In-Ova - Términos y condiciones

I. Identificación de la Sociedad y Consideraciones

1.1. Características Generales de la Sociedad:

IN-OVA S.A.S., es una sociedad comercial, de carácter privado con domicilio en la ciudad de Medellín, Colombia, identificada con el NIT.900.509.016-9, constituida a través documento privado 13 de marzo de 2012, otorgado por los Accionistas, inscrito en esta cámara de comercio el 15 de marzo de 2012 bajo el número 4841 del libro IX.

La compañía se dedica principalmente, a prestar servicios relacionados con actividades de desarrollo de sistemas informáticos (planificación, análisis, diseño, programación, pruebas), pudiendo sin embargo poder realizar cualquier actividad lícita.

Es claro para la sociedad que en desarrollo de su objeto social trata datos personales en el territorio nacional, por lo que es necesario en virtud de lo consagrado en la constitución política a Ley 1581 de 2012, y artículo 2.2.2.25.3.1 del Decreto Único del sector Comercio Industria y Turismo, DU 1074 de 2015, (Decreto 1377 de 2013, Art. 13), por lo que pone a disposición las siguientes políticas de tratamiento de datos personales.

1.2. Objeto de las Políticas:

A través de este documento se detallan y reglamentan todas las actividades asociadas al tratamiento de datos personales que integran las diferentes bases de datos de la sociedad IN-OVA S.A. Para el efecto, se detallaran los tipos de bases de datos que tiene la compañía, sus finalidades, derechos de los titulares en cada uno de los roles que juega la compañía, bien sea como Responsable o Encargado, así como las herramientas con las que cuentan los titulares para el ejercicio de sus derechos.

1.3. Marco normativo

Las presentes políticas se construyeron a partir de la normatividad vigente, por lo que cualquier vacío o situación no regulada en las mismas, se regirá por lo preceptuado por las leyes 1581 de 2012 y 1266 de 2008 y los decretos reglamentarios 1377 de 2013 y 1727 de 2009, compilados en el DU 1074 de 2015.

II. Definiciones

En el presente acápite se relacionarán las definiciones de los términos comunes incorporados dentro de las presentes políticas, que permitirán un mayor entendimiento de las mismas. En ese orden de ideas, a continuación, encontrarán los principales los cuales se incorporan en el texto con su primera letra en mayúscula y tendrán el significado que a continuación se detalla. Dichos términos podrán ser incorporados en singular o plural Por su parte los términos que no estén expresamente definidos, se entenderán en el sentido corriente y usual en el lenguaje técnico correspondiente o en el natural y obvio según el uso general de los mismos.

2.1. Definiciones generales sobre los datos:

2.1.1. “Base de Datos”: “conjunto organizado de datos personales que sea objeto de Tratamiento” (artículo 3, Ley 1581 de 2012).
2.1.2. “Dato personal”: “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (artículo 3, Ley 1581 de 2012).
2.1.3. “Datos Personales de Carácter financiero”: hacen referencia a la “Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, es decir aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen”, lo anterior de conformidad con la Ley 1266 de 2008.
2.1.4. “Dato público”: de conformidad con la ley, es aquel Dato Personal diferente al semiprivado, privado o sensible. Se indica en la normatividad, como ejemplos de estos datos los relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
2.1.5. “Dato privado”: Es aquel Dato Personal que por su naturaleza íntima o reservada sólo es relevante para el titular (Ley 1581 de 2.012).
2.1.6. “Dato semiprivado”: la norma lo define como aquel Dato Personal que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación, puede interesar no sólo a su Titular sino a cierto sector o grupo de personas.
2.1.6. “Dato sensible”: Es el Dato Personal relativo a la intimidad personal del titular, cuyo uso indebido pueda generar su discriminación.
2.1.7. “Dato biométrico”: Hace referencia a los Datos Personales relativos a las características físicas, fisiológicas o comportamentales de una persona que faciliten su identificación.

