del tratamiento. Las reglas adoptadas en esta norma por AG TECHNOLOGY se adecúan a los estándares internacionales en materia de protección de DP. III. ÁMBITO DE APLICACIÓN Los principios y disposiciones contenidos en esta política de tratamiento de datos personales se aplicarán a cualquier base de DP que se encuentren en custodia de AG TECHNOLOGY, bien sea en calidad de Responsable y/o como Encargado del tratamiento.
Todos los procesos organizacionales de AG TECHNOLOGY que involucren el tratamiento de DP, deberán someterse a lo dispuesto en esta norma. En el evento en que existiera una diferencia entre la normatividad aplicable en alguna jurisdicción y la presente política, prevalecerá la aplicación de la normatividad local sobre esta política. IV. DESTINATARIOS La presente norma se aplicará y por ende obligará a las siguientes personas:
1. Representantes Legales y/o administradores de AG TECHNOLOGY.
2. Personal interno de AG TECHNOLOGY, directivos o no, que custodien y traten bases de DP.
3. Contratistas y personas naturales o jurídicas que presten sus servicios a AG TECHNOLOGY bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier tratamiento de DP.
4. Los Accionistas, revisores fiscales y aquellas otras personas con las cuales exista una relación
5. Personas públicas y privadas en condición de usuarios de los DP.
6. Las demás personas que establezca la ley.
PRINCIPIOS APLICABLES
La protección de DP en AG TECHNOLOGY estará sometida a los siguientes principios o reglas fundamentales, con base en las cuales se determinarán los procesos internos relacionados con el tratamiento de DP y se interpretarán de manera armónica, integral y sistemática para resolver los conflictos que se susciten en esta materia.
1. Consentimiento informado o principio de Libertad. El tratamiento de DP al interior de AG TECHNOLOGY, sólo puede hacerse con el consentimiento, previo, expreso e informado del Titular. Los DP no podrán ser obtenidos, tratados o divulgados sin autorización del Titular salvo mandato legal o judicial que supla el consentimiento del Titular.
2. Legalidad. El tratamiento de DP es una actividad reglada y por ende los procesos de negocios y destinatarios de esta norma deben sujetarse a lo dispuesto en esta norma.
3. Finalidad del Dato. El tratamiento de DP debe obedecer a una finalidad legítima, acorde con la Constitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al Titular para que éste exprese su consentimiento informado.
4. Calidad o veracidad del dato. Los datos de carácter personal recolectados por AG TECHNOLOGY deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. Se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.
5. Transparencia. En el tratamiento de DP se garantizará el derecho del Titular a obtener y conocer del Responsable y/o Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
6. Pertinencia del dato. En la recolección de los DP por parte de AG TECHNOLOGY se deberá tener en cuenta la finalidad del tratamiento y/o de la base de datos; por tanto deben ser datos adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de DP desproporcionados en relación con la finalidad para la cual se obtienen.
7. Acceso y Circulación Restringida. Los DP que recolecte o trate AG TECHNOLOGY serán usados por esta compañía solo en el ámbito de la finalidad y autorización concedida por el Titular del dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros no autorizados. Los DP bajo custodia de AG TECHNOLOGY no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a lo dispuesto en la ley y los principios que gobiernan la materia.
8. Temporalidad del dato. Agotada la finalidad para la cual fue recolectado y/o tratado el DP, AG TECHNOLOGY deberá cesar en su uso y por ende adoptará las medidas de seguridad pertinentes a tal fin. Para ello se tendrán en cuenta las obligaciones de ley comercial en materia de conservación de libros de comercio y correspondencia del comerciante.
9. Seguridad del Dato. AG TECHNOLOGY, en calidad de Responsable o Encargado del tratamiento de DP, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los DP. AG TECHNOLOGY, conforme la clasificación de los DP, implementará las medidas de seguridad de nivel alto, medio o bajo, aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento.
10. Confidencialidad. AG TECHNOLOGY y todas las personas que intervengan en el tratamiento de DP, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual. AG TECHNOLOGY implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.
