MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES DE WAPET S.A.S.

La presente política de protección de datos personales es realizada por WAPET S.A.S. para dar cumplimiento al artículo 15 de la Constitución, Ley 1581 de 2012, el Decreto 1377 de 2013 y demás disposiciones que regula los deberes que asisten a los Responsables y Encargados del Tratamiento de datos personales, dentro de los cuales se destaca el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento a los derechos de los Titulares de datos personales.

SECCIÓN I. DISPOSICIONES GENERALES   

PRIMERA: OBJETO. Por medio del presente manual se establece una serie de principios, reglas y procedimientos para garantizar el Derecho de Habeas Data de los titulares de datos personales sobre los que WAPET S.A.S. es Responsable o Encargado del Tratamiento.

SEGUNDA: DEFINICIONES.

  1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
  2. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
  3. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
  4. Dato personal sensible: cualquier información que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. WAPET S.A.S. no realizará tratamiento de datos sensibles;
  5. Dato personal público: Es el dato personal calificado como tal por la Constitución Política o la Ley, o que no constituye un dato personal privado o sensible. Son datos personales públicos aquellos contenidos en registros, documentos, gacetas, boletines y bases de datos de acceso público tales como los referentes al registro civil, al registro mercantil, al registro único de automotores, los antecedentes judiciales y disciplinarios, sentencias judiciales ejecutoriadas, y los datos contenidos en procesos judiciales y procedimientos judiciales sobre los que no exista ninguna reserva legal o sobre los que se predica la publicidad del dato personal;
  6. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para El Titular;
  7. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. WAPET S.A.S. y sus empleados son encargados del tratamiento;
  8. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el Tratamiento de los datos. WAPET S.A.S., será el responsable del tratamiento, salvo que los realice para terceros;
  9. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. Los clientes de WAPET S.A.S., los empleados, los distribuidores, y las personas que participen en estudios de mercado son parte de WAPET S.A.S.;
  10. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión;
  11. Transmisión: Tratamiento de datos personales que implica una transmisión de los mismos dentro y fuera de Colombia;
  12. Transferencia: Envío de datos personales que realiza el Responsable o el Encargado aun tercero quien asumirá la calidad de Responsable;
  13. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el Responsable que se pone a disposición del Titular para el Tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los datos personales.

ADVERTENCIA: En caso de dudas sobre el rol de WAPET S.A.S. dentro del tratamiento de datos, se recomienda presentar una consulta jurídica.

TERCERA: PRINCIPIOS. Los principios que se establecen a continuación, constituyen el fundamento de la política de protección de datos personales. En caso de duda sobre la interpretación de las disposiciones contenidas en el presente manual, se utilizarán los principios para hallar el sentido de la regla a aplicar. Estos son:

  1. Principio de legalidad: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley y en las demás disposiciones que la desarrollen. La política de protección de datos personales de WAPET S.A.S. se rige por los artículos 15 y 20 de la Constitución Política, la Ley 1581 de 2012, Los Decretos 1377 de 2013 y 886 de 2014 copilados en el Decreto 1074 de 2015, la sentencia C-748 de 2011 y las circulares emitidas por la Superintendencia de Industria y Comercio, así como las disposiciones que las modifique, sustituya o derogue;
  2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. Por regla general, la finalidad del Tratamiento será el desarrollo del objeto social de WAPET S.A.S., No obstante, el tratamiento podrá tener otras finalidades, siempre y cuando aquellas sean indicadas al Titular de la información.
  3. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
  4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
  5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
  6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones contenidas en la Ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por el personal de WAPET S.A.S., o por terceros autorizados;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados;

  1. Principio de seguridad: La información sujeta a Tratamiento por el Responsable o Encargado del mismo se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  2. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

CUARTA: BASES DE DATOS. Las políticas y procedimientos contenidos en el presente manual aplican a las bases de datos que maneja la compañía, y que serán registradas de conformidad con lo dispuesto en la Ley 1581 de 2012, el Decreto 886 de 2014. Los datos almacenados por WAPET S.A.S. deberán ser suprimidos cuando se cumplan las finalidades del Tratamiento, salvo que deben ser conservados para el cumplimiento de una obligación contractual o legal.

