comercial@grupoisma.com     Tel. ( +57) 322 603 5875

Inicio - Políticas de tratamiento de datos personales
Políticas de tratamiento de datos personales

La Constitución Política de Colombia estableció en el artículo 15 el derecho de protección de datos personales como el derecho de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas.  

Mediante la Ley 1581 del 17 de octubre de 2012, el Congreso de la República reglamentó el ya mencionado derecho al establecer las Disposiciones Generales para la Protección de Datos Personales en Colombia, igualmente reglamentada por los Decretos 1377 de 2013 y 886 de 2014 (hoy incorporados en el Decreto único 1074 de 2015), entre otros.  

En cumplimiento de las anteriores disposiciones GRUPO ISMA S.A.S, sociedad legalmente constituida e identificada con el N.I.T. 900.345.905 – 6 (en adelante denominada indistintamente “GRUPO ISMA” o “la ENTIDAD”) garantiza el derecho constitucional que tienen todas las personas a conocer, actualizar, rectificar, suprimir y revocar la autorización respecto a las informaciones que hayan recogido sobre ellas en las bases de datos que ella ha recopilado para las finalidades previamente establecidas.  

Para tales efectos, GRUPO ISMA ha elaborado la presente POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES , cuya aplicación es de carácter obligatorio tanto para ella como para todas las personas naturales o jurídicas que, con su previa autorización, traten los datos personales colectado o tratados por GRUPO ISMA, 

GRUPO ISMA, informa a todos los interesados, que los datos personales que obtenga en virtud de las operaciones que realice, serán tratados conforme a los principios y deberes definidos en la ley 1581 de 2012 y demás normas que traten y regulen esta materia.  

Para todos los fines pertinentes, los datos de GRUPO ISMA, quien tendrá la calidad de RESPONSABLE DEL TRATAMIENTO, son los siguientes: 

Domicilio:  Bodega 67 Parque Industrial Green Park km 2.7 

Municipio: Galapa – Atlántico 

Correo electrónico: legal@grupoisma.com 

Teléfono:(605) 3850070 

OBJETO  

La presente Política tiene como objeto suministrar la información necesaria y suficiente a los diferentes grupos de interés y establecer los lineamientos que garanticen la protección de los datos personales tratados por GRUPO ISMA, para de esta forma, dar cumplimiento a la ley, políticas y procedimientos de atención de derechos de los titulares, criterios de recolección, almacenamiento, uso, circulación y supresión que se dará a los datos personales.  

DESTINATARIOS  

Esta Política se aplicará a todas las bases de datos tanto físicas como digitales, que contengan datos personales y que sean objeto de Tratamiento por parte de GRUPO ISMA, en su calidad de Responsable del Tratamiento y en aquellos casos que opere como Encargado del Tratamiento o Fuente.  

Esta Política está dirigida a nuestros clientes, usuarios, candidatos a cargos dentro de la entidad, empleados, contratistas, accionistas, proveedores, visitantes de nuestras instalaciones y locales integrando un sistema de videovigilancia, los Encargados del tratamiento y en general a todas aquelles personas sobre las cuales realizamos un TRATAMIENTO DE DATOS PERSONALES.  

Esta política es de obligatorio conocimiento y cumplimiento para los empleados, contratistas, personas naturales o jurídicas a las que GRUPO ISMA haya encargado del tratamiento, y en general para todas las personas naturales o jurídicas que administren, gestionen o tengan acceso de bases de datos personales de GRUPO ISMA. 

ALCANCE 

Dar cumplimiento a las exigencias de la normatividad vigente en materia de Protección de Datos Personales, así como a cualquier exigencia originada en el principio de “Responsabilidad Demostrada”. 

Dar un trámite expedito y legal a las diferentes solicitudes y reclamaciones hechas por los Titulares de la Información, así como por sus causahabientes u otra persona que cuente con la debida autorización.  

DEFINICIONES 

Se tendrán en cuenta las siguientes definiciones para efectos de la presente política: 

AUTORIZACIÓN: es el consentimiento previo, expreso e informado del titular de la información para llevar a cabo el TRATAMIENTO DE DATOS PERSONALES. 

AVISO DE PRIVACIDAD: es la comunicación verbal o escrita que tiene como fin el informar al titular de los datos sobre la política de protección de datos. 

BASE DE DATOS: conjunto organizado de datos personales objeto de tratamiento. 

CIRCULACIÓN RESTRINGIDA: Los datos personales sólo serán tratados por el personal de GRUPO ISMA o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse Datos Personales a quienes no hayan sido autorizados por los titulares o no hayan sido habilitados por el Responsable del Tratamiento. 

CONFIDENCIALIDAD: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.  

DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).  

DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.  

DATO SEMIPRIVADO: Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales. 

DATO SENSIBLE: Aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.  

ENCARGADO DEL TRATAMIENTO: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el TRATAMIENTO DE DATOS PERSONALES por cuenta del responsable del tratamiento. 

INFORMACIÓN DIGITAL: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.  

PERSONA O AREA ENCARGADA DE LA PROTECCIÓN DE DATOS PERSONALES:  es el área que tiene como función la vigilancia y control de la aplicación de la presente Política de TRATAMIENTO DE DATOS PERSONALES  y la implementación del Programa Integral de Protección de Datos Personales.   

PERSONA O ÁREA RESPONSABLE DE LA ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS: las peticiones, consultas y reclamos formuladas por los titulares de datos serán atendidas por el área encargada de la protección de datos personales. 

RESPONSABLE DEL TRATAMIENTO: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el TRATAMIENTO DE DATOS PERSONALES. 

TITULAR: persona natural cuyos datos personales son objeto de tratamiento. En aplicación de la Presente Política serán titulares de la información los clientes, usuarios, colaboradores, empleados, contratistas, proveedores, aliados, accionistas, visitantes, y cualquier otra persona natural cuyos datos sean objeto de tratamiento ya sea directa o indirectamente. 

