CONTROL DE CAMBIOS Ver Sección Tipo Fecha Elaboró … · Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. Decreto

MACROPROCESO

PROCESO: SUBPROCESO:

MANUAL DE PROCEDIMIENTOS PROCEDIMIENTOS TRATAMIENTO DATOS PERSONALES

Versión: 1.0 Código: Fecha Vigencia: Pág. 1 de 22

Elaborado por Nombre: Michael Moreno Álvarez

Cargo: Asesor Externo –Paniagua &

Tovar Abogados S.A.

Validado por Nombre: José Gabriel Bernal

Cargo: Gerente Financiero Colombia

Aprobado por Nombre: Juan Ricardo Puyo Hoyos

Cargo: Primer Suplente del Representante

Legal

CONTROL DE CAMBIOS

Ver Sección Tipo Fecha Elaboró Comentarios

1.0 Todas Nuevo 06/11/2019 Michael Moreno A. Versión Inicial

MACROPROCESO






Tovar Abogados S.A.





Legal

CONTENIDO

Pag.

1. OBJETIVO .............................................................................................................................. 4

2. ALCANCE ............................................................................................................................... 4

3. MARCO LEGAL ...................................................................................................................... 4

4. DEFINICIONES ...................................................................................................................... 4

5. PRINCIPIOS RECTORES ....................................................................................................... 6

5.1. Tratamiento de Datos Sensibles ............................................................................................ 7

5.2. Datos de los niños, niñas y adolescentes .............................................................................. 8

6. SUMINISTRO DE DATOS PERSONALES ............................................................................. 8

7. OBLIGACIONES ..................................................................................................................... 8

7.1. Obligaciones de MERZ COLOMBIA S.A.S. ........................................................................... 8

7.2. Obligaciones de los encargados del tratamiento ................................................................. 10

8. AVISO DE PRIVACIDAD ...................................................................................................... 11

9. POLÍTICA TRATAMIENTO DE DATOS PERSONALES ...................................................... 12

9.1. Definición de Responsabilidades ......................................................................................... 12

9.2. Recolección y obtención de Información .............................................................................. 13

9.3. Tratamiento y Finalidad del Tratamiento .............................................................................. 13

10. DERECHOS DE LOS TITULARES DE LA INFORMACIÒN ................................................ 15

11. AUTORIZACIÓN .................................................................................................................. 16

11.1. Autorización para el Tratamiento de datos personales ........................................................ 16

12. REVOCATORIA DE LA AUTORIZACIÓN ............................................................................ 17

13. CONSULTAS ........................................................................................................................ 17

14. RECLAMOS.......................................................................................................................... 18

15. DERECHO DE ACCESO A LOS DATOS ............................................................................ 19

16. ACTUALIZACIÒN Y RECTIFICACIÓN DE DATOS ............................................................. 19

MACROPROCESO






Tovar Abogados S.A.





Legal

17. SUPRESIÓN DE DATOS ..................................................................................................... 19

18. ALMACENAMIENTO Y SEGURIDAD DE LA INFORMACIÓN ............................................ 20

19. LIMITACIONES AL TRATAMIENTO DE DATOS ................................................................ 20

20. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS ................................ 21

21. PERIODO DE VIGENCIA DE LAS BASES DE DATOS ...................................................... 21

22. CONTROL DE CAMBIOS Y MODIFICACIONES ................................................................ 21

23. IMPLEMENTACIÓN Y SOCIALIZACIÓN ............................................................................. 22

24. SANCIONES......................................................................................................................... 22

MACROPROCESO






Tovar Abogados S.A.





Legal

1. OBJETIVO

Definir las responsabilidades y manejo de los Datos Personales de los grupos de interés de MERZ

COLOMBIA S.A.S.

2. ALCANCE

Este manual, sus anexos y modificaciones regulan el Tratamiento de datos personales de MERZ

COLOMBIA S.A.S.

3. MARCO LEGAL

Constitución Política de Colombia, artículos 15 del Habeas Data, 20 y 74 sobre acceso a

la información.

Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la

protección de datos personales.

Decreto Reglamentario 1377 de 2013. Por la cual se reglamenta parcialmente la Ley 1581

de 2012.

4. DEFINICIONES

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el

Tratamiento de Datos Personales.

Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable del

Tratamiento, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la

cual se le informa acerca de la existencia de las políticas de Tratamiento de información que

le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que

se pretende dar a los Datos Personales.

Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias

personas naturales determinadas o determinables.

o Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima,

reservada, ni pública y cuyo conocimiento y divulgación puede interesar no sólo a

MACROPROCESO






Tovar Abogados S.A.