2.2. Definiciones asociadas a las partes en el proceso de gestión de los Datos Personales:

2.2.1. “Compañía”, “Sociedad” o “IN-OVA”: hace referencia la sociedad IN-OVA S.A.S.
2.2.2. “Encargado del Tratamiento”: es la “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento” (artículo 3, Ley 1581 de 2012).

En ese orden de ideas, IN-OVA tendrá esta calidad en relación con la información procesada a través de su aplicativo, y también la ostentará cualquiera persona en quien se una o más modalidades de tratamiento de una o más Bases de Datos de la Sociedad.
2.2.3. “Oficial de Datos”: Es la persona (natural o jurídica, vinculada o no laboralmente a la Sociedad) asignada por el Responsable del Tratamiento para velar por el desarrollo de los Procedimientos aquí consagrados.
2.2.4. “Responsable del Tratamiento”: es la “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos” (artículo 3, Ley 1581 de 2012). Para este caso, se entenderá que es la Compañía.

Tendrá esta calidad IN-OVA, en relación con sus bases de datos propias.
2.2.5. “Titular”: “persona natural cuyos datos personales sean objeto de Tratamiento” por parte de la Sociedad (artículo 3, Ley 1581 de 2012).

2.3. Definiciones relativas a las modalidades de tratamiento

2.3.1. “Almacenamiento”: consiste en guardar o almacenar los Datos Personales, de forma física o digital, de conformidad con los medios usados por el Responsable o Encargado del Tratamiento.
2.3.2. “Autorización”: “consentimiento previo, expreso e informado que efectúa el Titular, en relación con el Tratamiento de sus datos personales”, la cual será obtenida conforme los medios que determine la Sociedad (artículo 3, Ley 1581 de 2012).
2.3.3. “Actualización”: es la modificación de uno o más Datos Personales, con el objeto de indicar el dato o la información actual.
2.3.4. “Circulación”: consistente en la comunicación o transmisión de los Datos Personales por parte del Responsable o Encargado del Tratamiento.
2.3.5. “Disposición Final”: Archivo del Dato Personal.
2.3.6. “Recolección”: son las acciones encaminadas a la obtención o recopilación a través de diferentes medios, de los Datos Personales de los Titulares, orientados por los principios de finalidad y libertad.
2.3.7. “Supresión”: es la eliminación del Dato Personal de la(s) Base(s) de Dato(s), por parte del Responsable o Encargado del tratamiento.
2.3.8. “Tratamiento”: es “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión" de los mismos (artículo 3, Ley 1581 de 2012).
2.3.9. “Uso”: es la utilización de los Datos Personales por parte del Responsable o Encargado del Tratamiento, en el marco de las finalidades estipuladas para cada base de datos, y conforme los lineamientos de indicados en la Autorización.

2.4. Términos generales:

2.4.1. “Derechos”: son las prerrogativas que tiene el Titular de los Datos Personales, asociadas al Tratamiento de los datos, en relación con el Responsable o Encargado del Tratamiento.
2.4.2. “Obligaciones o Deberes”: son las prestaciones de dar, hacer o no hacer que el Responsable del Tratamiento o Encargado del Tratamiento deben cumplir, para con el Titular.
2.4.3. “Políticas”: es el conjunto de políticas y procedimientos para el tratamiento de los Datos Personales de IN-OVA S.A.S., las cuales están orientadas al cumplimiento adecuado de la normatividad vigente.
2.4.4. “Principios”: son normas rectoras del Tratamiento de los Datos Personales, que buscan ser observados y garantizados en la implementación de las Políticas, y están consagrados en el artículo 4 de la ley 1581 de 2012.
2.4.5. “Procedimiento”: es el conjunto de actividades, acciones o etapas pensadas de manera ordenada por el Responsable del Tratamiento de Datos Personales, para regular el ejercicio de los derechos de los Titulares, y propender por el cumplimiento de los Deberes u Obligaciones.
2.4.6. ”Revocatoria”: hace referencia a la supresión o eliminación de la autorización por parte del Titular del Dato Personal.