TRANSFERENCIA DE DATOS: tiene lugar cuando el responsable y/o encargado del TRATAMIENTO DE DATOS PERSONALES personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país. 

TRANSMISIÓN DE DATOS: TRATAMIENTO DE DATOS PERSONALES personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, con el objeto de que un encargado realice tratamiento por cuenta del Responsable. 

TRATAMIENTO: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, análisis, circulación o supresión. 

PRINCIPIOS RECTORES 

En el desarrollo, interpretación y aplicación de la ley, regulaciones, y normatividad vigente, se aplicarán, de manera armónica e integral, los siguientes principios: 

a) Principio de Legalidad en Materia de TRATAMIENTO DE DATOS PERSONALES:
El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

b) Principio de Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. 
c) Principio de Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el TRATAMIENTO DE DATOS PERSONALES parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. 

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.  

g) Principio de Seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de Confidencialidad: Todos los funcionarios y contratistas que intervengan en el TRATAMIENTO DE DATOS PERSONALES Personales que no tengan la naturaleza de públicos están obligados a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. GRUPO ISMA se compromete a tratar los datos personales de los titulares tal como lo define el literal g) del artículo 3 de la Ley 1581 de 2012 de forma absolutamente confidencial haciendo uso de estos, exclusivamente, para las finalidades indicadas, siempre que el titular no se haya opuesto a dicho tratamiento. GRUPO ISMA informa que tiene implantadas las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos personales y eviten su alteración, pérdida, tratamiento y/o acceso no autorizado.

i) Principio de temporalidad:
Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

j) Interpretación integral de los derechos constitucionales: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

k) Principio de Necesidad: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

AUTORIZACION DEL TITULAR PARA EL TRATAMIENTO DE DATOS PERSONALES PERSONALES 

Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste: 

i) por escrito,
ii) 
de forma oral o
iii)
mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización, como cuando, por ejemplo, se remite a la Entidad una hoja de vida para participar en procesos de selección o cuando se ingresa a las instalaciones a sabiendas de la existencia de sistemas de videovigilancia.

En Consecuencia, GRUPO ISMA solicitará (u obtendrá de comportamientos inequívocos) la autorización de manera que el titular de la información otorgue su consentimiento previo, expreso e informado del tratamiento al cual son sujetos sus datos personales.   

GRUPO ISMA conservará prueba de dichas autorizaciones de manera adecuada, velando y respetando los principios de privacidad y confidencialidad de la información. 

Cuando se trate de información que se relacione con los siguientes tipos de datos, se tendrán las siguientes consideraciones especiales: 

a.Datos sensibles
Para el TRATAMIENTO DE DATOS PERSONALES sensibles, GRUPO ISMA informará al titular de los datos lo siguiente: 

Para el tratamiento de este tipo de información el titular no está obligado a dar su autorización o consentimiento.  Así, la respuesta a preguntas sobre datos sensibles es facultativa, por lo que los titulares tienen derecho de abstenerse a responderlas. 
Se informará de forma explícita y previa qué tipo de datos sensibles serán solicitados.
Se comunicará el tratamiento y la finalidad que se le dará a los datos sensibles. 

La autorización de los datos sensibles será previa, expresa y clara.
b.
Datos de menores de edad.

Para el TRATAMIENTO DE DATOS PERSONALES de menores de edad GRUPO ISMA se asegurará que el tratamiento de este tipo de datos se realice de conformidad con los derechos de los menores. En este sentido, se protegerá su carácter especial y velará por el respeto de sus derechos fundamentales, de acuerdo con lo dispuesto en los artículos 5, 6 y 7 de la Ley 1581 de 2012, y en los artículos 6 y 12 del Decreto 1377 de 2013, y demás normas que los modifiquen o adicionen. 

Para efectos de cumplir lo anterior, GRUPO ISMA actuará de conformidad con lo siguiente: 

  • Se solicitará autorización del representante legal del menor previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, a efectos de realizar el tratamiento de sus datos personales. 
  • Se informará el carácter facultativo de responder preguntas acerca de los datos de los menores.   
  • Se informará de forma explícita y previa cuáles son los datos objeto de tratamiento y la finalidad de este. 

GRUPO ISMA informa que, de conformidad con el artículo 10 de la Ley 1581 de 2012, la autorización del titular no será necesaria cuando se trate de: 
a) Información requerida por la Entidad, en ejercicio de sus funciones legales o por orden judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las Personas.

FINALIDADES  

De acuerdo con lo establecido en la Ley 1581 de 2012 y de conformidad con las autorizaciones impartidas por los titulares de la información, GRUPO ISMA realizará operaciones o conjunto de operaciones que incluyen recolección de datos, su almacenamiento, análisis, uso, puesta en circulación a título gratuito u oneroso y/o supresión. Este TRATAMIENTO DE DATOS PERSONALES se realizará exclusivamente para las finalidades autorizadas y previstas a continuación y en las autorizaciones específicas otorgadas por parte del titular. De la misma forma se realizará TRATAMIENTO DE DATOS PERSONALES Personales cuando exista una obligación legal o contractual para ello. 

La información y los datos personales, incluida información de contacto, así como la información y documentación suministrada a través de canales virtuales, canal telefónico, correo electrónico y actualizaciones de información serán recolectados, consultados, actualizados, modificados y procesados directamente por GRUPO ISMA, o por quien este designe como Encargado del Tratamiento, para los siguientes fines: 

