POLÍTICA Y PROCEDIMIENTO PARA EL TRATAMIENTO DE DATOS PERSONALES

 

TABLA DE CONTENIDO

1..... OBJETO.. 3

2..... ALCANCE. 3

3..... ÁMBITO DE APLICACIÓN.. 3

4..... DESTINATARIOS. 4

5..... RESPONSABLE DEL TRATAMIENTO.. 4

6..... ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS PERSONALES   4

7..... DEFINICIONES. 5

8..... PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES  6

9..... DERECHOS DE LOS TITULARES DE DATOS. 7

10... CANALES DISPUESTOS PARA LA RECEPCIÓN DE CONSULTAS, RECLAMOS O PETICIONES   8

11... DEBERES PARA LA PROTECCIÓN DE DATOS PERSONALES   8

12... IDENTIFICACIÓN DE LAS BASES DE DATOS. 10

13... ENTREGA DE DATOS PERSONALES A AUTORIDADES. 11

14... PROCEDIMIENTO PARA LA ATENCIÓN DE CONSULTAS O RECLAMOS DE HABEAS DATA   11

15... FINALIDADES DEL TRATAMIENTO.. 12

16... MEDIDAS DE SEGURIDAD. 12

17... SUPRESIÓN.. 14

18... TRATAMIENTO DE LOS DATOS PERSONALES. 14

18.1     Datos personales relacionados con la gestión del recurso humano. 14

18.2     Tratamiento de datos personales de proveedores. 15

18.3     Tratamiento de los datos personales en proceso de contratación. 16

18.4     Tratamiento de datos personales de usuarios y/o clientes. 16

18.5     Tratamiento de datos personales de visitantes a las tiendas físicas. 16

19... TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS   16

20... TRATAMIENTO DE DATOS O INFORMACIÓN DE CONTENIDO CREDITICIO, FINANCIERO, COMERCIAL O DE SERVICIOS   17

20.1     Autorización de datos personales de contenido crediticio, financiero, comercial o de servicios. 17

20.2     Derechos de los titulares Habeas Data financiero. 18

20.3     Procedimiento para la atención de consultas y reclamos de Habeas Data financiero. 20

20.4     Notificación previa. 23

21... TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES  23

22... TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES   24

23... VIGENCIA Y ACTUALIZACIÓN.. 24

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

POLÍTICA Y PROCEDIMIENTO PARA EL TRATAMIENTO DE DATOS PERSONALES

Dando cumplimiento al artículo 15 de la Constitución Política de Colombia que establece el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos de entidades públicas y privadas, así como a la Ley 1581 de 2012 y sus decretos reglamentarios, Zavatty adopta la presente Política y Procedimiento para el Tratamiento de Datos Personales.

 

1        OBJETO

 

La presente Política y Procedimiento tiene como objeto regular el tratamiento de los datos personales que Zavatty.

 

2        ALCANCE

 

Dar un trámite expedito y legal a las diferentes solicitudes y reclamaciones hechas por los Titulares de la Información, así como por sus causahabientes u otra persona que cuente con la debida autorización.

 

Dar cumplimiento a las exigencias de la normatividad vigente en materia de Protección de Datos Personales, así como a cualquier exigencia originada en el principio de responsabilidad demostrada (accountability).

 

Brindar la debida protección a los intereses y necesidades de los titulares de la Información personal tratada por Zavatty.

 

3        ÁMBITO DE APLICACIÓN

 

Las disposiciones contenidas en esta Política y Procedimiento se aplicarán a todo tipo de información que permita vincular o asociar a una o varias personas naturales determinadas o determinables, y que sea objeto de tratamiento por parte de Zavatty, en calidad de Responsable y/o como Encargado del tratamiento, conforme a la Ley 1581 de 2012 y demás normas concordantes.

 

Todos los procesos de Zavatty que involucren el tratamiento de datos personales deberán someterse a lo dispuesto en esta Política y Procedimiento.

 

Zavatty prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquier otro tratamiento de datos personales sin autorización del titular del dato personal.

 

4        DESTINATARIOS

 

La presente Política y Procedimiento se aplicará y por ende obligará a las siguientes personas:

 

1. Titulares de los datos personales.
2. Quienes adquieran la calidad de Responsables y Encargados del Tratamiento
3. Trabajadores de Zavatty cualquiera sea su cargo.
4. Personas naturales o jurídicas, públicas, privadas o mixtas, con las cuales exista o haya existido una relación legal de orden comercial, contractual, convencional, o similares.
5. Las demás personas que establezca la ley.