11. Deber de Información. AG TECHNOLOGY informará a los Titulares de los DP, así como a los Responsables y Encargados del tratamiento, del régimen de protección de DP adoptado por AG TECHNOLOGY, así como respecto de la finalidad y demás principios que regulan el tratamiento. Así mismo informará sobre la existencia de las bases de DP que custodie, los derechos y el ejercicio del habeas data por parte de los Titulares, procediendo al registro que exige la ley.
12. Protección especial de datos sensibles. AG TECHNOLOGY no recolectará ni tratará DP ligados exclusivamente a ideologías políticas, afiliación sindical, creencias religiosas, vida sexual, origen étnico, y datos de salud, salvo autorización expresa del Titular – dejando claro que es de carácter facultativo responder preguntas que versen sobre datos sensibles o sobre menores de edad, – y en aquellos casos de ley en los cuales no se requiera del consentimiento. Los DP de carácter sensible que se puedan obtener en procesos de la actividad de AG TECHNOLOGY serán protegidos a través de medidas de seguridad altas.
DERECHOS DE LOS TITULARES
Los Titulares de los DP contenidos en bases de datos que reposen en los sistemas de información de AG TECHNOLOGY, tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en la Constitución Política y la Ley. El ejercicio de estos derechos será gratuito e ilimitado por parte del Titular, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos. El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidos por el Titular de manera exclusiva, salvo las excepciones de ley.
1. Derecho de acceso. Este derecho comprende la facultad del Titular de obtener toda la información respecto de sus propios DP, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus DP, y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no.
2. Derecho de actualización. Este derecho comprende la facultad del Titular del dato de actualizar sus DP cuando éstos hayan tenido alguna variación.
3. Derecho de rectificación. Este Derecho comprende la facultad del Titular de modificar los datos que resulten ser inexactos, incompletos o inexistentes.
4. Derecho de cancelación. Este Derecho comprende la facultad del Titular de cancelar sus DP o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepciones por la ley.
5. Derecho a la revocatoria del Consentimiento. El Titular tiene el derecho de revocar el consentimiento o la autorización que habilitaba a AG TECHNOLOGY para un tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepciones por la ley y/o que sea necesario en un marco contractual específico.
6. Derecho de oposición. Este derecho comprende la facultad del Titular de oponerse al tratamiento de sus DP, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular. La Vicepresidencia Legal de AG TECHNOLOGY, con base en los legítimos derechos que argumente el Titular, hará un juicio de proporcionalidad o ponderación con el fin de determinar la preeminencia o no del derecho particular del Titular sobre otros derechos, verbigracia, el derecho de información.
7. Derecho a presentar quejas y Reclamos o a ejercer Acciones. El Titular tiene derecho a presentar ante la autoridad competente, quejas y reclamos, así como las acciones que resultaren pertinentes, para la protección de sus datos. AG TECHNOLOGY dará respuesta a los requerimientos que realicen las autoridades competentes en relación con estos derechos de los Titulares.
8. Derecho a otorgar autorización para el tratamiento de datos. En desarrollo del principio del Consentimiento Informado, el Titular tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus DP en AG TECHNOLOGY. De manera excepcional, esta autorización no será requerida en los siguientes casos: cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial, cuando se trate de datos de naturaleza pública, en casos de emergencia médica o sanitaria, cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos, cuando se trate de DP relacionados con el Registro Civil de las personas. En estos casos, si bien no se requiere de la autorización del Titular, si tendrán aplicación los demás principios y disposiciones legales sobre protección de DP.
DEBERES DE RESPONSABLES Y ENCARGADOS
Cuando AG TECHNOLOGY o cualquiera de los destinatarios de esta norma, asuman la calidad de Responsables del tratamiento de DP bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
1. Garantizar al Titular, en todo tiempo, el pleno ejercicio del derecho de hábeas data.
2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización y consentimiento otorgada por el Titular.
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. 4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. 6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información se mantenga actualizada. 7. Rectificar la información cuando sea incorrecta y comunicarlo al Encargado del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
9. Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
10. Tramitar las consultas y reclamos en los términos señalados en esta norma y en la ley.
11. Adoptar lineamientos internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
12. Informar al Encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la autoridad competente.
Cuando AG TECHNOLOGY o cualquiera de los destinatarios de esta norma, asuman la calidad de Encargados del tratamiento de DP bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.
4. Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en esta norma y en la ley. Esta función estará en cabeza de la Vicepresidencia Legal de AG TECHNOLOGY.
6. Adoptar lineamientos internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
7. Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley, respecto de aquellas quejas o reclamaciones no resueltas presentadas por los Titulares de los DP.
8. Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la autoridad competente.
10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
11. Informar a la autoridad competente cuando se l presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
12. Cumplir las instrucciones y requerimientos que imparta la autoridad competente.
Además de los deberes antes descritos en cabeza de AG TECHNOLOGY y de cualquiera otra persona que asuma su condición de Responsable o Encargado del tratamiento, de manera complementaria asumirán los siguientes deberes cualquiera que sea su condición:
1. Aplicar las medidas de seguridad conforme la clasificación de los DP que trata AG TECHNOLOGY.
2. Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos.
3. Adoptar procedimientos de Respaldo o Back Up de las bases de datos que contienen DP.
4. Auditar de forma periódica el cumplimiento de esta norma por parte de los destinatarios de la misma.
5. Gestionar de manera segura las bases de datos que contengan DP.
6. Aplicar esta norma sobre protección de DP en armonía con la Política de Seguridad de la Información.
7. Llevar un registro central de las bases de datos que contengan DP.
8. Gestionar de manera segura el acceso a las bases de DP contenidos en los sistemas de información, en los que actúe como Responsable o Encargado del tratamiento.
9. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan DP.
10. Regular en los contratos con terceros el acceso a las bases que contengan DP.
PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS
En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del Titular, o interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, AG TECHNOLOGY adopta el siguiente procedimiento:
1. El Titular y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el Titular este representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento del contenido ante notario. El apoderado deberá igualmente acreditar su identidad en los términos indicados.
2. La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal o al correo electrónico datospersonales@AG TECHNOLOGY.com.co o por medio de la Línea de Transparencia (lintransparencia@AG TECHNOLOGY.com.co).
3. La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:
• Nombre del Titular, y de sus representantes, de ser el caso.
• Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que AG TECHNOLOGY proceda como Responsable de la base de datos a dar respuesta.
• Dirección física y/o electrónica para notificaciones.
• Documentos que soportan la solicitud.
• Firma de la solicitud por parte del Titular.
Si faltare alguno de los requisitos aquí indicados, AG TECHNOLOGY así lo comunicará al interesado dentro de los 5 días siguientes a la recepción de la solicitud, para que los mismos sean subsanados, procediendo entonces a dar respuesta a la solicitud de Habeas Data presentada. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud. AG TECHNOLOGY, cuando sea Responsable de la base de DP contenidos en sus sistemas de información, dará respuesta a la solicitud en el término de diez (10) días si se trata de una consulta; y de quince (15) días si se trata de un reclamo. En igual término se pronunciará AG TECHNOLOGY cuando verifique que en sus sistemas de información no tiene DP del interesado que ejerce alguno de los derechos indicados.
En caso de reclamo, si no fuere posible dar respuesta dentro del término de quince (15) días, se informará al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento de los primeros quince (15) días. AG TECHNOLOGY, en los casos que detente la condición de Encargado del tratamiento informará tal situación al Titular o interesado en el dato personal, y comunicará al Responsable la solicitud, con el fin de que éste dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al Titular del dato o interesado, para que tenga conocimiento sobre la identidad del Responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho. AG TECHNOLOGY documentará y almacenará las solicitudes realizadas por los Titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de AG TECHNOLOGY. Para acudir a la autoridad competente en ejercicio de las acciones legales contempladas para los Titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.