III. Principios del Tratamiento de Datos Personales

En este acápite se relacionan los principios que orientan el Tratamiento que realiza In-Ova de los Datos Personales de conformidad con la normatividad vigente, así:

3.1. Principio de finalidad:

De conformidad con este principio, todo Datos Personal debe estar asociado a una Base de Datos específica y debe ser Tratado cumplir y cumplir las finalidades indicadas para dicha Base de Datos.

3.2. Principio de legalidad:

Da cuenta de la obligación de cumplir la normatividad vigente y aplicable en el tratamiento de Datos Personales.

3.3. Principio de libertad:

Da cuenta del derecho de autodeterminación informativa derivado del derecho constitucional a la privacidad, en virtud del cual IN-OVA solo puede tratar los Datos Personales en relación con los cuales está autorizado y en el marco de los lineamientos otorgados en la Autorización.

3.4. Principio de transparencia:

Comporta que los Titulares pueden en cualquier momento y sin restricción alguna, acceder a la información sobre los Datos Personales que trate la Sociedad, siguiente los procedimientos incorporados en las presentes Políticas.

3.5. Principio de veracidad o calidad:

De conformidad con este principio, La Sociedad está obligada a implementar las medidas orientadas a que los Datos Personales que reposen en sus Bases de Datos, sean veraces, completos, exactos, actualizados, comprobables y comprensibles; y abstenerse de tratar datos parciales, incompletos, fraccionados o que induzcan a error.

Para procurar lo anterior, se definieron procedimientos de actualización en las presentes políticas.

3.6. Principio de acceso y circulación restringida:

En virtud de este, la Compañía debe velar porque el acceso a la información contenida en sus Bases de Datos está restringido, de tal manera que solo accedan a los misma el personal necesario para el desarrollo de las actividades contenidas en las finalidades. Igualmente, la Sociedad en virtud del mismo, velará por capacitar al personal en el cumplimiento de las Presentes políticas y en consagrar en sus contratos cláusulas de confidencialidad y manejo de Datos Personales. Igualmente declara la Sociedad que no publicará la información personal objeto de tratamiento en internet u otros medios de divulgación o comunicación masiva.

3.7. Principio de seguridad:

La Compañía diseñó e implementó medidas técnicas, humanas y administrativas, acorde a la naturaleza de los Datos Personales objeto de tratamiento, para evitar que los mismos sean adulterados, extraviados, consultados, usados o accedidos por personal no autorizado; lo anterior acompañado de las definiciones administrativas necesarias para garantizar la protección de la información.

3.8. Principio de confidencialidad:

En el marco de este principio, toda persona que tenga acceso a la información contenida en las Bases de Datos, tiene suscrito cláusulas o acuerdos de confidencialidad. Lo anterior aplica tanto para el personal del Responsable del Tratamiento, como del Encargado del Tratamiento.

IV. Autorización y Nivel de Intervención

4.1. Autorización y recolección de Datos Personales:

En virtud del principio de autodeterminación informativa, el Responsable del Tratamiento, debe contar con el consentimiento previo, expreso e informado suministrad por el Titular, para poder efectuar el Tratamiento de sus Datos Personales.