Legal

un Titular sino a cierto sector o grupo de personas, o a la sociedad en general, como

el dato financiero y crediticio.

o Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante

para el Titular.

o Datos sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso

indebido puede generar su discriminación, tales como aquellos que revelen el origen

racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la

pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que

promueva intereses de cualquier partido político o que garanticen los derechos y

garantías de partidos políticos de oposición, así como datos relativos a la salud, a la

orientación sexual, y los datos biométricos.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados

datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión

u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos

públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,

gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén

sometidas a reserva.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma

o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del

responsable del Tratamiento.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí

misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Titular o Titulares: Persona natural cuyos datos personales sean objeto de Tratamiento.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado

del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los datos

personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra

dentro o fuera del país.

Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos

dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la

realización de un Tratamiento por el Encargado o por cuenta del Responsable.

MACROPROCESO






Tovar Abogados S.A.





Legal

Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales

como su recolección, almacenamiento, uso, circulación o supresión.

5. PRINCIPIOS RECTORES

a) Principio de legalidad en materia de tratamiento de datos personales: El Tratamiento a

que se refiere la 1581 de 2012, es una actividad reglada que debe sujetarse a lo establecido

en ella y en las demás disposiciones que la desarrollen;

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo

con la Constitución Política de Colombia y la Ley, la cual debe ser informada al Titular;

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo,

expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados

sin previa autorización, o en ausencia de mandato legal o judicial que releve el

consentimiento;

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz,

completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de

datos parciales, incompletos, fraccionados o que induzcan a error;

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a

obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier

momento y sin restricciones, información acerca de la existencia de datos que le conciernan;

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que

se derivan de la naturaleza de los Datos Personales, de las disposiciones del presente

documento y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por

personas autorizadas por el Titular y/o por las personas previstas en el presente documento

o en la ley. Los Datos Personales, salvo la información pública, no podrán estar disponibles

en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea

técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o

terceros autorizados conforme al presente documento y las políticas de manejo y acceso de

información de MERZ COLOMBIA S.A.S.

g) Principio de seguridad: La información sujeta a Tratamiento por el responsable del

Tratamiento o Encargado del Tratamiento a que se refiere el presente documento, será

MACROPROCESO






Tovar Abogados S.A.





Legal

manejada con las medidas técnicas, humanas y administrativas necesarias para otorgar

seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no

autorizado o fraudulento;

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de

Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la

reserva de la información, inclusive después de finalizada su relación con alguna de las

labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de

Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en

el presente documento, la ley y en los términos de la misma.

5.1. Tratamiento de Datos Sensibles

MERZ COLOMBIA S.A.S., no podrá dar Tratamiento alguno a los datos catalogados por la ley

vigente como sensibles a excepción de que:

El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos en que

por ley no sea necesario el otorgamiento de la autorización.

El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre

física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán

otorgar la autorización.

El Tratamiento sea efectuado en el curso de actividades legítimas y con las debidas

garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo

de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran

exclusivamente a sus miembros o a las personas que mantengan contactos regulares por

razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la

autorización del Titular.

El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o

defensa de un derecho en un proceso judicial.

El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán

adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

MACROPROCESO






Tovar Abogados S.A.





Legal

5.2. Datos de los niños, niñas y adolescentes

MERZ COLOMBIA S.A.S. sólo podrá dar Tratamiento a los datos de niñas, niños y adolescentes que

sean catalogados como públicos; así mismo MERZ COLOMBIA S.A.S. deberá asegurar el uso

correcto y adecuado de estos datos.

MERZ COLOMBIA S.A.S. y los Encargados del Tratamiento declaran que el Tratamiento de los

Datos Personales de los niños, niñas y adolescentes responde y respeta el interés superior y los

derechos fundamentales de estos.

La autorización del Tratamiento de estos datos deberá estar otorgada únicamente por el

representante legal del menor previo ejercicio de su derecho de ser escuchado, opinión que será

valorada teniendo en cuenta la madurez, autonomía y capacidad del menor para entender el asunto

tratado.

6. SUMINISTRO DE DATOS PERSONALES

La información y Datos Personales que reúnan las condiciones establecidas por la ley y las demás

normas sobre la materia, podrán suministrarse a las siguientes personas:

a) A los titulares, sus causahabientes o sus representantes legales.

b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden

judicial.

c) A los terceros autorizados por el titular o por la ley.

7. OBLIGACIONES

7.1. Obligaciones de MERZ COLOMBIA S.A.S.

Sin perjuicio de las demás disposiciones legales MERZ COLOMBIA S.A.S. deberá cumplir con los

siguientes deberes:

Garantizar al Titular en todo tiempo, el pleno y efectivo ejercicio de sus derechos.

Solicitar y conservar copia de la respectiva autorización otorgada por el Titular.

MACROPROCESO






Tovar Abogados S.A.





Legal

Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le

asisten por virtud de la autorización otorgada.