REGISTRO CENTRAL DE BASES DE DATOS AG TECHNOLOGY, como Responsable del tratamiento de DP bajo su custodia, en desarrollo de su actividad empresarial, así como respecto de aquellos en los cuales tenga la calidad de Encargado, dispondrá de un registro central en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información. El registro central de bases de DP permitirá:
1. Inscribir toda base de DP contenida en los sistemas de información de AG TECHNOLOGY. A cada base se le asignará un número de registro. La inscripción de las bases de DP indicará: (i) El tipo de DP que contiene; (ii) La finalidad y uso previsto de la base de datos; (iii) Identificación del área de AG TECHNOLOGY que hace el tratamiento de la base de datos; (iv) Sistema de tratamiento empleado (automatizado o manual) en la base de datos; (v) Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene; (vi) Ubicación de la base de datos en los sistemas de información de AG TECHNOLOGY; (vii) El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos; (viii) La condición de AG TECHNOLOGY como Responsable o Encargado del tratamiento de las bases de datos; (ix) Autorización de comunicación o cesión de la base de datos, si existe; (x) Procedencia de los datos y procedimiento en la obtención del consentimiento; (xi) Funcionario de AG TECHNOLOGY custodio de la base de datos; (xii) Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse.
2. La cancelación de la base de datos de DP será registrada indicando los motivos y las medidas técnicas adoptadas por AG TECHNOLOGY para hacer efectiva la cancelación. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
3. Para efectos de cumplimiento y auditoría, se actualizarán periódicamente los cambios surtidos en las bases de DP en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia.
4. Se documentará el historial de incidentes de seguridad que surjan de cualquiera de las bases de datos personales custodiadas por AG TECHNOLOGY así como y las sanciones impuestas o las medidas tomadas.
Las operaciones que constituyen tratamiento de DP por parte de AG TECHNOLOGY, en calidad de Responsable o Encargado del mismo, se regirán por los siguientes parámetros. Tratamiento de Datos Personales relacionados con la Gestión del Recurso Humano. AG TECHNOLOGY tratará los DP de sus empleados, contratistas, así como respecto de aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después de la relación laboral y/o de servicios. Cuando el Tratamiento sea antes de la relación laboral, AG TECHNOLOGY informará, de manera anticipada, a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los DP que suministre el interesado, así como respecto de aquellos que se obtengan durante el proceso de selección. Una vez agote el proceso de selección, informará el resultado negativo y entregará a las personas no seleccionadas los DP suministrados, salvo que los Titulares de los datos por escrito autoricen la destrucción, conservación u otro tratamiento de los mismos, cuando el Titular del dato no sea seleccionado. La información obtenida por AG TECHNOLOGY respecto de quienes no fueron seleccionados, resultados de las pruebas sicotécnicas y entrevistas, serán eliminados de sus sistemas de información, dando así cumplimiento al principio de finalidad. Cuando AG TECHNOLOGY contrate procesos de selección de personal con terceros, regulará en los contratos el tratamiento que se deberá dar a los DP entregados por los interesados, así como la destinación de la información personal obtenida del respectivo proceso. Los DP e información obtenida del proceso de selección respecto del personal seleccionado para laborar en AG TECHNOLOGY, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible. La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de AG TECHNOLOGY y la información personal obtenida del proceso de selección, se limita a la participación en el mismo; por tanto, su uso para fines diferentes está prohibido. En el Tratamiento de datos durante la relación contractual, AG TECHNOLOGY almacenará los DP e información personal obtenida del proceso de selección de los empleados en una carpeta identificada con el nombre de cada uno de ellos. Esta carpeta física o digital solo será accedida y tratada por el Área de Relaciones Laborales y con la finalidad de administrar la relación contractual entre AG TECHNOLOGY y el empleado. El uso de la información de los empleados para fines diferentes a la administración de la relación contractual, está prohibido en AG TECHNOLOGY. El uso diferente de los DP de los empleados solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad. Corresponderá a la Vicepresidencia Legales evaluar la competencia y eficacia de la orden de la autoridad competente para prevenir una cesión no autorizada de DP. Frente al Tratamiento de datos después de terminada la relación contractual, terminada la relación laboral, cualquiera que fuere la causa, AG TECHNOLOGY procederá a almacenar los DP obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles. AG TECHNOLOGY tiene prohibido ceder tal información a terceras partes no autorizadas, pues tal hecho puede configurar una desviación en la finalidad para la cual fueron recolectados.