 

Los trabajadores de Zavatty en desarrollo de sus funciones cumplirán el régimen de protección de datos personales lo cual se incluye en el contrato laboral individual o similares.

Zavatty adelantará las campañas pedagógicas y/o de capacitación que considere pertinentes, para que las áreas que tienen un mayor nivel de interacción con el tratamiento de los datos personales, conozcan la ley y las disposiciones adoptadas para asegurar su cumplimiento.

 

5        RESPONSABLE DEL TRATAMIENTO

 

Serán responsable del tratamiento:

 

1. Ortíz Acevedo Luz Marina, identificada con NIT 43667251-1, con domicilio principal en la Carrera 52 46-16, local 154 de la ciudad de Medellín, Antioquia, y demás establecimientos de comercio.
2. Gómez Ortíz Asociados S.A.S., identificada con NIT 900.663.668-9, con domicilio principal en la Carrera 43 A 30-25, local 1310 de la ciudad de Medellín, Antioquia.
3. Gómez Arbeláez Rafael Eduardo, con NIT 70567772-6, con domicilio principal en la Diagonal 55 34-67, local 141 del municipio de Bello, Antioquia, y demás establecimientos de comercio.

 

Dicho tratamiento podrá ser manual y/o automatizado.

 

6        ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS PERSONALES         

 

La responsabilidad en el adecuado tratamiento de datos personales al interior de Zavatty está en cabeza de todos los empleados y principalmente de quienes adquieran la calidad de Responsables.

En consecuencia, al interior de cada área que involucren tratamiento de datos personales, deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la Ley 1581 de 2012 y demás normas concordantes, dada su condición de custodios de la información personal contenida por Zavatty.

 

7        DEFINICIONES

 

1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de los datos personales.
2. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable y/o Encargado, dirigida al titular, para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales, sus derechos, entre otros.
3. Base de datos personales. Es todo conjunto organizado de datos personales objeto de tratamiento.
4. Custodio de la base de datos. Es la persona natural que tiene bajo su custodia la base de datos personales al interior de Zavatty.
5. Datos personales sensibles. Es una categoría especial de datos personales que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
6. Dato personal semiprivado: Datos que no tienen naturaleza íntima, reservada, ni pública, cuyo conocimiento puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
7. Dato personal privado: Son datos que por su naturaleza íntima o reservada sólo son relevantes para el Titular.
8. Dato personal. Es cualquier dato y/o información que identifique a una persona natural o la haga identificable. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.
9. Dato público. Es aquel que no es ni dato privado ni semiprivado, o aquellos que la ley los clasifique así, como los relativos al estado civil de las personas.
10. Encargado del tratamiento. Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del Responsable del tratamiento.
11. Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o suprimir la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.
12. Responsable del tratamiento. Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
13. Titular del dato personal (“Titular”). Es la persona natural cuyos datos serán objeto de tratamiento.
14. Tratamiento de datos. Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, supresión.

8        PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

 

Zavatty deberá garantizar el cumplimiento y la observancia de los principios aquí descritos en el tratamiento de los datos personales.

 

Son principios aplicables para estos efectos, los consagrados en normas internacionales, en las leyes colombianas y en la jurisprudencia de la Corte Constitucional, que ha desarrollado los derechos fundamentales vinculados a los datos personales, entre los cuales se resaltan:

 

1. Principio de finalidad: El Tratamiento de datos debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser previamente informada de forma concreta y precisa al Titular, para que este exprese su consentimiento.
2. Principio de veracidad o calidad: Zavatty procurará que la información recolectada sea veraz, completa, exacta, actualizada, comprobable y comprensible.
3. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
4. Principio de pertinencia: Los datos personales que obtenga Zavatty deberán ser adecuados, pertinentes y no excesivos, teniendo en cuenta la finalidad del tratamiento.
5. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales y las disposiciones de la Ley 1581 de 2012, las normas que la reglamenten y la Constitución Política. Los datos personales sólo podrán ser usados para los fines que le han sido informados al titular, en este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas por dicha Ley y sus decretos reglamentarios. Los datos personales a los que acceda o que obtenga Zavatty, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
6. Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere lo dispuesto en la Ley 1581 de 2012 y sus decretos reglamentarios, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos evitando su destrucción accidental o ilícita, adulteración, pérdida, consulta, uso, divulgación o acceso no autorizado o fraudulento.
7. Principio de temporalidad: Zavatty solo podrá tratar los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables en la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Agotada la finalidad para la cual fue recolectado y/o tratado el dato personal, Zavatty deberá cesar en su uso y por ende adoptará las medidas de seguridad e instrumentos archivísticos pertinentes a tal fin.
8. Principio de confidencialidad: Zavatty y todas las personas que intervengan en el Tratamiento de datos personales, que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.