 1. USUARIOS Y CLIENTES:  

El TRATAMIENTO DE DATOS PERSONALES Personales de usuarios y clientes tendrá las siguientes finalidades, además de aquellas informadas al momento de la colecta de los respectivos datos personales y que sean expresamente consentidas:
a) 
Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables.
b) 
Cumplir con los procesos internos en materia de administración de proveedores y contratistas.
c) 
Ofrecer y prestar productos o servicios a través de llamadas telefónicas, envío de correos electrónicos o cualquier medio o canal de acuerdo con el perfil del cliente y los avances tecnológicos.
d) 
Actualizar bases de bases de datos, incluyendo los casos en que se requiera transmitir o transferir a un tercero, la información para la validación, depuración, enriquecimiento y homogenización de datos, previo cumplimiento de las exigencias legales. 
e) 
Realizar todas las gestiones necesarias tendientes a confirmar, actualizar y archivar la información del cliente y de sus compras y entrega de estas.  Transmitir los datos necesarios para el pago y el envío, a las personas jurídicas que administran tanto la plataforma de gestión de pagos utilizada por GRUPO ISMA, como los envíos.  En el caso particular de las compras en línea, GRUPO ISMA utiliza los servicios de externos de una empresa que gestiona la plataforma de gestión de pagos (denominada “EMPRESA DE GESTIÓN DE PAGOS”), quien tendrá la doble condición de Encargado del Tratamiento de los datos que GRUPO ISMA le suministrará y de Responsable del tratamiento, frente a los datos de pago que el mismo colectará, para dar cumplimiento a las obligaciones que en estas calidades, la EMPRESA DE GESTIÓN DE PAGOS establece sus propias Políticas de tratamientos de datos personales, accesibles desde su página institucional en el enlace siguiente: https://www.mercadolibre.com.co/privacidad/declaracion-privacidad La cual le invitamos a consultar y validar. La EMPRESA DE GESTIÓN DE PAGOS podrá compartir la información que le será suministrada con proveedores de servicios de valor agregado que se integren dentro del sitio o mediante links a otros sitios de Internet, para atender necesidades de los Usuarios relacionadas con los servicios que suministra al momento de la compra.  
f) 
Validar y verificar la identidad del cliente para el ofrecimiento y administración de productos y servicios, así mismo para compartir la información con diversos actores del mercado.
g) 
Elaborar estudios, estadísticas, encuestas, análisis de tendencias, relacionados con los servicios que presta GRUPO ISMA. 
h) 
Presentar informes a entidades externas como la Superintendencia de Industria y Comercio (en adelante denominada SIC), la Superintendencia Financiera de Colombia, la Superintendencia de Economía Solidaria, la Fiscalía General de la Nación, entre otras, que permitan dar cumplimiento a las exigencias legales y a análisis estadísticos requeridos a la GRUPO ISMA. 
i) 
Transmitir y transferir datos a terceros con los cuales hayan celebrado contratos con este objeto, para fines comerciales, administrativos, de mercadeo y/o operativos, incluyendo, pero sin limitarse, a la expedición de carnets, certificados personalizados y certificaciones a terceros, de acuerdo con las disposiciones legales vigentes. En cualquier caso, los terceros estarán obligados en los términos de esta Política. 
j) 
Realizar grabación de imágenes o cualquier otro registro que sirvan de soporte publicitario, de comunicación o de evidencia de los eventos y audiencias realizadas.
k) 
Mejorar las iniciativas promocionales de la oferta de prestación de servicios y actualización de productos de la Entidad. 
l) 
Evaluar el riesgo financiero asociado a un cliente.  A este fin se podrá consultar cualquier entidad que maneje o administre bases de datos con los mismos fines, de quien se podrá obtener información relativa al nacimiento, modificación, y extinción de obligaciones que directa o indirectamente tenga contraídas o vigentes hasta la total extinción de las obligaciones a cargo del cliente, por cualquier medio legal.
m) 
Realizar una adecuada prestación y administración de los servicios financieros, incluyendo la gestión de cobranza.
n) 
Suministrar información comercial, legal, de productos, de seguridad, de servicio o de cualquier otra índole.
o) 
Conocer la ubicación y datos de contacto del cliente para efectos de notificaciones con fines de seguridad y ofrecimiento de beneficios y ofertas comerciales.
p) 
Efectuar análisis e investigaciones comerciales, estadísticas, de riesgos, de mercado, interbancaria y financiera incluyendo contactar al cliente para estos fines.
q) 
Consultar, administrar, verificar antecedentes comerciales, reputacionales y los riesgos de lavado de activos y financiación del terrorismo, así como para detectar y/o prevenir el fraude, corrupción y otras actividades ilegales, asociadas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT, así como el cumplimiento con estándares de ética e integridad establecidos por GRUPO ISMA. 
r) 
Realizar, validar, autorizar o verificar transacciones, incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como la huella digital, imagen o voz, entre otros.
s) 
Realizar encuestas de satisfacción concerniente a los servicios prestados por GRUPO ISMA.
t) 
Consultar multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza. 

 

  1. CANDIDATOS, EMPLEADOS, EXEMPLEADOS:

El TRATAMIENTO DE DATOS PERSONALES Personales de los candidatos, empleados y exempleados tendrá las siguientes finalidades, además de aquellas informadas al momento de la colecta de los respectivos datos personales y que sean expresamente consentidas:
a) 
Realizar la evaluación de ingreso y el proceso de vinculación del aspirante, las cuales pueden ser realizadas directamente por GRUPO ISMA o con el apoyo de terceros con los que se compartirá su información para los fines relacionados con el objeto del contrato.
b) Para el caso de los participantes en convocatorias de selección, los datos personales tratados tendrán como finalidad adelantar las gestiones de los procesos de selección; las hojas de vida se gestionarán garantizando el principio de acceso restringido.
c) Gestionar las relaciones laborales existentes con éstos, así como el desarrollo de las diferentes actividades establecidas por la entidad.
d) Dar cumplimiento a las obligaciones y derechos derivados de actividad de empleado y de empleador, y a las actividades propias del objeto social principal y conexo de GRUPO ISMA, las cuales pueden ser realizadas directamente o con el apoyo de terceros con los que se compartirá su información para los fines relacionados con el objeto del contrato.
e) Controlar el cumplimiento de requisitos relacionados con el Sistema General de Seguridad Social.
f) En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad la identificación, control de acceso, seguridad y prevención de fraude interno y externo.
g) Informar y comunicar las generalidades de los eventos desarrollados por la Entidad por los medios y en las formas que se consideren convenientes.
h) Gestionar la cadena presupuestal y los procesos contables de la Entidad: pagos de la Entidad, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.
i) Consultar, administrar y verificar antecedentes comerciales, reputacionales y los riesgos de lavado de activos y financiación del terrorismo, así como para detectar y/o prevenir el fraude, corrupción y otras actividades ilegales, asociadas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT, así como el cumplimiento con estándares de ética e integridad establecidos por GRUPO ISMA.
j) Entregar información a los fondos de empleados y fondos mutuos de inversión.
k) Tratándose de exempleados, GRUPO ISMA almacenará, aun después de finalizado el contrato de trabajo, la información necesaria para cumplir con las obligaciones que puedan derivarse en virtud de la relación laboral que existió conforme a la legislación colombiana, o en virtud de los servicios que en virtud de la relación puedan llegar a prestarse, al igual que, proporcionar las certificaciones laborales que sean solicitadas por el exempleado o por terceros frente a quienes aquel adelante un proceso de selección.
l) Realizar grabación de imágenes o cualquier otro registro que sirvan de soporte publicitario, de comunicación o de evidencia de los eventos y audiencias realizadas.
m) Realizar, validar, autorizar o verificar transacciones, incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como la huella digital, imagen o voz, entre otros.
n) Consultar multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza. 