Para lograr dicha Autorización, la Sociedad realizará el siguiente procedimiento:

IN-OVA, dispondrá de un formulario digital para la solicitud y suministro de información por parte del Titular, el cual solicitará la información limitada a la necesaria para la finalidad determinada.
Si en el formulario se incorporan Datos Personales de carácter sensible, se indicará de forma expresa, que el Titular puede abstenerse de suministrar los mismos.
Al realizar la captura de la información, se le indicará y pondrá a disposición del Titular, las políticas de tratamiento de datos personales, las cuales podrán ser consultadas de manera inmediata en el aplicativo, o solicitar ser enviadas por correo electrónico.
Toda Autorización contará con los siguientes datos:
1. Nombre e identificación de Titular.
2. Indicación expresa de la Autorización.
3. Base(s) de Datos de la que hará parte el Dato Personal suministrado.
4. Tratamiento que se le dará a los Datos Personales.
5. Finalidades de la Base de Datos; para que El Titular pueda indicar si otorga su autorización para todas o alguna(s) de la(s) mismas.
6. Declaración del conocimiento de los Derechos.
7. Declaración del conocimiento de las Políticas de Tratamiento de Bases de Datos.
8. Tiempo durante el cual se utilizarán los Datos Personales.
La Autorización solo será válida, si es firmada por el Titular de manera litográfica, digital, o aceptada a través de cualquier otro medio tecnológico que esté a disposición de la Sociedad, como por ejemplo a través del aplicativo INOVA COLECTIVA, o correo electrónico, siempre que con el mismo se pudiere probar la aceptación inequívoca del tratamiento de datos personales.
Efectuado lo anterior, el Titular podrá enviar al Responsable de Datos la información solicitada a través del medio que convengan las partes. El documento de autorización, deberá ser guardado y custodiado por la Compañía y/o el encargado, a través del medio que estime pertinente.
No se requiere autorización en los eventos expresamente contemplados en el artículo 10 de la ley 1581 de 2012 y demás normas que lo modifiquen o adicionen, esto es, cuando se trate de los siguientes datos:

Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
Datos de naturaleza pública.
Casos de urgencia médica o sanitaria;
Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
Datos relacionados con el Registro Civil de las Personas.

4.2. Datos recolectados directamente por IN-OVA:

IN-OVA a través de su aplicativo y demás medios tecnológicos, conserva copia de las autorizaciones emitidas por cada uno de los Titulares de los Datos Personales que componen sus Bases De Datos.

4.3. Datos suministrados por terceros:

Por regla general los Datos Personales son recolectados directamente por la Sociedad, no obstante, existen ocasiones en las que IN-OVA obtiene Datos Personales de Bases de Datos suministradas por terceros, quienes previamente han obtenido autorización de los titulares.

4.4. Nivel de Intervención:

IN-OVA actúa en calidad de Responsable del Tratamiento, en relación con las Bases de Datos propias; no obstante y dada su actividad comercial en virtud de la cual otorga el licenciamiento y/o uso del aplicativo INOVA COLECTIVA, a través del cual se Tratan Datos Personales, es en relación con dicha información y datos únicamente Encargado de las modalidades de tratamiento de almacenamiento, dando observancia a las obligaciones que le corresponden en dicha calidad. En dichos casos, las obligaciones propias del Responsable del Tratamiento, les corresponden a los clientes y/o usuarios del aplicativo como Responsables.

Adicionalmente, la Compañía se reserva la facultad de delegar ciertas actividades de tratamiento a un tercero, para que las ejecute en su nombre, caso en el cual este último observará los compromisos establecidos en las presentes políticas.

4.5. Actividades De Tratamiento:

Las Bases de Datos de IN-OVA, hacen referencia al conjunto de datos personales almacenados sistemáticamente atendiendo a las finalidades descritas para cada una de estas.

Por su parte, las actividades de tratamiento que se desarrollan sobre las mismas, comprenden la recolección de los datos personales, su almacenamiento, transmisión a sus encargados, uso para el desarrollo habitual de las actividades comprendidas dentro de su objeto social y el cumplimiento de obligaciones de naturaleza legal y contractual, consulta y verificación de información.

Se deja claramente establecido que IN-OVA no transfiere sus Bases de Datos a terceros.; sin embargo, en caso de requerir hacerlo, Ia Compañía se asegurará de contar con la autorización previa expresa e informada para el desarrollo de dicha actividad de tratamiento.