9        DERECHOS DE LOS TITULARES DE DATOS

 

Zavatty reconoce que los titulares de los datos personales gozan del derecho fundamental de Habeas Data, y que el ejercicio de este derecho es gratuito, el cual se materializa en:

 

1. Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado
2. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012
3. Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales
4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
7. Solicitar prueba de la autorización ante el Responsable. En desarrollo del principio del consentimiento informado, el Titular del dato tiene derecho a otorgar o no, su autorización, por cualquier medio que pueda ser objeto de consulta posterior.

 

De manera excepcional y de acuerdo con lo dispuesto en la Ley 1581 de 2012 y el Decreto 1377 de 2013, la autorización del Titular no será necesaria cuando se trate de:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial
2. Datos de naturaleza pública
3. Casos de urgencia médica o sanitaria
4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos
5. Datos relacionados con el Registro Civil de las Personas

Pese a lo anterior, Zavatty dará cumplimiento a los demás principios y disposiciones legales sobre protección de datos personales.

 

10     CANALES DISPUESTOS PARA LA RECEPCIÓN DE CONSULTAS, RECLAMOS O PETICIONES

 

Zavatty comunica los siguientes canales oficiales para la recepción de consultas o reclamos sobre Habeas Data, los cuales pueden ser verbales o escritos, estos son:

1. Email: servicioalcliente@zavatty.com
2. WhatsApp: 317 592 09 70

11     DEBERES PARA LA PROTECCIÓN DE DATOS PERSONALES

 

Deberes del Responsable del Tratamiento:

 

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.
2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular, en los casos que aplique
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada o por virtud del respectivo aviso de privacidad
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en lo dispuesto en la ley.
9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
10. Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
11. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso dado a sus datos.
14. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

Deberes de los Encargados del Tratamiento

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de lo dispuesto en la ley.
4. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la dispuesto en la ley.
6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la dispuesto en la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
7. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
8. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
9. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
10. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.

 

Deberes Comunes entre los Responsables y los Encargados del Tratamiento

1. Aplicar las medidas de seguridad conforme la clasificación de los datos personales que trata Zavatty.
2. Adoptar procedimientos de respaldo o back up de la base de datos que contienen datos personales.
3. Gestionar de manera segura las bases de datos que contengan datos personales.
4. Regular en los contratos con terceros el acceso a las bases que contengan datos personales.

12     IDENTIFICACIÓN DE LAS BASES DE DATOS

 

En cumplimiento del principio de necesidad, Zavatty maneja las siguientes bases de datos personales:

1. Clientes actuales (sitio web)
2. Usuarios actuales o recientes (1 año) (tienda).
3. Clientes antiguos sin relación comercial vigente
4. Clientes potenciales (sitio web)
5. Proveedores
6. Empleados
7. Ex empleados
8. Clientes de aliados comerciales
9. Accionistas

 

13     ENTREGA DE DATOS PERSONALES A AUTORIDADES

 

Cuando las autoridades del Estado soliciten a Zavatty el acceso y/o entrega de datos personales contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riegos que conllevan su indebido uso e inadecuado tratamiento.

14     PROCEDIMIENTO PARA LA ATENCIÓN DE CONSULTAS O RECLAMOS DE HABEAS DATA

 

En cumplimiento del derecho constitucional de Habeas Data, Zavatty establece el procedimiento para la atención de consultas o reclamos de Habeas Data, realizados por parte del Titular o sus causahabientes.

 

Términos de respuesta

1. Diez (10) días hábiles para contestar consultas, contados a partir de la fecha de recibo de esta. Cuando no sea posible atender la consulta dentro de dicho término, se informará al interesado, se le explicarán los motivos de la demora y se indicará una fecha en la que se atenderá su solicitud, la cual nunca excederá los cinco (5) días hábiles siguientes a la finalización del primer término.
2. Quince (15) días hábiles para contestar reclamos, contados a partir del día siguiente a la fecha de su recibo. si no es posible atenderlo en el término estipulado, se debe informar al solicitante los motivos de la demora y la fecha en la que se atenderá el reclamo, la cual no puede superar los ocho (8) días hábiles siguientes al primer plazo.