 

  1. PROVEEDORES/CONTRATISTAS:

El TRATAMIENTO DE DATOS PERSONALES Personales de proveedores y contratistas tendrá las siguientes finalidades, además de aquellas informadas al momento de la colecta de los respectivos datos personales y que sean expresamente consentidas:
a) Cumplir con los fines relacionados con el objeto de los procesos de selección, contractuales o relacionados con éstos.
b) Realizar todos los trámites internos y dar cumplimiento a las obligaciones legales, contables y tributarias.
c) Gestionar la cadena presupuestal y los procesos contables de la Entidad: pagos de la Entidad, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.
d) Realizar todas las actividades necesarias para el cumplimiento de las diferentes etapas contractuales en las relaciones con proveedores y contratistas.
e) Expedir las certificaciones contractuales solicitadas por los contratistas de la Entidad o solicitudes de los entes de control.
f) Mantener un archivo digital que permita contar con la información correspondiente a cada contrato. La información solicitada al proveedor o contratista podrá incluir información de los empleados de estos que se encuentren dedicados a cumplir alguna función o relación con GRUPO ISMA y que por la labor desempeñada requieran acceso a las instalaciones, a los aplicativos y/o sistemas u otros de la entidad.
g) Consultar, administrar y verificar antecedentes comerciales, reputacionales y los riesgos de lavado de activos y financiación del terrorismo por parte del proveedor o contratista, así como de sus empleados en relación con las actividades ejercidas con GRUPO ISMA, así como para detectar y/o prevenir el fraude, corrupción y otras actividades ilegales, asociadas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT, así como el cumplimiento con estándares de ética e integridad establecidos por GRUPO ISMA.  

h) Gestionar y fortalecer las relaciones contractuales con el proveedor o aliado, permitiendo un mayor control en las obligaciones asumidas por las partes.
i) Revisar y evaluar los resultados del proveedor o contratista, con el fin de fortalecer los procesos de contratación dentro de GRUPO ISMA.
j) Ofrecer y prestar productos o servicios a través de cualquier medio o canal de acuerdo con el perfil del proveedor o contratista, y de acuerdo con los avances tecnológicos.
k) Efectuar análisis e investigaciones comerciales, estadísticas, de riesgos, de mercado, interbancaria y financiera a partir de los resultados del proveedor o contratista.
l) Tratándose de personas naturales excontratistas, GRUPO ISMA almacenará, aun después de finalizado el contrato de prestación de servicios, la información necesaria para cumplir con las obligaciones que puedan derivarse en virtud de la relación comercial que existió conforme a la legislación colombiana, o en virtud de los servicios que en virtud de la relación puedan llegar a prestarse, al igual que, proporcionar las certificaciones que sean solicitadas por el excontratista o por terceros frente a quienes aquel adelante un proceso de selección.
m) Realizar grabación de imágenes o cualquier otro registro que sirvan de soporte publicitario, de comunicación o de evidencia de los eventos y audiencias realizadas.
n) Realizar, validar, autorizar o verificar transacciones, incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como la huella digital, imagen o voz, entre otros.
o) Consultar multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza.
p) Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que lo son atribuibles a GRUPO ISMA 

 

  1. ACCIONISTAS

El TRATAMIENTO DE DATOS PERSONALES Personales de accionistas tendrá las siguientes finalidades, además de aquellas informadas al momento de la colecta de los respectivos datos personales y que sean expresamente consentidas: 

a) Dar cumplimiento a las obligaciones y derechos derivados de su calidad de accionista.
b) Realizar las actividades de administración integral del libro de registro de accionistas.
c) Brindar la información relacionada con trámites, quejas y solicitudes de los accionistas.
d) Dar acceso a la información a las autoridades judiciales o administrativas que soliciten dichos datos en ejercicio de sus funciones.
e) Consultar, administrar y verificar antecedentes comerciales, reputacionales y los riesgos de lavado de activos y financiación del terrorismo, así como para detectar y/o prevenir el fraude, corrupción y otras actividades ilegales, asociadas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT, así como el cumplimiento con estándares de ética e integridad establecidos por GRUPO ISMA.
f) Dar cumplimiento a las actividades y fines necesarios de la relación emisor – accionistas.
g) Realizar grabación de imágenes o cualquier otro registro que sirvan de soporte publicitario, de comunicación o de evidencia de los eventos y audiencias realizadas.
h) Realizar, validar, autorizar o verificar transacciones, incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como la huella digital, imagen o voz, entre otros.
i) Consultar multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza. 