Igualmente en algunos casos, la Sociedad podrá consultar, solicitar, suministrar, reportar, procesar y divulgar información relacionada con el comportamiento crediticio, financiero, comercial y de servicios de los titulares, a las entidades públicas o privadas, en Colombia o en el exterior, que administren o manejen bases de datos relacionadas con el nacimiento, desarrollo, modificación, extinción y cumplimiento de obligaciones financieras, comerciales, crediticias y de servicios. Para el desarrollo de tales actividades, IN-OVA se asegurará de contar con la autorización previa expresa e informada para el desarrollo de dicha actividad de tratamiento.

Las actividades de Tratamiento podrán ejecutarse a través de diferentes canales y modalidades, tales como, pero sin limitarse a las mismas, por correos electrónicos, documentos físicos, mensajes de texto, mensajes de datos, llamadas telefónicas (celulares o teléfonos fijos), inclusión de información en dispositivos electrónicos, digitales o medios físicos; entre otras.

V. Bases de Datos y sus Finalidades

En el presente capítulo, se describen las diferentes clases Bases de Datos que tiene la Compañía así como sus respectivas finalidades, las cuales según se indicó, determinarán el tratamiento que se le dará a los Datos Personales. La lista indicada es meramente enunciativa, por lo que la sociedad podrá crear nuevas Bases de Datos.

Igualmente se hace claridad, que las Bases de Datos indicadas, dan cuenta de los datos personales de personas naturales como Titulares, en virtud de la Ley 1581 de 2012; no obstante en lo relativo a la Base de Datos de carácter financiero, la misma también podrá contener Datos Personales de personas jurídicas.

5.1. Base de Datos Personales de Accionistas:

Está conformada por los Datos Personales de quien es o fue Titular de las acciones de IN-OVA y tiene las siguientes finalidades:

Contener un registro actualizado de los accionistas de la Compañía
En caso de enajenación de la participación accionaria por parte de alguno de los Titulares, La Compañía podrá conservar los datos personales, cuando así se requiera para el cumplimiento de una obligación legal o contractual.
Gestionar el ejercicio de los derechos políticos y económicos que le confieren su participación en la Sociedad.

5.2. Base de Datos Personales de Proveedores:

Está integrada por los Datos Personales de las personas naturales que son contratistas, prestadores de servicios o proveedores de bienes o servicios, o que sean las personas de contacto dentro de las personas jurídicas que sean proveedoras de bienes o servicios de la Compañía.

Las finalidades de esta Base de Datos son:

Contar con un registro actualizado de los proveedores y las personas de contacto al interior de cada una de las personas jurídicas, para el desarrollo de la relación contractual.
Ejecutar las actividades o prestaciones propias de la relación contractual.
Efectuar los registros contables, tributarios y financieros que correspondan de conformidad con la normatividad.
En caso de terminación de la relación contractual, la Sociedad podrá conservar los Datos Personales cuando así se requiera para el cumplimiento de una obligación legal o contractual, así como para eventuales o futuros procesos de contratación.
Guardar los Datos Personales y la información que intercambie en el marco de la relación comercial, bien sea de forma física, electrónica o digital.
Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.
Transmisión de datos personales de los Titulares a las personas naturales o jurídicas que ostenten la calidad de aliados estratégicos de la Compañía, o con las cuales la misma haya celebrado o celebre acuerdos de colaboración o asociación.
Transferencia de datos personales de los Titulares a las personas naturales o jurídicas que ostenten la calidad de aliados estratégicos de la Sociedad, o con las cuales ésta haya celebrado o celebre acuerdos de colaboración o asociación.