 

Estos términos pueden variar dependiendo de la naturaleza de los datos personales y de las disposiciones contenidas en leyes especiales o reglamentos expedidos por el Gobierno Nacional.

 

El reclamo se debe presentar mediante solicitud, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y los documentos que se quiera hacer valer. Si el reclamo se encuentra incompleto, requerirá al solicitante dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Si el interesado no presenta la información faltante en un plazo de dos (2) meses desde el requerimiento, se entenderá que ha desistido del reclamo.

 

Cuando Zavatty no ostente la calidad de Responsable ni de Encargado del tratamiento de los datos personales, y sea requerida, tendrá dos (2) días hábiles para remitir la consulta o reclamo a la entidad competente y enviar comunicación al titular de los datos informándole sobre la remisión.

 

Procedimiento interno

 

1. Los canales disponibles para recibir consultas o reclamos son: Email: servicioalcliente@zavatty.com;  WhatsApp: 317 592 09 70
2. Una vez recibida la consulta o reclamo, será analizada por el área de Servicio al Cliente, y, en caso de ser necesario, se remitirá al área interna que corresponda, esto es, cartera, jurídica, garantías, u otros, para que brinde respuesta de fondo.

15     FINALIDADES DEL TRATAMIENTO

 

Zavatty solicitará datos personales para las finalidades propias de su actividad comercial, tales como:

 

1. La debida prestación de los servicios o productos ofrecidos por la marca Zavatty.
2. Envíos de comunicados, promociones, invitaciones a eventos, ofrecer nuevos productos o servicios e información de compras u otros fines publicitarios.
3. Gestionar tramites de solicitudes, quejas o reclamos de los titulares.
4. Adquirir los productos o servicios requeridos para el desarrollo de sus actividades de comercio.
5. Postulación y/o desarrollo de contratos laborales o similares.

En caso de tratar los datos para una finalidad diferente a las previamente enunciadas, esta se deberá incluir de manera clara y precisa en la autorización para el tratamiento de datos personales correspondiente y deberá guardar coherencia con la actividad comercial de la marca.

 

16     MEDIDAS DE SEGURIDAD

 

Con el fin de impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información de los Titulares, el almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos, esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

Conforme a la Política Interna de Seguridad de la Información, Zavatty ha implementado las siguientes medidas internas de seguridad:

1. Acceso a la Base de Datos:

• Cada computadora de Zavatty que tiene acceso a la base de datos estará protegida por una contraseña única.
• El acceso a la base de datos estará limitado únicamente a las administradoras de cada sucursal, quienes serán responsables de consultar y crear créditos.

1. Contraseñas de Computadoras: Cada computadora utilizada para acceder a la base de datos estará protegida por una contraseña única para garantizar la autenticación del usuario.
2. Respaldo en la Nube de Azure: Se cuenta con un respaldo en la nube de Azure para la información almacenada. El acceso a este respaldo estará restringido únicamente al Director de Tecnología, Desarrollo e Ecommerce de la empresa, Gadi S. Rosales Alonso, identificado con la cédula de extranjería 588100.
3. Conexión al Servidor:

• Toda la conexión al servidor se realizará de manera cifrada para garantizar la
• confidencialidad de la información.
• El acceso al servidor estará permitido únicamente desde IPs autorizadas, siendo inaccesible desde fuera de nuestras sucursales.

1. Escritorio Remoto:

• La conexión al servidor se realizará exclusivamente a través de escritorio remoto.
• Esta medida garantiza que, en caso de que un computador sea comprometido, no afectará la operación y seguridad del servidor.

1. Sincronización con la Nube: La sincronización con la nube de Azure se realizará cada 5 minutos para garantizar la disponibilidad y la rápida recuperación de datos en caso de incidentes.
2. Capacitación del Personal:

• Cada año, todo el personal recibirá capacitación sobre seguridad cibernética.
• La capacitación será ofrecida por el personal de Forensict, especialistas en seguridad informática.

1. Auditorías y Monitoreo:

• Se realizarán auditorías regulares para evaluar la efectividad de las medidas de seguridad implementadas.
• Se establecerán registros de acceso y actividades para monitorear cualquier uso no autorizado.

1. Incidentes de Seguridad: En caso de incidentes de seguridad, se seguirá un protocolo de respuesta para mitigar y remediar cualquier brecha de seguridad.

 

17     SUPRESIÓN

 

En el tratamiento de datos personales que efectúa Zavatty, la permanencia de los datos estará determinada por la finalidad de dicho tratamiento, en consecuencia, agotada la finalidad para la cual se recolectaron los datos, Zavatty procederá a su supresión o conservación, dependiendo de los reclamos recibidos por los titulares.