Conservar la información bajo las condiciones de seguridad necesarias para impedir su

adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,

completa, exacta, actualizada, comprobante y comprensible.

Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento,

todas las novedades respecto de los datos que previamente le haya suministrado y adoptar

las demás medidas necesarias para que la información suministrada se mantenga

actualizada.

Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del

Tratamiento.

Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo

Tratamiento esté previamente autorizado de conformidad con lo previsto en el presente

Manual.

Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de

seguridad y privacidad de la información del Titular.

Tramitar las consultas, reclamos y solicitudes formulados en los términos señalados en la

ley, la Política de Tratamiento de Datos Personales o en el presente Manual.

Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado

cumplimiento de la Ley 1581 de 2012 y las demás normas que la adicionen, modifiquen o

reglamenten y en especial, para la atención de consultas y reclamos.

Informar al Encargado del Tratamiento cuando determinada información se encuentre en

discusión por parte del Titular, una vez se haya presentado la solicitud y no haya finalizado

el trámite respectivo.

Informar a solicitud del Titular, sobre el uso dado a sus datos.

MACROPROCESO






Tovar Abogados S.A.





Legal

Informar a la autoridad de protección de datos y a MERZ COLOMBIA S.A.S. cuando se

presenten violaciones a los códigos de seguridad y existan riesgos en la administración de

la información de los Titulares.

Cumplir las instrucciones que imparta la Superintendencia de Industria y Comercio, el

Gobierno Nacional y las entidades competentes, respecto del Tratamiento de Datos

Personales.

7.2. Obligaciones de los encargados del tratamiento

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás

disposiciones legales:

Garantizar al Titular en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

Conservar la información bajo las condiciones de seguridad necesarias para impedir su

adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Realizar oportunamente la actualización, rectificación o supresión de los datos en los

términos establecidos en la ley vigente y el presente manual

Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco

(5) días hábiles contados a partir de su recibo.

Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados

en la ley y el presente manual.

Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado

cumplimiento del presente documento y en especial, para la atención de consultas y

reclamos por parte de los Titulares.

Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula

en el presente manual y en la ley.

Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado

por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad

del dato personal.

MACROPROCESO






Tovar Abogados S.A.





Legal

Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo objeto

haya sido ordenado por la Superintendencia de Industria y Comercio o por la entidad

competente.

Permitir el acceso a la información únicamente a las personas que se hayan facultado para

tal fin o que por la finalidad u objeto de su oficio o labor indiscutiblemente deban acceder a

dicha información.

Informar a la autoridad de protección de datos y a MERZ COLOMBIA S.A.S. cuando se

presenten violaciones a los códigos de seguridad y existan riesgos en la administración de

la información de los Titulares.

Cumplir con las instrucciones que imparta la Superintendencia de Industria y Comercio, el

Gobierno Nacional y las entidades competentes, respecto al Tratamiento de Datos

personales.

8. AVISO DE PRIVACIDAD

Cuando no sea posible poner a disposición del titular la Política de Tratamiento de la Información,

MERZ COLOMBIA S.A.S. informará por medio de un Aviso de Privacidad, sobre la existencia de

tales políticas.

El Aviso de Privacidad se expedirá en medios físicos, electrónicos o en cualquier otro formato, en

donde se ponga a disposición del Titular de los datos, además de la existencia de la Políticas de

Tratamiento de Datos Personales, la forma de acceder a ellas y la finalidad que se pretende dar a la

información; el aviso se enviará al correo electrónico o dirección física cuando se disponga de dicha

información. En caso contrario, se publicará en la página web de la entidad en documento dirigido al

titular de los Datos Personales.

En cumplimiento a la normatividad colombiana vigente en referencia al manejo de información

personal, MERZ COLOMBIA S.A.S. pone a disposición de los Titulares el Aviso de Privacidad como

mecanismo de protección de los Datos Personales, el Tratamiento y uso de la información de todos

sus grupos de interés; éste mismo aplica para todos los productos y servicios que pudiese ofrecer

MERZ COLOMBIA S.A.S. en cualquier momento por medio de cualquier canal de comunicación

establecido con los Titulares de la información.

Para mayor información sobre este aviso, la Política de Privacidad y los derechos de los Titulares

(acceso, rectificación, cancelación o supresión de los datos personales), los Titulares de la

MACROPROCESO






Tovar Abogados S.A.





Legal

información pueden comunicarse en la ciudad de Bogotá D.C. a la línea [●], a la Carrera 11 # 87-51

Piso 3, o al correo electrónico [email protected].