 

  1. INGRESO A LAS INSTALACIONES Y LOCALES CON SISTEMA DE VIDEOVIGILANCIA:

GRUPO ISMA ha dotado sus instalaciones y locales comerciales de sistemas de videovigilancia que concierne tanto a los candidatos, empleados, accionistas, contratistas, clientes y visitantes en general. Este servicio es prestado por una empresa externa, quien tendrá la calidad de Encargado del tratamiento. El tratamiento de estos datos tiene por finalidad:  

a) Controlar el ingreso de candidatos, empleados, contratistas, accionistas, clientes y visitantes en general.
b) Mantener la seguridad (de las personas, los bienes, las instalaciones y los procesos de producción), controlar el acceso a las diferentes instalaciones, áreas de trabajo, plantas de producción y locales comerciales, y dar cumplimiento a las políticas de seguridad física, cumpliendo con los parámetros establecidos en la Guía para la Protección de Datos Personales en Sistemas de Videovigilancia, expedidos por la SIC como autoridad de control.
c) Identificar a la persona que realiza la apertura y cierre de las instalaciones y que activa el sistema de alarma manejado por una empresa externa de servicio de videovigilancia.    

Las imágenes registradas solo son consultadas en caso de activación de la alarma. 

TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES  

GRUPO ISMA podrá transferir y transmitir los datos personales a quienes designe en calidad de Encargados del Tratamiento y a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación.  En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas por la normatividad en vigor.   

Así el Titular de la información autoriza a GRUPO ISMA a comunicar los datos a los empleados y contratistas que tengan dentro de sus funciones el TRATAMIENTO DE DATOS PERSONALES, así como a: 

  1. La EMPRESA DE GESTION DE PAGOS y la EMPRESA TRANSPORTADORA de las compras realizadas desde la página de e-comercio explotada por GRUPO ISMA; 
  2. La empresa de gestión de candidaturas y de contratación de personal; 
  3. La empresa prestadora de servicios de videovigilancia; 
  4. La empresa central de riesgo; 
  5. La empresa de gestión de alberge de información en la nube. 
  6. La empresa de vigilancia del parque industrial en el cual se encuentra la sede principal de GRUPO ISMA, para autorizar el ingreso por medio de la validación de documento de identidad y la suscripción a una ARL., 
  7. La empresa administradora del parque industrial para el control de acceso de los empleados. 
  8. La empresa de publicidad y mercadeo. 
  9. La empresa de administración de la página web y redes sociales. 

Todos los anteriores tendrán la calidad de Encargados del Tratamiento. 

En todo caso, cuando GRUPO ISMA transmita los datos a uno o varios Encargados ubicados dentro o fuera del territorio de la República de Colombia, estos se comprometerán a través de sus propias Políticas de TRATAMIENTO DE DATOS PERSONALES Personales o de cláusulas contractuales a salvaguardar la seguridad y la confidencialidad de los datos personales, así como a dar aplicación a las obligaciones previstas en la presente Política de TRATAMIENTO DE DATOS PERSONALES  y a realizar el TRATAMIENTO DE DATOS PERSONALES de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.  

En caso de transferencia se dará cumplimiento a las obligaciones estipuladas en la Ley 1581 de 2012 y normas reglamentarias.  

DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS PERSONALES  

En el TRATAMIENTO DE DATOS PERSONALES Personales por parte de GRUPO ISMA se respetarán en todo momento los derechos de los titulares de Datos Personales que son:  

a) Conocer, actualizar y rectificar los Datos frente a él o los Encargados del TRATAMIENTO DE DATOS PERSONALES.  
b) Solicitar prueba de la autorización otorgada, o cualquier otra que suscriba el titular de los Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito para el TRATAMIENTO DE DATOS PERSONALES de conformidad con la ley.  
c) Ser informado por la Entidad o el Encargado del Tratamiento, previa solicitud, respecto del uso que se le ha dado a los datos.  
d) Presentar, ante la SIC, quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, sustituyan o adicionen.  
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la SIC haya determinado que, en el Tratamiento GRUPO ISMA o el Encargado del TRATAMIENTO DE DATOS PERSONALES Personales, ha incurrido en conductas contrarias a la ley y a la Constitución. La revocatoria procederá siempre y cuando no exista la obligación legal o contractual de conservar el dato personal.  
f) Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento. 

En concordancia con el art. 20 del Decreto 1377 de 2013, el ejercicio de los derechos anteriormente mencionados podrá ejercerse por las siguientes personas: 

  1. Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable. 
  2. Por sus causahabientes, quienes deberán acreditar tal calidad. 
  3. Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento. 
  4. Por estipulación a favor de otro o para otro. 
  5. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos. 

PROCEDIMIENTOS PARA EJERCER LOS DERECHOS 

Los Titulares, sin importar el tipo de vinculación que tengan con GRUPO ISMA, podrán formular peticiones, consultas y reclamos, para ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos, o revocar la autorización de tratamiento de estos. 

GRUPO ISMA ha designado al Departamento de nuevos proyectos como área a cargo de la recepción y atención de peticiones, quejas, reclamos y consultas de todo tipo relacionadas con los Datos Personales. La persona designada de Servicio al Cliente tramitará las consultas y reclamaciones en materia de Datos Personales de conformidad con la Ley y esta Política.  

Los datos del contacto de la Persona o Área Responsable de la Atención de las Peticiones, Consultas o Reclamos son:   

  • Cargo de la persona de contacto:  Asistente de nuevos proyectos   
  • Dirección física:  Bodega 67 Parque Industrial Green Park km 2.7, Municipio de Galapa (Atlántico) 
  • Dirección electrónica: legal@grupoisma.com  
  • Página web: escogiendo la opción “Peticiones, consultas o reclamos” https://grupoisma.com/pqrs/ 

Los clientes de la página de e-comercio www.newconcept.co deberán presentar sus peticiones, consultar o reclamos a través del enlace siguiente https://newconcept.co/pqrs/ . 

La información solicitada por los Titulares de información personal será suministrada principalmente por medios electrónicos, o por cualquier otro solo si así lo requiere el Titular. La información suministrada por GRUPO ISMA será entregada sin barreras técnicas que impidan su acceso; su contenido será de fácil lectura, acceso y tendrá que corresponder en un todo a aquella que repose en la base de datos.  