5.3. Base de Datos Personales de Clientes:

Está conformada por los Datos Personales de las personas naturales que son contratantes o beneficiarios de los servicios prestados por la Sociedad, o por los datos de las personales naturales que son el contacto dentro de las personas jurídicas Las finalidades de esta Base de Datos son:

Cumplir las obligaciones de conformidad con el contrato celebrado.
Contar con un registro actualizado de los destinatarios de los bienes o servicios de La Compañía, para una comunicación asertiva y una debida ejecución de la relación contractual.
Desarrollar el objeto social de La Compañía.
Dar cumplimiento a la normatividad contable, tributaria y jurídica vigente.
Usar la información para fines estadísticos al interior de La Compañía.
Usar la información y Datos Personales para el cumplimiento de las labores contratadas.
Guardar los Datos Personales y la información que intercambie en el marco de la relación comercial, bien sea de forma física, electrónica o digital.
Verificación, consulta y reporte de información relacionada con el comportamiento crediticio, financiero, comercial y de servicios de los titulares, a las entidades públicas o privadas, que administren o manejen bases de datos relacionadas con el nacimiento, desarrollo, modificación, extinción y cumplimiento de obligaciones financieras, comerciales, crediticias y de servicios.
Como elemento de análisis para la evaluación de los riesgos derivados de relaciones contractuales vigentes.
Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.
Transmisión de datos personales de los Titulares a las personas naturales o jurídicas que ostenten la calidad de aliados estratégicos de IN-OVA, o con las cuales la Compañía haya celebrado o celebre acuerdos de colaboración o asociación.
Transferencia de datos personales de los Titulares a las personas naturales o jurídicas que ostenten la calidad de aliados estratégicos de IN-OVA o con las cuales ésta haya celebrado o celebre acuerdos de colaboración o asociación.

5.4. Base de Datos de Empleados:

Esta Base de Datos, está integrada por los Datos Personales de los empleados de la Compañía y tiene las siguientes finalidades:

Cumplimiento de las obligaciones contenidas en el Decreto 1072 de 2015, así como las demás normas que lo adicionen, modifiquen, complementen o reemplacen.
Ejecución de procesos de selección, promoción, bienestar laboral, nómina, desempeño y competencias, inducción, entrenamiento, formación, seguridad y salud en el trabajo y ambiente.
Ejecución de programas de formación y capacitación.
Emisión y validación de referencias laborales y/o comerciales.
Suministro de información personal para la ejecución de las relaciones contractuales de la Compañía para con terceros.
Adopción de medidas de control y seguridad de la Sociedad.
Recolección, almacenamiento, consulta, circulación, transmisión, verificación, uso, reproducción, divulgación, comunicación, adaptación, extracción, compendio, difusión y supresión de la imagen de los titulares de la información, con el fin de elaborar elementos de identificación al interior de la sociedad, así como ilustrar artículos o publicaciones institucionales, de mercadeo y/o publicitarios relacionados con el objeto social de la Compañía, para ser divulgados en revistas, página web y redes sociales.

5.5. Base de Datos Personales de Archivo:

Es aquella Base de Datos conformada por los Datos Personales de quienes fueron empleados, proveedores, clientes o accionistas de La Compañía, y que a la fecha no han presentado solicitud de supresión del Dato Personal. Esta Base de Datos tendrá las siguientes finalidades:

Contar con un registro actualizado del histórico de los empleados, clientes, accionistas y proveedores de La Compañía, para efectos de ser utilizados en el desarrollo del objeto social, así como para el cumplimiento de las obligaciones legales.
Cumplir con las obligaciones de conservación de los registros y soportes de las operaciones realizadas por La Sociedad, en cumplimiento de la normatividad vigente en materia comercial, contable y tributaria.
Los Datos Personales, la información y/o documentación que integre el archivo privado, podrá ser conservado de manera física, electrónica o digital, según lo estime la Compañía.

5.6. Base de Datos Financiera:

Está integrada por los Datos Personales relativos al nacimiento, ejecución y extinción de obligaciones dinerarias de la Compañía para con un tercero, o viceversa, originadas en contratos de cualquier naturaleza. La Base de Datos de carácter Financiero, contendrá por lo menos, la información consagrada en el artículo 14 de la Ley 1266 de 2008.