9. POLÍTICA TRATAMIENTO DE DATOS PERSONALES

En MERZ COLOMBIA S.A.S. y sus filiales a nivel mundial es de vital importancia el cumplimiento de

la ley y el buen desarrollo de las relaciones con sus grupos de interés, por lo que, a través de su

Política de Tratamiento de Datos Personales, busca fortalecer y consolidar el compromiso que

caracteriza el ADN de la compañía, en concordancia con sus estrategias de gobernabilidad y de

desempeño.

MERZ COLOMBIA S.A.S. es la Responsable del Tratamiento de Datos Personales, por lo que

establece un compromiso claro en todos los niveles de la organización a fin de garantizar que los

datos personales recolectados de sus grupos de interés serán debidamente tratados y que bajo

ninguna circunstancia dará Tratamiento a los que hagan referencia a información personal no

catalogada como pública por el Gobierno Nacional o las entidades territoriales competentes o que

no se encuentre en fuentes de acceso público y/o que no esté debidamente autorizada por el Titular

de la información.

9.1. Definición de Responsabilidades

Responsable del Tratamiento de Datos. MERZ COLOMBIA S.A.S. es el responsable del

Tratamiento, y se faculta al Representante Legal Principal y/o Suplente o quien haga sus veces y el

o los funcionarios que por cadena de mando éste autorice o delegue para ejercer la función de

Protección de Datos Personales y quien dará trámite a las solicitudes de los Titulares.

Los Titulares de la información podrán realizar las consultas, peticiones, quejas o reclamos sobre el

Tratamiento de sus Datos Personales y cómo ejercer sus derechos a conocer, actualizar, rectificar y

suprimir datos o revocar la autorización de forma gratuita, por lo menos una vez por mes y cuando

MERZ COLOMBIA S.A.S. realice modificaciones sustanciales de las Políticas de Tratamiento y las

cuales motiven nuevas consultas a:

Domicilio: Carrera 11 # 87-51 Piso 3, en la ciudad de Bogotá D.C., Colombia

Correo electrónico: [email protected]

Los datos anteriores deberán estar en todo momento publicados en la página web de MERZ

COLOMBIA S.A.S. https://www.merz.com/co/politica-de-privacidad/ y en sus instalaciones físicas, en

lugar de fácil acceso y visibilidad.

MACROPROCESO






Tovar Abogados S.A.





Legal

9.2. Recolección y obtención de Información

MERZ COLOMBIA S.A.S., recolecta información y Datos Personales en el momento en que el

cliente, proveedor, colaborador, contratista o demás persona perteneciente o representante de

alguno de los grupos de interés de la compañía suministra datos por medio de solicitudes o

suministro de cotizaciones de productos o servicios, o a través de vinculación de personal, datos que

son necesarios en los procesos de selección y contratación, registro y cumplimiento de normatividad

legal, o registro de peticiones, quejas, reclamos, sugerencias, felicitaciones y consultas, en la cuales

el titular informa libremente sus datos personales, principalmente los relacionados con su nombre,

tipo y número de documento de identidad, dirección de correo electrónico, número telefónico de

contacto, entre otros.

MERZ COLOMBIA S.A.S., obtiene la autorización para el Tratamiento de los Datos Personales de

la información cuando la misma cumpla como mínimo:

1. Los requisitos exigidos por la legislación vigente y los determinados en la Política de

Tratamiento de Datos Personales o en el presente Manual.

2. Cuando ésta se manifieste por escrito o por conductas inequívocas del Titular que permitan

concluir a MERZ COLOMBIA S.A.S., de una forma razonable que el mismo otorgó la debida

autorización.

3. Cuando ésta se recolecte de forma verbal siempre y cuando MERZ COLOMBIA S.A.S.

cuente con los medios necesarios para conservar prueba verificable de la misma.

En ningún caso el silencio del Titular podrá ser considerado como una conducta inequívoca.

9.3. Tratamiento y Finalidad del Tratamiento

Previa autorización del Titular de los Datos Personales, los datos personales de los Titulares de la

información son recopilados, almacenados, usados, circulados, compartidos, transferidos,

procesados, etc., de acuerdo a los parámetros legales y con ocasión del vínculo comercial y/o

contractual que los Titulares de la información tengan o hayan tenido con MERZ COLOMBIA S.A.S.

especialmente con la siguiente finalidad:

Fines administrativos propios de MERZ COLOMBIA S.A.S., incluyendo, pero sin limitarse a

ello, a la contratación de personal.

Comercialización de productos.

MACROPROCESO






Tovar Abogados S.A.





Legal

Análisis de datos de encuestas y sus resultados, programas y estrategias de marketing y

gestión de ventas con o sin fines estadísticos, investigativos, comerciales o actuariales.

Caracterización de grupos de interés e implementación de estrategias de mejoramiento en

la prestación del servicio.

Tratamiento y respuesta a las peticiones, quejas, reclamos, denuncias, sugerencias y/o

felicitaciones presentados a la entidad.