  1.  PROCEDIMIENTO PARA PRESENTAR PETICIONES/CONSULTAS:  

El titular de información, su causahabiente, representante legal o apoderado podrán presentar consultas con el fin de conocer los datos que sobre el son tratados por GRUPO ISMA.  La consulta debe efectuarse por escrito enviada a la dirección física o electrónica antes mencionadas. 

Las consultas deberán contener como mínimo la siguiente información: 

  1. Nombres y apellidos del Titular y/o su representante y/o causahabientes y/o apoderado;  
  2. Lo que se pretende consultar; 
  3. Dirección física, electrónica y teléfono de contacto; 
  4. Firma, número de identificación o procedimiento de validación correspondiente.  
  5. Haber sido presentada por los medios de consulta habilitados por GRUPO ISMA. 

Una vez sea recibida la solicitud de CONSULTA, a través de los canales establecidos, el área respectiva procederá a remitir la solicitud a la Persona o Área Responsable de la Atención de las Peticiones, Consultas o Reclamos, quien, de ser necesario, dará a su vez traslado a la Persona o Área Encargada de la Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.  

Plazos de Respuesta a consultas:  

Las solicitudes recibidas mediante los anteriores medios serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.  

Prórroga del plazo de Respuesta:  

En caso de imposibilidad de atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.  

  1.  PROCEDIMIENTO DE RECLAMOS  

El Procedimiento de Reclamo podrá efectuarse con las finalidades siguientes:  

a) solicitar la corrección o actualización de los datos; 
b) solicitar la revocatoria de la autorización; 
c) solicitar la Supresión de los datos;  
d) señalar el presunto incumplimiento de la Ley 1581 de 2012 o de la presente Política de TRATAMIENTO DE DATOS PERSONALES personales.  

Los reclamos deberán contener como mínimo la siguiente información:  

  1. Nombres y apellidos del Titular y/o su representante y/o causahabientes y/o apoderado;  
  2. Objeto del reclamo; 
  3. Dirección física, electrónica y teléfono de contacto; 
  4. Firma, número de identificación o procedimiento de validación correspondiente; 
  5. Haber sido presentada por los medios de consulta habilitados por GRUPO ISMA.  

Cuando el reclamo comprenda una solicitud de ACTUALIZACIÓN o de RECTIFICACIÓN de información, el área respectiva procederá a remitir la solicitud a la Persona o Área Responsable de la Atención de las Peticiones, Consultas o Reclamos, quien, de ser necesario, dará a su vez traslado a la Persona o Área Encargada de la Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.  

Reclamaciones sin cumplimiento de Requisitos legales:  

En caso de que la reclamación se presente sin el cumplimiento de los anteriores requisitos legales, se solicitará al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentos faltantes.  

Desistimiento del Reclamo:  

Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.  

Recepción de reclamos que no correspondan a la Entidad:  

En caso de que GRUPO ISMA reciba un reclamo dirigido a otra entidad, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al reclamante.  

Inclusión de leyenda en la base de datos:  

Recibida la reclamación de forma completa, en un término máximo de dos (2) días hábiles contados desde la recepción, GRUPO ISMA Incluirá en la respectiva base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.  

Plazos de Respuesta a los Reclamos:  

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.  

Prórroga del plazo de Respuesta:  

Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.  

Procedimiento de Supresión de Datos Personales:  

En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, GRUPO ISMA deberá realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.  Sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.  

 

CIRCULACION DE LA INFORMACIÓN 

La información tratada podrá ser suministrada a las siguientes personas:  
a) A los Titulares, sus causahabientes o sus representantes legales. 
b) A las Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial. 
c) A los terceros autorizados por el Titular o por la ley y a las personas naturales o jurídicas que tenga la calidad de Encargados del Tratamiento. 

DEBERES DE GRUPO ISMA EN CALIDAD DE RESPONSABLE DEL TRATAMIENTO  

GRUPO ISMA como Responsable del Tratamiento, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:  

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. 
b) Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.  
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. 
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.  
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.  
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.  
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.  
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.  
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.  
j) Tramitar las consultas y reclamos formulados en los términos señalados en la ley.  
k) Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.  
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.  
m) Informar a solicitud del Titular sobre el uso de sus datos.  
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.  

DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO  

Las entidades que sean designadas en calidad de Encargados del Tratamiento, por GRUPO ISMA deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:  

a) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 
b) Garantizar ejercicio de los derechos por parte del titular, en todo tiempo. 
c) Suministrar al Titular, cuando este ejerza su derecho de acceso a través de consultas, la información contenida en el registro individual. 
d) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley y las presentes Políticas.  
e) Adoptar un manual interno de Políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 y el Decreto 1377 de 2013 y en especial, para la atención de consultas y reclamos. 
f) Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. 
g) Cumplir las instrucciones y requerimientos que imparta la SIC. 
h) Designar a una persona o área que asuma la función de protección de datos personales, quien dará tramite a las consultas y reclamos. 
i) Ser capaces de demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones Ley 1581 de 2012 y Decreto 1377 de 2013. 
j) Documentar los procedimientos para el tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate.
k) Permitir el acceso a la información únicamente a las personas autorizadas. 
l) Realizar oportunamente la actualización, rectificación o supresión de los datos.  Actualizar la información reportada por el Responsable del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibido. 
m) Registrar en la base de datos la leyenda “reclamo en trámite” cuando se presenten consultas y reclamos. 
n) Registrar en la base de datos la leyenda “información en discusión judicial” cuando existan procesos judiciales relativos a los derechos de titular de los datos personales. 
o) Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

   

POLITICAS DE GESTION DE LA SEGURIDAD   

Para GRUPO ISMA es fundamental y prioritario adoptar medidas técnicas, jurídicas, humanas y administrativas que sean necesarias para procurar la seguridad de los datos de carácter personal protegiendo la confidencialidad, integridad, uso, acceso no autorizado y/o fraudulento. Por esto la entidad ha implementado protocolos de seguridad de obligatorio cumplimiento para todo el personal con acceso a datos de carácter personal y a los sistemas de información. 