SECCIÓN II: DERECHOS Y DEBERES

QUINTA: DERECHO DE LOS TITULARES DE LA INFORMACIÓN. De conformidad con lo Establecido en el artículo 8 de la Ley 1581 de 2012, el Titular de los datos personales tiene los siguientes derechos:

  1. Conocer, actualizar y rectificar sus datos personales frente a WAPET S.AS.. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
  2. Solicitar prueba de la autorización otorgada WAPET S.A.S., salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012;
  3. Ser informado por WAPET S.A.S. del Tratamiento, previa solicitud, respecto del uso que le ha dado a los datos personales;
  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen;
  5. Revocar la autorización o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios o derechos. En caso de conflicto entre WAPET S.A.S. y el Titular, la revocatoria o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el WAPET S.A.S. han incurrido en conductas contrarias a Ley 1581 de 2012 a la Constitución;
  6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

SEXTA: DEBERES DE WAPET S.A.S. EN RELACIÓN CON EL TRATAMIENTO DE DATOS PERSONALES.

WAPET S.A.S., en calidad de Responsable o Encargado del Tratamiento, se obliga a cumplir en forma permanente con los siguientes deberes en lo relacionado con el Tratamiento de datos personales:

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data;
  2. Solicitar y conservar copia de la respectiva autorización otorgada por el Titular;
  3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
  4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  5. Garantizar que la información que se suministre al Encargado o al Responsable del Tratamiento, según el caso, sea veraz, completa, exacta, actualizada, comprobable y comprensible;
  6. Actualizar la información, comunicando de forma oportuna al Encargado o Responsable del Tratamiento, según el caso, de todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
  7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
  8. Suministrar al Encargado o Responsable del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley;
  9. Exigir al Encargado o Responsable del Tratamiento, según el caso, y en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
  10. Tramitar las consultas y reclamos formulados en los términos señalados en los artículos 14 y 15 de la ley 1581 de 2012;
  11. Informar al Encargado o Responsable del Tratamiento, según el caso, cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
  12. Informar a solicitud del Titular sobre el uso dado a sus datos;
  13. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
  14. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio;
  15. Actualizar la información reportada por los Responsables o Encargados del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
  16. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la Ley 1581 de 2013, en caso de reclamos por parte del Titular;
  17. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
  18. Registrar las bases de datos en el Registro Nacional de Bases de Datos.

Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.

SÉPTIMA: TRATAMIENTO ESPECIAL DE CIERTOS DATOS PERSONALES. WAPET S.A.S. no será responsable o Encargado del Tratamiento de datos sobre información sensible y de menores de edad.

SECCIÓN III AUTORIZACIÓN Y PROCEDIMIENTOS

OCTAVA: AUTORIZACIÓN. Todo Tratamiento de datos personales en el que WAPET S.A.S. actúe en calidad de Encargado o Responsable requiere del consentimiento libre, previo, expreso e informado del Titular de los mismos. WAPET S.A.S. ha dispuesto de los mecanismos necesarios para obtener la autorización de los Titulares garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

En caso que WAPET S.A.S., como Encargado del Tratamiento de datos, haya acordado contractualmente ejecutar el Tratamiento con base en la política de la contraparte, aquella deberá garantizar los principios contenidos en este manual.