Cumplimiento de la normatividad del sector en Colombia o en los países en donde MERZ

COLOMBIA S.A.S. tenga filiales o aliados comerciales o estratégicos.

Envío de notificaciones, avisos y publicidad sobre los servicios y productos ofrecidos.

Envío de información sobre educación o capacitación relacionada con los contratos

comerciales y/o contractuales adquiridos con o a través de MERZ COLOMBIA S.A.S o con

cualquier filial o aliado estratégico.

Manejo de pagos y controles contables.

Entrega y remisión de informes a las autoridades de control.

Envío de reportes financieros a centrales de riesgo.

Envío de información comercial, financiera y tributaria a la entidad que MERZ COLOMBIA

S.A.S., defina como proveedor de la póliza de riesgo crediticio y/o de crédito.

Transferencia y/o transmisión internacional de datos a Casa Matriz o países donde MERZ

COLOMBIA S.A.S. tenga filiales o aliados estratégicos o comerciales y en virtud del

cumplimiento de sus obligaciones contractuales y/o comerciales con los mismos para fines

informativos, estadísticos, auditables o que por el giro normal del negocio resulte

indispensable su transferencia y/o transmisión.

Las demás que sean requeridas para el normal y correcto funcionamiento del objeto social

de la compañía y sus procedimientos.

MACROPROCESO






Tovar Abogados S.A.





Legal

MERZ COLOMBIA S.A.S., no utiliza medios engañosos o ilegítimos para recolectar y/o dar

Tratamiento de datos personales y deberá conservar una prueba de la autorización dada por el

Titular.

MERZ COLOMBIA S.A.S. asegura al Titular de la Información que, durante toda la relación laboral,

comercial y/o contractual que sea originada con el mismo, podrá ejercer su derecho a solicitar la

supresión de sus Datos Personales y/o revocar la autorización otorgada para el Tratamiento de LOS

MISMOS a través de los canales de comunicación indicados anteriormente, salvo que la misma sea

necesaria en cumplimiento de las obligaciones legales y/o contractuales de MERZ COLOMBIA

S.A.S.

10. DERECHOS DE LOS TITULARES DE LA INFORMACIÒN

MERZ COLOMBIA S.A.S. deberá garantizar los siguientes derechos a los Titulares de la información

durante el Tratamiento de sus Datos Personales:

Conocer, actualizar y rectificar los datos ante MERZ COLOMBIA S.A.S. o los Encargados

del Tratamiento de sus datos. Este derecho se podrá ejercer entre otros frente a datos

parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo

Tratamiento esté expresamente prohibido o no haya sido autorizado.

Solicitar prueba de la autorización otorgada, o cualquier otra que suscriba el Titular de los

Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito

para el Tratamiento de datos de conformidad con la ley como son: a) Información requerida

por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden

judicial. b) Datos de naturaleza pública. c) Casos de urgencia médica o sanitaria. d)

Tratamiento de información autorizado por la ley para fines históricos, estadísticos o

científicos. e) Datos relacionados con el Registro Civil de las personas.

Ser informado por MERZ COLOMBIA S.A.S. o el Encargado del Tratamiento, previa

solicitud, respecto del uso que les ha dado a sus Datos Personales.

Presentar ante la autoridad competente quejas por infracciones a lo dispuesto en la ley y las

demás normas que la modifiquen, adicionen o complementen.

Revocar la y/o solicitar la supresión del Dato Personal cuando en el Tratamiento no se

respeten los principios, derechos y garantías constitucionales y legales.

MACROPROCESO






Tovar Abogados S.A.





Legal

Acceder de forma gratuita a sus Datos Personales a sus Datos Personales que hayan sido

objeto de Tratamiento.

Los derechos del Titular podrán ser ejercidos por:

Por el Titular, quien deberá acreditar su identidad conforme a la Ley.

Por sus causahabientes, quienes deberán acreditar tal calidad.

Por el representante y/o apoderado del Titular, previa acreditación de la representación

apoderamiento.

Por estipulación a favor del otro o para otro.

Los derechos de los niños, niñas y adolescentes se ejercerán por las personas que estén facultadas

para representarlos.

11. AUTORIZACIÓN

MERZ COLOMBIA S.A.S., solicitará durante la recolección de la información, autorización del Titular

para el uso y tratamiento de sus Datos Personales, salvo en los casos exceptuados en la ley (art. 10

Ley 1581/12). Dicha autorización deberá estar registrada en un documento físico o electrónico,

siempre que éste último registre la firma del Titular de los datos.

11.1. Autorización para el Tratamiento de datos personales

MERZ COLOMBIA S.A.S. obtiene la autorización por parte de los Titulares de la información para el

manejo de su información una vez los mismos la suministran a cualquier funcionario de la entidad

por cualquier canal de comunicación con el fin de obtener cotizaciones, solicitar cupos de crédito,

iniciar procesos de vinculación laboral, contractual y/o comercial, etc., o cualquier acción necesaria

para una eficaz atención comercial y/o contractual.