 

Cuando en virtud de cumplimiento legal se deban conservar los documentos, y estos contengan datos personales objeto de reclamo por parte del titular, se deberán anonimizar los datos personales.

 

La destrucción de medios físicos y electrónicos se realizarán a través de mecanismos que no permiten su reconstrucción y se realizarán únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción.

 

18     TRATAMIENTO DE LOS DATOS PERSONALES

 

Zavatty, en cumplimiento de lo dispuesto en la Constitución Política de Colombia y la Ley estatutaria 1581 de 2012 y sus normas reglamentarias y complementarias, garantiza de forma integral la protección y el ejercicio del derecho fundamental de Habeas Data de todos los Titulares de los Datos Personales.

 

18.1   Datos personales relacionados con la gestión del recurso humano.

 

Tratamiento de datos antes de la relación contractual.

Zavatty y su cooperativa de empleo solicitarán de manera previa, expresa e informada la autorización para el tratamiento de los datos personales desde el momento en que el aspirante presenta su hoja de vida por medio físico o digital.

Zavatty informará el resultado del proceso de selección y si en este se encontrara que el aspirante no se ajusta al perfil del cargo para el cual presentó dicho proceso, el Área de Gestión Humana puede seguir conservando la información en las bases de datos resultantes del proceso especifico, siempre y cuando los titulares hayan autorizado al momento de realizar la inscripción.

En el caso en que el candidato solicite la eliminación de sus datos personales, el área realizará dicho procedimiento conforme a la regulación vigente.

Los datos personales obtenidos durante un proceso de selección respecto del personal seleccionado para laborar en Zavatty, serán almacenados aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos sensibles.

El tratamiento de los datos no podrá ser utilizado para otros fines diferentes a los del proceso de selección y sus relacionados.

 

Tratamiento de datos durante la relación contractual.

Zavatty y su cooperativa de empleo almacenarán los datos personales obtenidos en el proceso de selección en una carpeta identificada con el nombre del empleado.

El uso de la información, en virtud del principio de finalidad del dato, no podrá ser para fines diferentes de la relación contractual a excepción de autorización por escrito del Titular de los datos y/o de solicitud de la autoridad competente.

 

Tratamiento de Datos Después de Terminada la Relación Contractual.

Terminada la relación laboral o similar, cualquiera que fuere la causa, Zavatty y su cooperativa de empleo, procederán a almacenar los datos personales obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles.

El uso de la información, en virtud del principio de finalidad del dato, no podrá ser diferente para fines de la relación contractual a excepción de autorización por escrito del Titular de los datos y/o de solicitud de la autoridad competente.

 

18.2   Tratamiento de datos personales de proveedores.

 

Zavatty sólo requerirá datos de sus proveedores que sean pertinentes y no excesivos para la finalidad de la contratación.

 

Cuando se le exija a Zavatty, por su naturaleza jurídica, la divulgación de datos del proveedor -persona natural- consecuencia de un proceso de selección, esta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta norma y que prevengan a terceros sobre la finalidad de la información que se divulga.

 

Zavatty recolectará de sus proveedores los datos personales de los empleados de este, que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor. Los datos personales de empleados de los proveedores recolectados por Zavatty, tendrá como única finalidad verificar su idoneidad y competencia de tales empleados y deberá mediar autorización previa, expresa e informada.

 

Cuando Zavatty entregue datos de sus empleados a sus proveedores, estos deberán proteger los datos personales suministrados conforme lo dispuesto en este lineamiento. Zavatty verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la solicitud de acceso a los mismos.

 

18.3   Tratamiento de los datos personales en proceso de contratación

 

Los terceros que en procesos de contratación, alianzas y convenios y/o cualquier forma de contratación ostente una relación jurídica con Zavatty accedan, usen, traten y/o almacenen datos personales de empleados de Zavatty y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta Política y Procedimiento. Zavatty verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la solicitud de acceso a los mismos.

 

18.4   Tratamiento de datos personales de usuarios y/o clientes

 

Los datos personales de los usuarios y/o clientes serán recolectados a través de medios físicos o digitales, y serán tratados conforme a las disposiciones aquí adoptadas y todo el régimen jurídico aplicable.