Esta Base de Datos tendrá las siguientes finalidades:

Tener un reporte actualizado de deudores y acreedores de la Sociedad, para efectos de ejercer las acciones comerciales, judiciales y extrajudiciales a que haya lugar.
Crear un registro del comportamiento financiero de los Titulares para con La Sociedad.
Realizar los registros contables y financieros pertinentes.
Cumplir con las obligaciones fiscales y contables a que haya lugar en virtud de la normatividad vigente.

Parágrafo Primero: Los Datos personales registrados en las Bases de Datos de la Sociedad, podrán ser compartidos o entregados a las entidades públicas o administrativas que la requieran en ejercicio de sus funciones o en caso de orden judicial. De presentarse esta situación, la Sociedad verificará la pertinencia de la información requerida, la competencia de la autoridad y realizará la advertencia a la misma sobre el deber de protección y las medidas de seguridad que aplican a los datos personales suministrados además de notificar al Titular, para que ejerza las medidas que considere pertinentes.

Parágrafo Segundo: Si fuere necesario llegar a requerir el tratamiento Datos Personales de menores de edad, personas en condición de discapacidad, o demás población vulnerable; se tendrá en cuenta su interés prevalente y de ninguna manera se efectuará el Tratamiento de sus Datos Personales, sin contar previamente con la autorización por parte de sus representantes legales, tutores o curadores. No obstante a la fecha no se cuenta con información alguna de este tipo de personas en relación con la cual la Sociedad sea Responsable del Tratamiento.

No obstante lo anterior, en el evento en que se llegare a contar con Datos Personales de menores de edad, se someterá su Tratamiento a las siguientes reglas:

Respeto de los derechos fundamentales del menor Titular del dato.
Autorización emitida por el representante legal del menor titular del dato, cuando se requiera.
Respeto del derecho del menor a ser escuchado, teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, así como la naturaleza de los datos sometidos a tratamiento y finalidad perseguida con tales actividades.

Parágrafo Tercero: El Tratamiento de los Datos Personales contenidos en cada tipo de Base de Datos, se realizará de manera exclusiva conforme las finalidades indicadas y siempre en observancia de los principios rectores.

VI. Compromisos y deberes de la sociedad como responsable y encargado del tratamiento de los datos personales

En el presente capítulo, se relacionan los deberes o compromisos que adquiere la sociedad IN-OVA para con los Titulares de los Datos Personales, en los eventos en los cuales obra como Responsable y como Encargada del Tratamiento, así como las obligaciones que le corresponden, en relación con cada uno de los agentes partícipes dentro del proceso de Tratamiento de los Datos Personales:

6.1. Compromisos cuando se obra como Responsable del Tratamiento:

Garantizar al Titular el pleno y efectivo ejercicio del derecho de Hábeas Data.
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
Conservar Los Datos Personales en la forma que estime conveniente (físico, electrónica o digital), con las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Requerir al Titular la autorización para el Tratamiento de Datos Personales con el lleno de requisitos establecidos en la ley.
Conservar la copia de la respectiva autorización otorgada por el Titular, durante el tiempo establecido en la normatividad vigente, en el medio que estime conveniente (físico, electrónico o digital).
Rectificar los Datos Personales cuando sean incorrectos, parciales o induzcan a error, así como notificar dicha situación al Encargado del Tratamiento.
Darle trámite y respuesta de fondo a las consultas y reclamos formulados por parte de los Titulares, de conformidad con la ley y las presentes Políticas.
Diseñar y elaborar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley 1581 de 2012
Informar a la autoridad competente en materia de gestión de Datos Personales, el acaecimiento de hechos que impliquen la vulneración a la seguridad de los Datos Personales y riesgos en la administración de la información de los Titulares.
Dar cumplimiento a las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Cumplir los Principios establecidos en la ley y en las presentes Políticas.
Velar por la Actualización y rectificación de la información y Datos Personales cuando sea necesario.