Como complemento de lo anterior, MERZ COLOMBIA S.A.S. ha desarrollado, implementado y/o

adoptados procedimientos para solicitar a los Titulares de la información, a más tardar al momento

de la recolección de datos personales la respectiva autorización para el Tratamiento de los mismos

por medio de los siguientes documentos:

MACROPROCESO






Tovar Abogados S.A.





Legal

1. Contrato laboral de trabajo y/u Otro Sí al mismo

2. Formato de creación de clientes

3. Formato de creación de proveedores.

12. REVOCATORIA DE LA AUTORIZACIÓN

El Titular de la información, sus causahabientes o apoderados, podrán en cualquier momento

solicitar a MERZ COLOMBIA S.A.S., la revocatoria de la autorización otorgada, mediante la

radicación por escrito (correo físico o correo electrónico). La revocatoria de la autorización no

procederá cuando el Titular tenga un deber legal o contractual de permanecer en la base de

datos o MERZ COLOMBIA S.A.S., un mandato legal o judicial de conservarlos.

La solicitud se radicará ante el Representante Legal y/o el Encargado del Tratamiento y deberá

contener como mínimo la siguiente información:

- Nombre completo del Titular de los Datos Personales o el solicitante.

- Tipo y documento de identificación personal

- Dirección física y/o electrónica donde desea se remita la respuesta

El término máximo para atender la solicitud será de quince (15) días hábiles contados a partir del día

siguiente a la fecha de su recibo. Cuando no fuere posible atenderla dentro de dicho término, se

deberá informar al interesado los motivos de la demora y la fecha en que se atenderá dicha solicitud,

la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer

término.

Vencido el término legal respectivo, MERZ COLOMBIA S.A.S. o el Encargado del Tratamiento, según

sea el caso, no hubieran eliminado los Datos Personales, el Titular tendrá derecho a solicitar a la

Superintendencia de Industria y Comercio, o la entidad que haga de sus veces que ordene la

revocatoria de la autorización de los datos personales.

13. CONSULTAS

Los titulares, sus causahabientes o representantes podrán consultar la información personal del

titular que repose en cualquier base de datos de la compañía, por lo que MERZ COLOMBIA S.A.S.,

como Responsable del Tratamiento deberá suministrar a éstos, toda la información contenida en el

respectivo registro y/o la que esté vinculada con la identificación del Titular.

MACROPROCESO






Tovar Abogados S.A.





Legal

La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir de la

fecha de recibo de la misma. De cumplirse el término sin que sea posible atender la consulta, MERZ

COLOMBIA S.A.S. como responsable del tratamiento de los datos, informará al interesado,

expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual

no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

14. RECLAMOS

Los titulares, sus causahabientes o representantes que consideren que la información contenida en

una base de datos de MERZ COLOMBIA S.A.S, debe ser objeto de corrección, actualización o

supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos

en la presente Política, la Ley 1581 de 2012, así como las demás normas que la desarrollen,

modifiquen o complementen, podrán presentar un reclamo que será tramitado bajo las siguientes

reglas:

El correspondiente reclamo deberá contener:

La identificación del Titular de los Datos Personales.

La descripción precisa de los hechos que dan lugar al reclamo.

Los datos de notificación, dirección física y/o electrónica.

Los demás documentos que considere necesarios para adelantar la reclamación.

Cuando la solicitud resulte de algún modo incompleta se requerirá al solicitante que subsane las

fallas dentro de los cinco (5) días hábiles siguientes a la recepción de la misma. Transcurridos dos

(2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida,

se entenderá que ha desistido de la reclamación.

En caso de quien reciba el reclamo no esté facultado o no sea de su competencia la resolución de

la petición o solicitud del Titular, deberá remitirlo al área pertinente en un plazo no superior a dos (2)

días hábiles contados a partir de la fecha de recibido el requerimiento a quien corresponda y deberá

dar aviso de tal situación al interesado.

Una vez recibida la información completa, se incluirá en la base de datos la leyenda “reclamo en

trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá

permanecer dentro de la base de datos hasta que la solicitud sea atendida en debida forma o

desistida por el Titular.

MACROPROCESO






Tovar Abogados S.A.





Legal

El término máximo para atender la solicitud será de quince (15) días hábiles contados a partir del día

siguiente a la fecha de su recibo. Cuando no fuere posible atenderla dentro de dicho término, se

deberá informar al interesado los motivos de la demora y la fecha en que se atenderá dicha solicitud,

la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer

término.