 

18.5   Tratamiento de datos personales de visitantes a las tiendas físicas

 

En el tratamiento de datos personales de visitantes que acceden a las diferentes tiendas de Zavatty y en los que se puedan incluir datos biométricos, se sujetará a lo dispuesto en la Ley 1581 de 2012 y sus normas concordantes. Para el efecto, Zavatty dispondrá avisos de privacidad, con el fin de informar a los titulares sobre el tratamiento de sus datos, y adoptará las medidas de seguridad físicas, lógicas y administrativas, en nivel alto, conforme el riesgo que pueda derivar de la criticidad de los datos personales tratados.

 

19     TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS

 

Zavatty sólo recolectará datos personales sensibles cuando sea necesario y pertinente para su actividad comercial y conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012. En cada caso deberá obtener autorización expresa del titular, cumpliendo a cabalidad con los requisitos establecidos en la Ley 1581 de 2012 y sus normas concordantes.

La información personal de carácter sensible será protegida a través de medidas de seguridad altas.

El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7º de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

 

1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.
3. Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos.

 

Zavatty reconoce que los niños, niñas y adolescentes necesitan una protección especial en lo que respecta a sus datos personales, y para este fin, garantizará que en el tratamiento se asegure el respeto de sus derechos fundamentales y prevalentes, así como que esta información sólo será utilizada respondiendo a su interés superior y aplicará los principios y obligaciones establecidos en la Ley 1581 de 2012 y el capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015. En el caso de los niños, niñas y adolescentes, la autorización de tratamiento la dará su representante legal, previo ejercicio del menor de edad de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

 

20     TRATAMIENTO DE DATOS O INFORMACIÓN DE CONTENIDO CREDITICIO, FINANCIERO, COMERCIAL O DE SERVICIOS

 

Adicional a lo ya establecido en el presente documento, y en lo que no sea contradictorio, cuando Zavatty trate datos personales o información de contenido creditico, financiero, comercial o de servicios, aplicará la regulación referida al Habeas Data Financiero, especialmente lo establecido en la Ley 1266 de 2008.

 

20.1   Autorización de datos personales de contenido crediticio, financiero, comercial o de servicios

 

Zavatty deberá solicitar autorización previa, expresa e informada del titular dando cumplimiento a la regulación aplicable e informando la siguiente finalidad:

 

Recolección, almacenamiento, uso, notificación, divulgación, consulta, reporte ante centrales de riesgo o similares, operación, administración, validación, procesamiento, supresión, y en general tratamiento de los datos personales o información de contenido crediticio, financiero, comercial o de servicios, independientemente de la naturaleza del contrato que les de origen.

 

En caso de tratar los datos para una finalidad diferente a las previamente enunciada, esta se deberá incluir de manera clara y precisa en la autorización para el tratamiento de datos personales correspondiente y deberá guardar coherencia con la actividad comercial de la marca.

 

20.2   Derechos de los titulares Habeas Data financiero

 

Frente a los operadores de los bancos de datos:

1. Ejercer el derecho fundamental al hábeas data en los términos de la ley, mediante la utilización de los procedimientos de consultas o reclamos, sin perjuicio de los demás mecanismos constitucionales y legales.
2. Solicitar el respeto y la protección de los demás derechos constitucionales o legales, así como de las demás disposiciones de la ley, mediante la utilización del procedimiento de reclamos y peticiones.
3. Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario.
4. Solicitar información acerca de los usuarios autorizados para obtener información.

Frente a las fuentes de la información:

1. Ejercer los derechos fundamentales al hábeas data y de petición, cuyo cumplimiento se podrá realizar a través de los operadores, conforme lo previsto en los procedimientos de consultas y reclamos de la ley, sin perjuicio de los demás mecanismos constitucionales o legales.
2. Solicitar información o pedir la actualización o rectificación de los datos contenidos en la base de datos, lo cual realizará el operador, con base en la información aportada por la fuente, conforme se establece en el procedimiento para consultas, reclamos y peticiones.
3. Solicitar prueba de la autorización, cuando dicha autorización sea requerida conforme lo previsto en la ley.

Frente a los usuarios:

1. Solicitar información sobre la utilización que el usuario le está dando a la información, cuando dicha información no hubiere sido suministrada por el operador.
2. Solicitar prueba de la autorización, cuando ella sea requerida conforme lo previsto en la ley.
3. Acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia.
4. Acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la ley.