GRUPO ISMA hará sus mejores esfuerzos para mantener la confidencialidad y seguridad de la información tratada, pero no responderá por perjuicios que se puedan derivar de la violación de dichas medidas por parte de terceros que utilicen las redes públicas o el Internet para acceder a dicha información o en los casos en que haya habido culpa o negligencia del Usuario. 

Las políticas internas de seguridad bajo las cuales se conserva la información del titular para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, son las siguientes: 

  1. Políticas en la Infraestructura tecnológica perimetral en la red de datos (Firewall perimetral pfsense, Vultr firewall, Antivirus Windows Defender, Ms Active Directory)
  2. Cifrado: AES-128-CBC/SHA256; 
  3. Políticas en la Infraestructura tecnológica y políticas de control de acceso a la información, aplicaciones y bases de datos (Plataforma MS directorio activo, módulos de seguridad, cifrado PGP); 
  4. Políticas de implementación tecnológica que minimizan el riesgo de las plataformas críticas ante desastres (DRP Disaster Recovery Plan, cyber resiliencia con snapshot como backup diario, solucion de backup object storage con Dropbox; 
  5. Políticas de implementación tecnológica que protegen los computadores y servidores de la organización de Phishing y MalwarePolítica escrita sobre seguridad de la información y uso de las herramientas de información; 
  6. Sistemas de videovigilancia; 
  7. Acuerdo de confidencialidad con proveedores y terceros; 
  8. Cláusula de confidencialidad en los contratos laborales de empleados; 
  9. Procedimientos de Auditoría interna y capacitación. 

    1. En todos los casos en los cuales se captura información personal, se incluyen menciones relativas al tratamiento de los datos personales, con sus respectivas implicaciones. 

     

 

POLITICAS ESPECIFICAS Y LINEAMIENTOS COMPLEMENTARIOS  

En virtud de la presente Política, GRUPO ISMA podrá desarrollar políticas sobre aspectos específicos, como por ejemplo Política de cookies, Políticas de pago en línea, envíos, cambios y devoluciones; así como lineamientos, directrices y memorandos internos u otros, orientados a su implementación, siempre que sean consistentes con el marco normativo y la presente Política.  

A continuación, se establecen los lineamientos complementarios aplicados por GRUPO ISMA: 

1. TRATAMIENTO DE DATOS PERSONALES :  

Todos los miembros de la Entidad, al realizar las actividades propias de su cargo, asumirán las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final y se obligan a implementar y respetar en sus actividades las presentes Políticas.   

2. USO DE LA INFORMACIÓN:   

La información de carácter personal contenida en las bases de datos debe ser utilizada y tratada de acuerdo con las finalidades descritas en el presente documento.   

En caso de que algún área identifique nuevos usos diferentes a los descritos en la presente política de TRATAMIENTO DE DATOS PERSONALES , deberá informar a persona o área responsable de la protección de datos personales, quien evaluará y gestionará, cuando aplique, su inclusión en la presente política.  

Igualmente, se deben tomar en consideración los siguientes supuestos:  

a) En caso de que un área diferente de la que recolectó inicialmente los datos personales requiera utilizarlos, esto será posible siempre que se trate haga para una finalidad contemplada dentro de la presente Política de TRATAMIENTO DE DATOS PERSONALES Personales.  
b) Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.  
c) En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, el área que solicitó los datos personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de TRATAMIENTO DE DATOS PERSONALES Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los datos personales utilizados evitando el riesgo de desactualización de información. 
d) Los empleados o contratistas no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del titular del dato, en los casos en que así sea necesario. Deberán a este fin consultar siempre a la persona o área encargada de la protección de datos personales. 
e) Únicamente los empleados y contratistas autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el responsable de sistemas y contabilidad, de acuerdo a los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información personal.  
f) Cualquier uso de la información diferente al establecido, será previamente consultado con la persona o área encargada de la protección de datos personales. 
g) Los empleados o contratistas deberán asistir, cuando sean convocados, a las capacitaciones en Protección de datos personales organizados por GRUPO ISMA.  De no poder hacerlo deberán comunicar con antelación suficiente, justificación y su debido soporte. 

3. ALMACENAMIENTO DE INFORMACIÓN:  

El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.  

4. DESTRUCCIÓN: 

La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción.  

La destrucción comprende la información estando en poder de terceros, como en instalaciones propias.  

 

 5. PROCEDIMIENTO DE GESTIÓN DE INCIDENTES CON DATOS PERSONALES: 

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas.  

En caso de conocer alguna incidencia ocurrida, el titular, empleado o contratista debe comunicarla a la Persona o Área Encargada de la Protección de Datos Personales, quien adoptará las medidas oportunas frente al incidente, y quien a su vez deberá reportarlo e informar a la Delegatura de Protección de Datos Personales de la SIC, en el módulo habilitado, por este ultima, para tal efecto dentro de los quince (15) días a partir del conocimiento de esta.  

Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:  

a) Notificación de Incidentes: Cuando se presuma que un incidente pueda afectar o ha afectado a bases de datos con información personal se deberá informar a Persona o Área Encargada de la Protección de Datos Personales.  
b) Gestión de Incidentes:  Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de los activos e información personal de la Entidad.  
c) Identificación: Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado. Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre la Persona o Área Encargada de la Protección de Datos Personales y la Oficina Asesora Jurídica. La comunicación con dichas autoridades será realizada por ellos mismos.  
d) Reporte:  Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por GRUPO ISMA.   Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, la Persona o Área Encargada de la Protección de Datos Personales, debe ser notificado de forma inmediata. Los empleados o contratistas deben reportar a su jefe o interlocutor directo y a la Persona o Área Encargada de la Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder de la Entidad. A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, la Oficina o asesor Jurídico deberá intervenir con el fin de prestar el asesoramiento adecuado.  
e) Contención, Investigación y Diagnostico:  La Persona o Área Encargada de la Protección de Datos Personales debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado del asesor u oficina jurídica. En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, la Persona o Área Encargada de la Protección de Datos Personales y el asesor u oficina Jurídica, reportaran tal información a las autoridades de investigaciones judiciales respectivas.  
Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal.  
f) Solución:  El asesor o la oficina jurídica, así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.  
g) Cierre de Incidente y Seguimiento: La Persona o Área Encargada de la Protección de Datos Personales conjuntamente con el asesor o la oficina jurídica y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.  