2. Tratamiento de Datos Personales de Accionistas. Los DP de las personas físicas que llegaren a tener la condición de accionista de AG TECHNOLOGY, se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal. En consecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia. AG TECHNOLOGY solo usará los DP de los accionistas para las finalidades derivadas de la relación estatutaria existente.
3. Tratamiento de Datos Personales de Proveedores. AG TECHNOLOGY solo recopilará de sus proveedores los datos que sean necesarios, pertinentes y no excesivos para la selección, evaluación y ejecución del contrato que pueda tener lugar. Cuando AG TECHNOLOGY esté obligado como resultado de un proceso de contratación a transferir los datos personales del proveedor, la transferencia se realizará de acuerdo con las disposiciones de esta política. AG TECHNOLOGY tratará los DP de los empleados de sus proveedores, que sean necesarios, pertinentes y no excesivos para analizar y evaluar, de acuerdo con las características de los servicios contratados con el proveedor, los aspectos de seguridad de su acceso a las operaciones de AG TECHNOLOGY, la idoneidad moral y competencia. Una vez que se verifica este requisito, AG TECHNOLOGY deberá devolver dicha información al proveedor, excepto cuando sea necesario preservar estos datos. En cualquier caso, previa recepción de esta información, el proveedor recolectará el consentimiento de sus empleados para el tratamiento de sus datos personales y su transferencia a AG TECHNOLOGY. Cuando AG TECHNOLOGY entregue DP de sus empleados a sus proveedores, estos deberán proteger los DP suministrados, conforme lo dispuesto en esta norma. Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que legitima la entrega de los DP. AG TECHNOLOGY verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la transferencia.
4. Tratamiento de Datos Personales en procesos de contratación. Los terceros que, en procesos de contratación, alianzas y acuerdos de cooperación con AG TECHNOLOGY, accedan, usen, traten y/o almacenen DP de empleados de AG TECHNOLOGY y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de seguridad que le indique AG TECHNOLOGY según el tipo de DP tratado. Para tal efecto se incluirá la previsión de auditoría respectiva en el contrato o documento que legitima la entrega de los DP. AG TECHNOLOGY verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento.
5. Tratamiento de Datos Personales de la comunidad en general. La recolección de datos de personas físicas que AG TECHNOLOGY trate en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de responsabilidad social empresarial o de cualquiera otra actividad, se sujetará a lo dispuesto en esta norma. Para el efecto, previamente AG TECHNOLOGY informará y obtendrá la autorización de los Titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades. En cada uno de los casos antes descritos, las áreas de AG TECHNOLOGY que desarrollen los procesos de negocios en los que se involucren DP, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada.
1. AG TECHNOLOGY prohíbe el acceso, uso, gestión, transferencia, comunicación, almacenamiento y cualquier otro tratamiento de Datos Personales Sensibles, excepto cuando el Titular de Datos consienta su tratamiento o la ley autorice a AG TECHNOLOGY a tratar datos personales sensibles sin consentimiento. El incumplimiento de esta prohibición por parte de los empleados de AG TECHNOLOGY se considerará un incumplimiento grave de las obligaciones laborales que puede conducir a la terminación de la relación laboral e incluso a acciones legales. El incumplimiento de esta prohibición por parte de los proveedores de AG TECHNOLOGY se considerará un incumplimiento grave de los contratos que puede causar la terminación del contrato e incluso acciones legales.
2. AG TECHNOLOGY prohíbe la transferencia, comunicación o circulación de PD, sin el consentimiento previo, por escrito y expreso del Titular de los Datos, excepto en los casos en que la ley autorice a AG TECHNOLOGY a transferir los DP sin el consentimiento del Titular.
3. En aplicación de la norma sobre el uso adecuado de los recursos informáticos de AG TECHNOLOGY u otras regulaciones asociadas, AG TECHNOLOGY prohíbe el acceso, uso, transferencia, comunicación, almacenamiento y cualquier otro tratamiento de DP de naturaleza sensible que pueda identificarse en un procedimiento de auditoría. La identificación de los datos sensibles se informará al Titular de los Datos para que los elimine. Si la eliminación por parte del Titular de Datos no es posible, AG TECHNOLOGY procederá a eliminarlos de manera segura.
