MANUAL DE PROCEDIMIENTO DE TRATAMIENTO DE DATOS
- OBJETO
El presente manual tiene por finalidad definir los lineamientos para la implementación, monitoreo, sostenimiento y mejora continua del Programa de privacidad y confidencialidad de PAYMENTS WAY SOLUTIONS S.A.S. (en adelante PAYMENTS WAY).
- ALCANCE
PAYMENTS WAY SOLUTIONS como creador y configurador de herramientas tecnológicas transaccionales, a través de este documento busca definir la persona responsable o encargada del tratamiento de los datos personales que almacena la compañía, en función de sus relaciones comerciales y negociales.
- MARCO NORMATIVO
Con el propósito de dar un adecuado tratamiento a los datos personales, PAYMENTS WAY ha identificado un marco normativo que articula de las disposiciones nacionales respecto a la protección de datos personales, su confidencialidad y derechos, como bien se ve reflejado en su política de privacidad y confidencialidad.
- Constitución Política de 1991: En su artículo 15 la Constitución establece lo siguiente: “(…) Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…)”.
- Ley 1266 de 2008: Por la cual se dictan disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países, y se dictan otras disposiciones.
- Ley 1581 de 2012: Por la cual se dictan las disposiciones generales para la protección de datos personales.
En general, para la aplicación e interpretación del presente manual, cuando fuere procedente, se aplicarán las demás normas que regulen o complementen lo concerniente a la protección de datos personales.
- PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS
Principio de legalidad: Esta política de privacidad y confidencialidad ha sido construida en concordancia con lo preceptuado en la ley 1581 de 2012 y las demás normas o disposiciones expedidas por los respectivos órganos de control dentro de la jurisdicción colombiana.
Principio de finalidad: El tratamiento que damos a la información personal tiene una finalidad legitima en concordancia con la legislación colombiana, estos fines son los indicados más adelante o contenidos en nuestros términos y condiciones de uso.
Principio de libertad: El Tratamiento que damos a los datos sólo puede ejercerse con consentimiento, previo, expreso e informado, con la aceptación de estas políticas de privacidad confirmamos dicho consentimiento.
Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error, por ende, si se acepta el tratamiento de la información, pero dicha información tiene inconsistencias la petición enviada podrá ser declinada.
Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: Toda la información enviada, divulgada o consultada tendrá carácter de confidencial.
- DISPOSICIONES GENERALES PARA LA OBTENCIÓN DE LA AUTORIZACIÓN
Toda captura, recolección, uso y almacenamiento de datos personales que realice PAYMENTS WAY en el desarrollo de sus actividades comerciales, y de aquellas finalidades dispuestas en la Política de privacidad y confidencialidad, requiere de los titulares un consentimiento libre, previo, expreso, inequívoco e informado.
Al efecto, PAYMENTS WAY ha puesto a disposición de los titulares la autorización para el tratamiento de sus datos personales en los diversos escenarios en los cuales realiza la captura del dato, tanto de manera física como digital, a través de coberturas en modelos de autorizaciones o avisos de privacidad en donde se informa al titular sobre la captura de sus datos personales, el tratamiento al cual serán sometidos incluyendo las finalidades, sus derechos, los canales de ejercicio de sus derechos y la información relacionada sobre la Política de Protección de Datos Personales.
En todos los casos la obtención de la autorización se realizará bajo las diferentes modalidades que establece la ley, teniendo en cuenta la naturaleza de cada uno de los canales de captura de la información, y el modo en que la misma es obtenida, es decir, si es a través de un canal escrito, uno verbal o mediante una conducta inequívoca.
Es importante tener en consideración que en todos los casos PAYMENTS WAY debe custodiar las autorizaciones obtenidas para el tratamiento de los datos personales. Así las cosas, se deberán guardar los formatos físicos en donde existan autorizaciones y los formularios web en los cuales se da trazabilidad sobre la aceptación del tratamiento.
5.1 Contenido de los avisos de privacidad
De acuerdo con las disposiciones normativas, los avisos de privacidad mediante los cuales se obtiene la autorización de los titulares deben tener los siguientes elementos:
- a) Nombre o razón social y datos de contacto.
- b) El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
- c) Los derechos que le asisten al titular.
- d) Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información.
- e) En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información
5.2 Autorización en Formatos
Los modelos de autorización de tratamiento de datos personales pueden ser tramitados a través de formatos web o documentos físicos.
5.2.1 Autorización en Formatos Web
Las áreas que, en el ejercicio de sus funciones, o debido a que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios web, deberán tener en cuenta los siguientes aspectos necesarios para su captura:
- a) Solicitar sólo aquellos datos personales necesarios conforme con la finalidad del tratamiento.
- b) Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento por parte del titular.
- c) El envío de la información a través del formulario, deberá estar condicionado a la previa aceptación de la autorización de tratamiento del dato.
- d) Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos personales.
- e) Validar que la plataforma que soporta el formulario web tenga la capacidad técnica, operativa y de seguridad para almacenar las autorizaciones, y poder tener la trazabilidad en ellas. Preferiblemente se deberá incluir fecha en la que se obtuvo la autorización.