NOVENA: CONTENIDO Y FORMA PARA OTORGAR LA AUTORIZACIÓN. La autorización puede constar en un documento físico, electrónico o en cualquier otro formato que permita concluir de manera inequívoca, que el Titular ha brindado su consentimiento expresamente. La autorización deberá poder ser consultada posteriormente por el Titular y deberá contener:

a) El nombre del Titular;

b) El tipo de identificación y número de identificación del Titular

c) Datos de contacto del Titular del Tratamiento (Número celular, Dirección y Correo electrónico);

d) Los datos de contactos de WAPET S.A.S.

e) La identificación de WAPET S.A.S. como Responsable o Encargado del Tratamiento;

f) La finalidad del Tratamiento de datos;

g) La enunciación de los datos sobre los que se surtirá el Tratamiento;

h) Los derechos que le asisten al Titular;

i) El aviso de privacidad;

j) Los mecanismos para que el Titular pueda conocer y ejercer sus derechos, así como la Política de Protección de Datos Personales de WAPET S.A.S.;

k) Una declaración en la que el Titular determina que conoce y comprende las condiciones en que se realizará el Tratamiento, los derechos que le asisten y los mecanismos para ejercerlos;

l) La firma del Titular o cualquier otro mecanismo físico o digital que permita determinar que el Titular autoriza el Tratamiento de datos.

Parágrafo. Las autorizaciones deberán ser conservadas en un archivo o base de datos física o digital por el término que determine la Ley. Si hay un cambio en la finalidad del Tratamiento, WAPET S.A.S. deberá obtener una nueva autorización por parte del Titular.

DÉCIMA: AVISO DE PRIVACIDAD. La autorización de WAPET deberá contener el siguiente aviso:

El Tratamiento de datos personales se realizará únicamente para los fines autorizados por el Titular. Los mecanismos que WAPET S.A.S utiliza para realizar el Tratamiento de Datos Personales son seguros y confidenciales, pues contamos con los medios tecnológicos idóneos para asegurar que sean almacenados de manera tal que se impida el acceso indeseado por parte de terceras personas, y en ese mismo orden, aseguramos la confidencialidad de los mismos con base en la Política de Tratamiento de Datos Personales de WAPET S.A.S. la cual podrá ser consultada en la página www.wawaw.co/datospersonales/. En caso de dudas, solicitudes, consultas, reclamos y similares podrá comunicarse con WAPET S.A.S. a través del correo [email protected] .

La autorización además de lo anterior, contendrá la razón social WAPET S.A.S., el nombre comercial WAWAW, el tratamiento al cual serán sometidos los datos y la finalidad del mismo, los derechos del Titular y los mecanismos para conocer la política de WAPET S.A.S., así como sus actualizaciones. En la página web www.wawaw.co/datospersonales/ se deberá mostrar el aviso de privacidad junto con la información mencionada en este párrafo, conforme a lo determinado en el artículo 15 del Decreto 1377 de 2013.

UNDÉCIMA: MEDIOS DE RESOLUCIÓN DE CONSULTAS, RECLAMOS Y REVOCATORIAS. WAPET S.A.S. a través de su página web www.wawaw.co, pondrá a disposición la presente Política de Protección de Datos Personales; el aviso de privacidad, los formularios para consultas, reclamos y revocatorias; y las instrucciones para diligenciarlos. Además, WAPET S.A.S. habilitará el correo electrónico [email protected] como canal de comunicaciones entre los titulares de datos y la sociedad, así como un formulario de contacto que dirigirá las solicitudes diligenciadas en la página web al correo [email protected] .

En caso de dudas al respecto, el Titular podrá comunicarse telefónicamente a los números 7041957 y 3005726722 o escribir al correo electrónico [email protected] para recibir mayor información.

DUODÉCIMA: CONSULTAS. El Titular o sus causahabientes podrán consultar de manera gratuita los datos personales del Titular cuando WAPET S.A.S. obre como Responsable o Encargado del Tratamiento. Para esto el Titular o sus causahabientes deberán enviar un mensaje al correo electrónico [email protected], en el que solicitará su información personal. El mensaje deberá contener como adjuntos:

  1. Copia de la cédula de ciudadanía del Titular;
  2. En caso de ser el causahabiente, es decir sus herederos, copia del registro civil en la que se pruebe el parentesco o el vínculo.