4. AG TECHNOLOGY prohíbe a los destinatarios de esta norma cualquier tratamiento de DP que pueda dar lugar a alguna de las conductas clasificadas como delitos informáticos.
5. AG TECHNOLOGY prohíbe el tratamiento de DP de menores de edad, salvo autorización expresa de sus representantes legales, excepto en los casos en que la ley autorice a AG TECHNOLOGY su tratamiento sin el consentimiento previo. En todo tratamiento de datos personales de menores, se deberán garantizar los derechos reconocidos en la Constitución Política o la ley.
TRANSFERENCIA INTERNACIONAL DE DATOS
Está prohibida la transferencia de DP a países que no proporcionen niveles adecuados de protección de datos. Se entienden países seguros aquellos que cumplan con los estándares fijados por la autoridad competente. De manera excepcional se podrán realizar transferencias internacionales de datos por AG TECHNOLOGY cuando:
1. El Titular del dato haya otorgado su autorización previa, expresa e inequívoca para realizar la transferencia.
2. La transferencia sea necesaria para la ejecución de un contrato entre el Titular y AG TECHNOLOGY como Responsable y/o Encargado del tratamiento.
3. Se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.
4. Se trate de transferencia de datos en el marco de tratados internacionales aplicables.
5. Transferencias legalmente exigidas para salvaguardar un interés público. Al momento de presentarse una transferencia internacional de DP, previo envío o recepción de los mismos, AG TECHNOLOGY suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes. Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de DP. Corresponderá a la Vicepresidencia Legales aprobar los acuerdos o contratos que conlleven una transferencia internacional de DP, atendiendo como directrices los principios aplicables y recogidos en esta norma.
ROLES Y RESPONSABILIDADES
La responsabilidad del tratamiento adecuado de los DP dentro de AG TECHNOLOGY corresponde a todos sus empleados y administradores. En consecuencia, cada área de AG TECHNOLOGY que trata DP, dada su condición de Propietario de la base de datos, debe adoptar reglas y procedimientos para la aplicación y el cumplimiento de esta política. En caso de duda sobre el tratamiento de DP, se debe contactar al área responsable de la seguridad de la información o al Departamento Legal para indicar las pautas a seguir.
TEMPORALIDAD DEL DATO PERSONAL
En el tratamiento de DP que realiza AG TECHNOLOGY, la permanencia de los datos en sus sistemas de información estará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, AG TECHNOLOGY procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado. XV. MEDIDAS DE SEGURIDAD En el tratamiento de los DP objeto de regulación en esta norma, AG TECHNOLOGY adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los DP tratados. Los destinatarios de esta política están obligados a informar a AG TECHNOLOGY cualquier violación de las medidas de seguridad adoptadas por AG TECHNOLOGY para proteger los DP, así como cualquier tratamiento de información inapropiado. En estos casos, AG TECHNOLOGY comunicará la situación a la autoridad competente y procederá a gestionar los incidentes de seguridad relacionados con DP para establecer las repercusiones penales, laborales, disciplinarias o civiles. XVI. Sanciones El incumplimiento de la esta política constituirá una violación del contrato de trabajo o comercial con AG TECHNOLOGY y conllevará la aplicación de sanciones que pueden implicar, incluso, la terminación de la relación laboral o comercial. Adicionalmente, puede implicar sanciones impuestas por las autoridades competentes, según la normatividad que resulte aplicable. La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el tratamiento de DP, deberá ser comunicada de manera inmediata a la Vicepresidencia Legales de AG TECHNOLOGY, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación aplicable. XVII. ENTREGA DE DATOS PERSONALES A AUTORIDADES Cuando las autoridades del Estado soliciten a AG TECHNOLOGY el acceso y/o entrega de DP contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los DP entregados y los riegos que conlleva su indebido uso e inadecuado tratamiento.