Requisito de Procedibilidad. El Titular o su causahabiente sólo podrán elevar queja ante la

Superintendencia de Industria y Comercio o el ente que haga de sus veces, una vez haya agotado

el trámite de consulta o reclamo ante MERZ COLOMBIA S.A.S. o el Encargado del Tratamiento.

15. DERECHO DE ACCESO A LOS DATOS

MERZ COLOMBIA S.A.S., garantiza el derecho de acceso a los Datos Personales, una vez se haya

verificado la identidad del Titular, su causahabiente y/o representante, poniendo a disposición de

éste, los respectivos Datos Personales y permitiéndole ejercer los derechos establecidos en la

Política de Tratamiento de Datos Personales, este Manual o en la ley.

16. ACTUALIZACIÒN Y RECTIFICACIÓN DE DATOS

Los Titulares, sus causahabientes o representantes podrán solicitar a MERZ COLOMBIA S.A.S., la

rectificación o actualización de los datos que éstos consideren que resultan incompletos o inexactos.

Para tal efecto, los Titulares, sus causahabientes o representantes deberán señalar las

actualizaciones y rectificaciones a que den a lugar, junto con la respectiva documentación que

soporte la solicitud.

MERZ COLOMBIA S.A.S., habilitará los medios electrónicos o físicos para garantizar este derecho,

que serán los mismos utilizados para la recepción de solicitudes o consultas de Datos Personales,

registrados en el presente documento.

17. SUPRESIÓN DE DATOS

Los Titulares, sus causahabientes y/o representantes podrán en cualquier momento y cuando

consideren que los datos no están recibiendo un tratamiento adecuado o los mismos no son

pertinentes o necesarios para la finalidad para la cual fueron recolectados, solicitar a MERZ

COLOMBIA S.A.S., la supresión de sus Datos Personales mediante la presentación de un reclamo.

La revocatoria de la autorización no procederá cuando el Titular tenga un deber legal o

contractual de permanecer en la base de datos o MERZ COLOMBIA S.A.S., un mandato legal

o judicial de conservarlos.

MACROPROCESO






Tovar Abogados S.A.





Legal

Si vencido el término legal respectivo, no se han eliminado los datos personales, el Titular tendrá

derecho a solicitar a la Superintendencia de Industria y Comercio, o quien haga sus veces, que

ordene la supresión de los Datos Personales.

MERZ COLOMBIA S.A.S., habilitará los medios electrónicos o físicos para garantizar este derecho,

que serán los mismos utilizados para la recepción de solicitudes o consultas de Datos Personales,

registrados en el presente documento

18. ALMACENAMIENTO Y SEGURIDAD DE LA INFORMACIÓN

La Seguridad de la información es muy importante en MERZ, por lo cual se han definido políticas y

procedimientos orientados a proteger la confidencialidad, integridad y disponibilidad de la

información, así como el control de acceso de los usuarios a la misma, los cuales están disponibles

para los usuarios de la información en la página web de MERZ COLOMBIA S.A.S.

https://www.merz.com/co/politica-de-privacidad/.

Las políticas y procedimientos son administrados, gestionados y monitoreados por la Gerencia

Comercial de MERZ a través de las gerencias y jefaturas respectivas en cada país y son aplicadas

a todos los colaboradores de MERZ COLOMBIA S.A.S. (directos o indirectos).

Así mismo, para el cabal cumplimiento de sus políticas, MERZ COLOMBIA S.A.S. implementa

compromisos de confidencialidad de la información a cargo de los funcionarios y personal externo

que sea en algún momento parte del proceso del negocio el Encargado de la información personal

perteneciente a los grupos de interés del grupo MERZ.

19. LIMITACIONES AL TRATAMIENTO DE DATOS

MERZ COLOMBIA S.A.S. y los Encargados del Tratamiento sólo podrán recolectar, almacenar, usar

o circular los Datos Personales durante el tiempo razonable y necesario, de acuerdo con las

finalidades que justificaron el Tratamiento, atendiendo a las disposiciones aplicables a la materia de

que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la

información. Una vez cumplida la o las finalidades del Tratamiento y sin perjuicio de normas legales

que dispongan lo contrario, MERZ COLOMBIA S.A.S. y el Encargado deberán proceder a la

supresión de los Datos Personales en su posesión, a excepción que dichos datos deban ser

conservados cuando así se requiera para el cumplimiento de una obligación legal y/o contractual.

MACROPROCESO






Tovar Abogados S.A.





Legal

20. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS

MERZ COLOMBIA S.A.S. en cumplimiento de sus obligaciones legales, comerciales, contractuales

o corporativas con Casa Matriz y/o sus filiales en el extranjero podrá compartir y transferir parcial o

totalmente los datos del Titular de la información, en virtud del cumplimiento de sus obligaciones

contractuales y legales, quienes serán los Encargados y Responsables del Tratamiento de la

información, de acuerdo con las excepciones establecidas en el artículo 26 de la Ley 1581 de 2012.