La consulta será respondida al correo electrónico que envió la consulta en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

DECIMOTERCERA: RECLAMOS Y ACTUALIZACIÓN DE DATOS. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización, rectificación o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante el Responsable del Tratamiento, el cual será tramitado bajo las siguientes reglas:

  1. El Titular enviará un mensaje al correo electrónico [email protected], en el que presentará su solicitud de actualización o reclamo. El mensaje deberá contener como adjuntos:
  2. Copia de   la cédula de ciudadanía del Titular
  3. En caso de ser el causahabiente, copia del registro civil en la que se pruebe el parentesco o el vínculo.
  4. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
  5. En caso de que WAPET S.A.S. reciba el reclamo sin ser competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado, siempre y cuando tenga la información para contactar a quien se dirige. En caso de no tener la información deberá informar al Titular que de aquella situación
  6. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  7. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

DECIMOCUARTA: REVOCATORIA DE LA AUTORIZACIÓN. Los Titulares de los datos personales pueden revocar total o parcialmente el consentimiento al Tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para esto el Titular o sus causahabientes deberán enviar un mensaje al correo electrónico [email protected], en el que solicitará la revocatoria de la autorización. El mensaje deberá contener como adjuntos:

  1. Copia de   la cédula de ciudadanía del Titular

La solicitud de revocatoria de la autorización será respondida al correo electrónico en los mismos términos de respuesta que las consultas.

SECCIÓN IV: SEGURIDAD DE LA INFORMACIÓN

DECIMOQUINTA: MEDIDAS DE SEGURIDAD. En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, WAPET S.A.S. adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, o acceso no autorizado o fraudulento.

DECIMOSEXTA: IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD. WAPET S.A.S. mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información. El procedimiento debe considerar como mínimo los siguientes aspectos:

  1. Ámbito de aplicación del procedimiento con especificación detallada de los datos protegidos. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de 2012;
  2. Funciones y obligaciones del personal;
  3. Procedimientos de realización de copias de respaldo y de recuperación (back up) de los datos;
  4. Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad.

Los datos personales sobre los que WAPET S.AS. realiza el Tratamiento o es responsable reposan en el aplicativo

, en la base de datos de www.wawaw.co contenida en el servidor de propiedad de WAPET S.A.S. y en los discos duros autorizados por la compañía para almacenar datos personales.

DECIMOSÉPTIMA: SEGURIDAD DE ACCESO Y ALOJAMIENTO DE LA INFORMACIÓN.

  1. La información se encuentra en servidores o aplicativos con destinación exclusiva de datos;
  2. Los servidores están ubicados en un data center que cumple con los estándares técnicos; requeridos para almacenar datos sensibles;
  3. El acceso a la información se hace a través de las aplicaciones las cuales está alojadas en servidores independientes;

DECIMOOCTAVA: PERDIDA DE INFORMACIÓN. La información de los servidores es soportada diaria de forma automática e incremental y mensual de forma total, garantizando doble respaldo.

DECIMONOVENA: ADULTERACIÓN Y ACCESOS FRAUDULENTOS. El ingreso a las aplicaciones solo puede hacerse por funcionarios activos que se validan a través de las políticas de directorio activo, es decir con manejo de usuario, contraseñas y acceso a segmentos de red definido

SECCIÓN: V DISPOSICIONES FINALES

VIGÉSIMA: COMPETENCIA. El área de análisis de información será la responsable de:

  1. La adopción e implementación de la política de protección de datos personales;
  2. Resolver las solicitudes realizadas por los Titulares de datos personales;
  3. Velar por el cumplimiento de las medidas de seguridad.

VIGESIMOPRIMERA: DATOS DE CONTACTO. Los titulares de datos personales podrán contactar a WAPET S.A.S. cuando actúe como Responsable en:

Dirección: Avenida 15 #106-35, Bogotá D.C.

Teléfonos: 7041957 – 3005726722

Correo: [email protected]

Página web: www.wawaw.co

VIGESIMOSEGUNDA: VIGENCIA. El presente manual rige a partir del 1 de julio de 2015 y sustituye los manuales anteriores.