5.2.2 Autorización en formatos físicos
Las áreas que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios físicos, deberán tener en cuenta los siguientes aspectos:
- a) Solicitar sólo aquellos datos personales necesarios conforme con la finalidad de la captura.
- b) Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento de los datos.
- c) Para la pasarela pueda realizar el tratamiento de los datos capturados en el formulario, el titular debe dar la autorización. En el evento en que el titular no haya autorizado, deberá ser analizado de manera independiente.
- d) Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos solicitados.
- e) Garantizar la custodia de los formularios con sus respectivas autorizaciones.
- GOBIERNO EN LA PROTECCIÓN DE DATOS PERSONALES
PAYMENTS WAY dentro de su programa de protección de datos personales ha estructurado unos roles para el desarrollo, verificación y control del programa el cual está constituido por:
- a) Oficial de Protección de Datos Personales: Es la persona encargada de liderar el programa de protección de datos personales en la pasarela a través de: i) la planeación, ejecución y seguimiento de los elementos que hacen parte del programa; ii) asesorar y sensibilizar a los empleados de la pasarela en relación con el programa y las principales obligaciones en su ejecución y desarrollo; iii) emitir conceptos y dar respuesta a las inquietudes y requerimientos sobre protección de datos personales a nivel interno y externo, así como asesorar sobre los asuntos relacionados con el manejo de información personal; iv) realizar el seguimiento de las normas sobre protección de datos personales y realizar las adecuaciones pertinentes al programa para procurar su cumplimiento; v) hacer seguimiento a la correcta implementación del programa en la pasarela y vi) gestionar y liderar el proceso de actualización de bases de datos y realizar los reportes legales que los entes de control soliciten.
- b) Delegados de Protección de Datos Personales: Son las personas encargadas de las bases de datos identificadas en la compañía, quienes tienen el deber de reportar actualizaciones o cambios sustanciales en la información de la base de datos. Adicionalmente, están encargadas de informar sobre cambios en el tratamiento de datos personales, o puntos de captura adicionales que requieran coberturas.
- c) Comité de Habeas Data: Está encargado de realizar el seguimiento a los principales temas del programa de protección de datos personales en la compañía. Es el escenario de control en donde se revisan, discuten, validan y aprueban directrices enfocadas a implementar, consolidar y mejorar continuamente las actividades que hacen parte del programa de protección de datos personales.
Está integrado por, el Oficial de Protección de Datos Personales de la pasarela, y por cada uno de los siguientes miembros:
- Coordinador del área de tecnología
- Director de operaciones.
- PROCEDIMIENTO DE ATENCIÓN DE CONSULTAS Y RECLAMOS
El procedimiento de consultas y reclamos se ejecutará de acuerdo con los términos incluidos en la ley y acogidos por la Política de Protección de privacidad y confidencialidad.
Las solicitudes que pueden ser catalogadas como consultas o reclamos pueden llegar por los canales habilitados de protección de datos, los cuales son: sac@paymentsway.com.co o ser recibidas por cualquier persona vinculada a PAYMENTS WAY. En este último caso, es necesario que la solicitud sea remitida al canal de protección de datos personales para que el Oficial de Protección de Datos Personales pueda hacer seguimiento a su trámite y cierre.
A continuación, se presenta el esquema de trámite de solicitud y reclamos:
Los tiempos de respuesta de las consultas serán de diez (10) días hábiles desde la fecha de recibo, y de los reclamos serán de quince (15) días hábiles desde su recibo.
En aquellos eventos en los cuales el Oficial de Protección de Datos Personales evidencie que la solicitud del titular no puede ser tramitada debido a que PAYMENTS WAY debe contar con la información asociada a los datos personales del titular, o porque se encuentra en sistemas de información tecnológicos que requieren de un concepto técnico, podrá integrar una mesa de trabajo con un representante de las áreas necesarias según corresponda, a efectos de contar con un concepto jurídico y técnico integral para dar efectiva respuesta al titular sobre el trámite y cumplimiento de su solicitud.
- PROGRAMA DE SENSIBILIZACIÓN Y CAPACITACIÓN
Para PAYMENTS WAY es muy importante tener actualizados a sus funcionarios sobre las disposiciones y reglamentación relacionada con la protección de los datos personales.
Al efecto, la pasarela incorporará dentro de su programa, la inducción de los principales conceptos, lineamientos y disposiciones prácticas sobre el tratamiento de los datos personales, el cual será complementada por el área jurídica anualmente.
- VERIFICACIÓN DEL CUMPLIMIENTO DE LAS DISPOSICIONES SOBRE DATOS PERSONALES
El Oficial de Protección de Datos Personales podrá, en cualquier momento, adelantar auditorías de supervisión de cumplimiento de las disposiciones sobre protección de datos personales, con el propósito de garantizar el adecuado cumplimiento y desarrollo del programa.
Como resultado de las revisiones pueden levantarse planes de acción para cerrar las brechas encontradas, los cuales tendrán seguimiento en los Comités de Habeas Data.