En caso de que la información sea requerida por entidades judiciales, administrativas o entidades de

control, no será necesaria la autorización de los Titulares para que MERZ COLOMBIA S.A.S. o el

Encargado suministre dicha información; esto también podrá ser aplicado cuando los datos deban

ser facilitados por razón de auditorías internas y/o externas, en las cuales los Responsables de dicho

proceso actuarán bajo el principio de confidencialidad y transparencia legalmente inherente a sus

funciones.

En todo caso para la Transferencia y Transmisión internacional de Datos Personales, que se

efectúen entre MERZ COLOMBIA S.A.S. y el Encargado del Tratamiento en otro país, no se requerirá

informar al Titular ni contar con su autorización cuando exista un contrato en los términos previstos

en el artículo 26 del Decreto Reglamentario 1377 de 2013.

21. PERIODO DE VIGENCIA DE LAS BASES DE DATOS

Las bases de datos de MERZ COLOMBIA S.A.S. tendrán una vigencia igual y exacta de acuerdo a

la finalidad para la cual fueron obtenidos y autorizados en caso de haberse determinado en algún

momento expresamente o en su defecto un periodo máximo de diez (10) años.

22. CONTROL DE CAMBIOS Y MODIFICACIONES

MERZ COLOMBIA S.A.S. podrá efectuar cambios a la presente política y/o al Aviso de Privacidad

en cualquier momento a causa de modificaciones en la normatividad local o en las políticas

corporativas que tengan relación con los temas y disposiciones tratados en el presente documento

y que resulten de relevancia para cualquiera de los grupos de interés de MERZ COLOMBIA S.A.S.

Los mismos, deberán ser publicados en la página web de la compañía

https://www.merz.com/co/politica-de-privacidad/ de forma previa a su implementación para

conocimiento del público en general. Igualmente, MERZ COLOMBIA S.A.S. deberá obtener de los

Titulares la nueva autorización cuando los cambios se refieran a la finalidad del Tratamiento de sus

Datos Personales.

MACROPROCESO






Tovar Abogados S.A.





Legal

23. IMPLEMENTACIÓN Y SOCIALIZACIÓN

MERZ COLOMBIA S.A.S. deberá adoptar los mecanismos necesarios para la puesta en marcha de

las políticas, lineamientos y procedimientos descritos en Política de Tratamiento de Datos Personales

y en este Manual a fin de garantizar la correcta implementación, entrenamiento de Responsables y

Encargados, así como la realización de los programas de capacitación con el apoyo del

Representante Legal y el/los Encargado (s) del tratamiento a nivel interno en la compañía.

24. SANCIONES

El incumplimiento de cualquiera de los elementos que componen y/o hacen o hagan parte esencial

de este documento será considerado como una FALTA GRAVE y se le dará el Tratamiento

estipulado en el Reglamento Interno de Trabajo, sin perjuicio de las demás disposiciones legales que

puedan estas acciones acarrear, de acuerdo a lo establecido en el artículo 23 de la Ley 1581 de

2012, las demás normas que la adicionen, modifiquen o reglamenten.

Dado en Bogotá D.C., diciembre 1 de 2019

JUAN RICARDO PUYO HOYOS

Primer Suplente del Representante Legal

MERZ COLOMBIA S.A.S.

https://secure.na2.echosign.com/verifier?tx=CBJCHBCAABAAVWfsdargpKtpV9d83momgZ3VAuF5ayrg

Manual de Procedimientos Datos PersonalesMerz V19.11.07Final Audit Report 2020-05-04

Created: 2020-04-30

By: Marcela Sierra ([email protected])

Status: Signed

Transaction ID: CBJCHBCAABAAVWfsdargpKtpV9d83momgZ3VAuF5ayrg

"Manual de Procedimientos Datos Personales Merz V19.11.07" History

Document created by Marcela Sierra ([email protected])2020-04-30 - 4:43:38 PM GMT- IP address: 186.85.145.150

Document emailed to Juan Ricardo Puyo ([email protected]) for signature2020-04-30 - 4:46:12 PM GMT

Email viewed by Juan Ricardo Puyo ([email protected])2020-05-04 - 6:12:25 PM GMT- IP address: 186.80.204.116

Document e-signed by Juan Ricardo Puyo ([email protected])Signature Date: 2020-05-04 - 6:35:02 PM GMT - Time Source: server- IP address: 186.80.204.116

Signed document emailed to Marcela Sierra ([email protected]) and Juan Ricardo Puyo([email protected])2020-05-04 - 6:35:02 PM GMT

Documents

CONTROL DE CAMBIOS Ver Sección Tipo Fecha Elaboró … · Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. Decreto