19.3 Deberes de los operadores, las fuentes y los usuarios de información

 

Sin perjuicio del cumplimiento de las demás disposiciones contenidas en la ley y otras que rijan su actividad, los operadores de los bancos de datos están obligados a:

 

1. Garantizar, en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho de hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la ley.
2. Garantizar que en la recolección, tratamiento y circulación de datos, se respetarán los demás derechos consagrados en la ley.
3. Permitir el acceso a la información únicamente a las personas que, de conformidad con lo previsto en la ley, pueden tener acceso a ella.
4. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.
5. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular, cuando dicha autorización sea necesaria.
6. Conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.
7. Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes, en los términos de la ley.
8. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información
9. Indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma y no haya finalizado dicho trámite
10. Circular la información a los usuarios dentro de los parámetros de la ley.
11. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en relación con el cumplimiento de la ley.
12. Los demás que se deriven de la Constitución o de la ley.

 

Deberes de las fuentes de la información

 

Las fuentes de la información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

 

1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable.
2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
3. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores.
4. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al operador.
5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria
6. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización
7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la ley.
8. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite.
9. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento de la ley.
10. Los demás que se deriven de la Constitución o de la ley.
11. Reportar la información negativa de los titulares, máximo (18) meses después de la constitución en mora del titular.

 

Deberes de los usuarios

 

Sin perjuicio del cumplimiento de las disposiciones contenidas en la ley y demás que rijan su actividad, los usuarios de la información deberán:

 

1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada, en los términos de la ley.
2. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.
3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.
4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la ley.
5. Los demás que se deriven de la Constitución o de la ley.

 

20.3   Procedimiento para la atención de consultas y reclamos de Habeas Data financiero

Trámite de consultas

Los titulares de la información o sus causahabientes podrán consultar la información personal del titular, que repose en cualquier banco de datos, sea este del sector público o privado. El operador deberá suministrar a estos, debidamente identificados, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

La petición, consulta de información se formulará verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.

La petición o consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

La petición o consulta se deberá atender de fondo, suministrando integralmente toda la información solicitada.

Trámite de reclamos

Los titulares de la información o sus causahabientes que consideren que la información contenida en su registro individual en un banco de datos debe ser objeto de corrección o actualización podrán presentar un reclamo ante el operador, el cual será tramitado bajo las siguientes reglas:

1. La petición o reclamo se formulará mediante escrito dirigido al operador del banco de datos, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer. En caso de que el escrito resulte incompleto, se deberá oficiar al interesado para que subsane las fallas. Transcurrido un mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación o petición.
2. Una vez recibido la petición o reclamo completo el operador incluirá en el registro individual en un término no mayor a dos (2) días hábiles una leyenda que diga "reclamo en trámite" y la naturaleza del mismo. Dicha información deberá mantenerse hasta que el reclamo sea decidido y deberá incluirse en la información que se suministra a los usuarios.
3. El término máximo para atender la petición o reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
4. En los casos en que exista una fuente de información independiente del operador, este último deberá dar traslado del reclamo a la fuente en un término máximo de dos (2) días hábiles, la cual deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) días hábiles. En todo caso, la respuesta deberá darse al titular por el operador en el término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de presentación de la reclamación, prorrogables por ocho (8) días hábiles más, según lo indicado en el literal anterior. Si el reclamo es presentado ante la fuente, esta procederá a resolver directamente el reclamo, pero deberá informar al operador sobre la recepción del reclamo dentro de los dos (2) días hábiles siguientes a su recibo, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga "reclamo en trámite" y la naturaleza del mismo dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) días hábiles siguientes a haber recibido la información de la fuente.
5. Para dar respuesta a la petición o reclamo, el operador o la fuente, según sea el caso, deberá realizar una verificación completa de las observaciones o planteamientos del titular, asegurándose de revisar toda la información pertinente para poder dar una respuesta completa al titular.
6. Sin perjuicio del ejercicio de la acción de tutela para amparar el derecho fundamental del Habeas Data, en caso que el titular no se encuentre satisfecho con la respuesta a la petición, podrá recurrir al proceso judicial correspondiente dentro de los términos legales pertinentes para debatir lo relacionado con la obligación reportada como incumplida. La demanda deberá ser interpuesta contra la fuente de la información la cual, una vez notificada de la misma, procederá a informar al operador dentro de los dos (2) días hábiles siguientes, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga "información en discusión judicial" y la naturaleza de la misma dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) días hábiles siguientes a haber recibido la información de la fuente y por todo el tiempo que tome obtener un fallo en firme. Igual procedimiento deberá seguirse en caso que la fuente inicie un proceso judicial contra el titular de la información, referente a la obligación reportada como incumplida, y este proponga excepciones de mérito.
7. De los casos de suplantación. En el caso que el titular de la información manifieste ser víctima del delito de falsedad personal contemplado en el Código Penal, y le sea exigido el pago de obligaciones como resultado de la conducta punible de la que es víctima, deberá presentar petición de corrección ante la fuente adjuntando los soportes correspondientes. La fuente una vez reciba la solicitud, deberá dentro de los diez (10) días siguientes cotejar los documentos utilizados para adquirir la obligación que se disputa, con los documentos allegados por el titular en la petición, los cuales se tendrán como prueba sumaria para probar la falsedad, la fuente, si así lo considera, deberá denunciar el delito de estafa del que haya podido ser víctima. Con la solicitud presentada por el titular, el dato negativo, récord (scorings- score) y cualquier otro dato que refleje el comportamiento del titular, deberán ser modificados por la fuente reflejando que la víctima de falsedad no es quien adquirió las obligaciones, y se incluirá una leyenda dentro del registro personal que diga -Víctima de Falsedad Personal-.
8. Las peticiones o reclamos deberán resolverse dentro de los quince (15) días hábiles siguientes a la fecha de su recibo. Prorrogables por ocho (8) días hábiles más. Si en ese lapso no se ha dado pronta resolución, se entenderá, para todos los efectos legales, que la respectiva solicitud ha sido aceptada. Si no lo hiciere, el peticionario podrá solicitar a la Superintendencia de Industria y Comercio y a la Superintendencia Financiera de Colombia, según el caso, la imposición de las sanciones a que haya lugar conforme a la Ley 1266 de 2008, sin perjuicio de que ellas adopten las decisiones que resulten pertinentes para hacer efectivo el derecho al Habeas Data de los titulares.