La Persona o Área Encargada de la Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.  

6. CONDICIONES ESPECIALES RELATIVAS AL CONTROL DE ACCESO Y VIDEOVIGILANCIA  

CONTROL ACCESO:  Las áreas o dispositivos en los que se ejecutan procesos relacionados con información confidencial o restringida deben contar con controles de acceso que sólo permitan el ingreso a los colaboradores autorizados y que permita guardar la trazabilidad de los ingresos y salidas.  

VIDEO VIGILANCIA:  Además del control ejercido mediante el uso obligatorio de carnets, registro de bitácora y verificación de autorización previas para el acceso, biométrico GRUPO ISMA cuenta con cámaras de videovigilancia que tienen como finalidad dar cumplimiento a las políticas de seguridad física, cumpliendo con los parámetros establecidos en la Guía para la Protección de Datos Personales en Sistemas de Videovigilancia, expedidos por la SIC como autoridad de control y las demás previstas en las presentes Políticas 

Las imágenes deberán ser conservadas por un tiempo máximo de noventa (90) días. En caso de que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.  

7. COOKIES: 

GRUPO ISMA en aras de mejorar su servicio en el sitio web, utiliza cookies propias y de terceros con el fin de optimizar la experiencia de sus clientes y usuarios, monitorear información estadística, presentar contenidos y publicidad relacionados con las preferencias de los usuarios cuando naveguen por su sitio web, plataformas y/o aplicativos tecnológicos y/o digitales.  

La información que se recopila mediante las cookies se encuentra cifrada y no será utilizada para revelar la información del usuario. De igual forma no se recopilan datos de los usuarios, tales como: número de tarjetas débito o crédito, u otra información de carácter financiero o crediticio. 

Para más información sobre el uso de las cookies en el sitio web y los aplicativos digitales, pueden consultar las Políticas que sobre Cookies ha establecido GRUPO ISMA, las cuales se encuentran publicadas en las páginas web  https://grupoisma.com/politicas-de-cookies/  y pueden también ser solicitadas al correo electrónico legal@grupoisma.com 

CAPACITACIÓN DE EMPLEADOS Y CONTRATISTAS  

GRUPO ISMA desarrollará programas anuales de capacitación y concientización en Protección de datos personales. La Entidad debe poner en conocimiento estas políticas por el medio que considere adecuado y con ello, capacitar a sus empleados y contratistas en la administración de los datos personales con una periodicidad al menos anual, con el fin de medir sus conocimientos sobre el particular.  

Los nuevos empleados y contratistas, al momento de vincularse con la Entidad, deben recibir capacitación sobre Protección de datos personales dejando constancia de su asistencia y conocimiento.  

En el desarrollo de los programas de capacitación y concientización se deberá asegurar que los empleados, contratistas y terceros conozcan sus responsabilidades con respecto a Protección de datos personales.  

Los programas de capacitación serán actualizados de forma periódica.  

Desde el proceso de Gestión de Talento Humano, conjuntamente con la Persona o Área Encargada de la Protección de Datos Personales, se definirán los planes de capacitación y evaluación de los empleados de acuerdo con los cambios normativos que se vayan presentando.  

PROCESOS DE REVISIÓN Y AUDITORÍAS DE CONTROL  

La Entidad realizará procesos de revisión o auditorías en materia de protección de datos personales verificando de manera directa o a través de terceros, que las políticas y procedimientos se han implementado adecuadamente en la Entidad.  

Con base a los resultados obtenidos, se diseñarán e implementarán los planes de mejoramiento (preventivos, correctivos y de mejora) necesarios.  

Por regla general GRUPO ISMA realizará estos procesos de revisión con una periodicidad mínima de un (1) año o de forma extraordinaria ante incidentes graves que afecten a la integridad de las bases de datos personales.  

Los resultados de la revisión junto con los eventuales planes de mejoramiento serán presentados por  la Persona o Área Encargada de la Protección de Datos Personales al asesor o la oficina jurídica y al representante legal de la entidad, para su valoración y aprobación. 

PERÍODO DE VIGENCIA DE LAS BASES DE DATOS  

Las Bases de Datos de GRUPO ISMA tendrán el periodo de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia. 

Algunos datos serán conservados, después del tiempo antes previsto, en cumplimiento de las normas en vigor que establecen la obligación de retención documental 

REGISTRO NACIONAL DE BASE DE DATOS 

De conformidad con el artículo 25 de la Ley 1581 y sus decretos reglamentarios, GRUPO ISMA registrará sus bases de datos junto con la presente Política de TRATAMIENTO DE DATOS PERSONALES , en el Registro Nacional de bases de datos administrado por la Superintendencia de Industria y Comercio, cuando se cumplan con las condiciones previstas en el Decreto 090 del 18 de enero de 2018.   

VIGENCIA, VERSIONES Y ACTUALIZACIÓN DE LA POLÍTICA 

La presente Política de TRATAMIENTO DE DATOS PERSONALES  rige a partir de su firma y complementa las políticas asociadas, con vigencia indefinida.   

Cualquier cambio sustancial en estas Políticas de TRATAMIENTO DE DATOS PERSONALES , se comunicará de forma oportuna a los titulares de los datos a través de los canales por medio de los cuales han sido puestas a disposición las presentes políticas.  

Para los titulares que no tengan acceso a medios electrónicos o aquellos a los que no sea posible contactar, se comunicará a través de avisos abiertos en la sede principal de la empresa.  

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento relacionado con la identificación del Responsable y la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento. 

 

Fin del documento. 

Barranquilla, 20 enero de 2023