Procedimiento interno

 

1. Los canales disponibles para recibir consultas o reclamos son: Email: servicioalcliente@zavatty.com; WhatsApp: 317 592 09 70
2. Una vez recibida la consulta o reclamo, será analizada por el área de Servicio al Cliente, y, en caso de ser necesario, se remitirá al área interna que corresponda, esto es, cartera, jurídica u otros, para que brinde respuesta de fondo y se aplique el procedimiento previamente señalado.

20.4   Notificación previa

 

Zavatty cumplirá con su obligación de notificar previamente la titular sobre el reporte ante las centrales de riesgo o similares, para dichos efectos, cumplirá con lo establecido en la Ley 1266 de 2008 y demás normas concordantes, especialmente, y dependiendo de los cambios normativos a que haya lugar, informando al titular del saldo exacto en mora a la fecha, cumpliendo con los términos legales y haciendo uso del correo certificado, procurando siempre La garantía del derecho de Habeas Data.

21     TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

 

Está prohibida la transferencia de datos personales a países que no proporcionen niveles adecuados de protección. Se entienden países seguros aquellos que cumplan con los estándares fijados por la Superintendencia de Industria y Comercio.

 

De manera excepcional se podrán efectuar transferencias internacionales de datos por Zavatty cuando:

 

1. El titular del dato haya otorgado su autorización previa, expresa e inequívoca para efectuar la transferencia.
2. Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública
3. La transferencia sea necesaria para la ejecución de un contrato entre el titular y Zavatty como Responsable y/o Encargado del tratamiento.
4. Se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.
5. Se trate de transferencia de datos en el marco de tratados internacionales que hagan parte del ordenamiento jurídico colombiano.
6. Transferencias legalmente exigidas para salvaguardar un interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

En los casos no contemplados como excepción, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales.

 

Al momento de presentarse una transferencia o transmisión internacional de datos personales, previo envío o recepción de estos, Zavatty suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes.

 

Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales.

22     TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES

 

Se realizará una transmisión de datos personales cuando el tratamiento implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

 

Las transmisiones internacionales de datos personales que se efectúen entre un Responsable y un Encargado para permitir que el Encargado realice el tratamiento por cuenta del Responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato de transmisión de datos personales, el cual deberá estar conforme a lo establecido en el Artículo 25 del Decreto 1377 de 2013 y normas concordantes.

23     VIGENCIA Y ACTUALIZACIÓN

 

La presente Política y Procedimiento tiene vigencia desde marzo del 2016, momento en el cual se verificó su publicación a través de los medios internos de Zavatty y en la página web: www.zavatty.com

 

Zavatty se reserva el derecho de actualizar y/o modificar la presente Política y Procedimiento conforme a sus propias necesidades y cambios normativos.

 

En caso de presentarse una actualización de la misma, se deberá informar a los titulares de los datos personales, a través de un aviso en la página web www.zavatty.com