6.2. Compromisos del Responsable del Tratamiento, en relación con los Encargados del Tratamiento:

Garantizar que cualquier proceso de modificación, actualización, corrección, dato en discusión, o en general cualquier cambio realizado en los Datos Personales o en las Bases de Datos, sea informada de manera oportuna e idónea al Encargado del Tratamiento.
Velar por que la información contenida en las Bases de Datos que sea suministrada al Encargado sea veraz, completa, exacta, actualizada, comprobable y comprensible.
Garantizar que el Encargado del Tratamiento cuente con los canales y medios necesarios para el ejercicio de los derechos de los Titulares.
Hacer cumplir los Deberes y Obligaciones que le corresponde al Encargado del Tratamiento.
Exigir del Encargado del Tratamiento, la creación y aplicación de las condiciones de seguridad idóneas para el uso indebido de los Datos Personales.
Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
Informar al Encargado del tratamiento el estado de procesos de reclamación sobre Datos Personales bajo su manejo.
Suministrar al Encargado del Tratamiento, únicamente los Datos Personales cuyo tratamiento este previamente autorizado, y que sean estrictamente necesarios para que cumpla sus labores;
Notificar al Encargado del Tratamiento, las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

6.3. Compromisos de la Compañía cuando obra como Encargado del Tratamiento y sus Encargados del Tratamiento:

Realizar oportunamente la actualización, rectificación o supresión de los Datos Personales en los términos establecidos en la ley.
Garantizar al titular el pleno y efectivo ejercicio del derecho de hábeas data.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; respetando los mínimos establecidos por el Responsable del Tratamiento.
Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir del recibo de la solicitud.
Tramitar las consultas y los reclamos formulados por los Titulares.
Abstenerse de circular información que esté siendo controvertida por el Titular y/o cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
Implementar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley.
Acatar las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Acatar las recomendaciones e instrucciones que efectúe el Responsable del Tratamiento.
Restringir el acceso a la información, de tal forma que solo puedan conocer las personas que sean necesarias.
Notificar al Responsable del Tratamiento y a la Superintendencia de Industria y Comercio, las violaciones a los códigos de seguridad y cuando existan riesgos en la administración de la información de los Titulares;

VII. Derechos de los titulares de los datos personales y procedimientos para el ejercicio de los mismos

A continuación, se describen los derechos de los titulares de Datos Personales, así como los procedimientos implementados por la Compañía para el ejercicio de los mismos.

7.1. Derechos de los Titulares:

Son derechos de los Titulares los siguientes:

Solicitar la prueba de la autorización otorgada al Responsable del Tratamiento, en relación con el Tratamiento de Datos Personales.
Interponer quejas ante la Superintendencia de Industria y Comercio por el incumplimiento de las presentes Políticas y/o de la normatividad vigente.
Revocar la autorización y/o solicitar la supresión del Dato Personal almacenado en cualquiera de las Bases de Datos.
Conocer, actualizar y rectificar los Datos Personales, cuando la información contenida sea parcial, inexacta, incompleta, fraccionada, errada o con la potencialidad inducir a error, o su Tratamiento esté expresamente prohibido o no haya sido autorizado.
Requerir al Responsable del Tratamiento, información relativa al uso o Tratamiento que le ha dado a sus Datos Personales.
Acceder sin costo alguno a los Datos Personales de los cuales es Titular, que estén incorporados en cualquiera de las Bases de Datos de la Compañía y que hayan sido objeto de Tratamiento por parte de la misma.
Conocer y ser informado al momento de solicitarse la Autorización, de la finalidad de la Base de Datos en la cual se incorporarán los Datos Personales, así como del que será dado a sus Datos Personales.
Ser informado de los derechos que le asisten, así como de los procedimientos para el ejercicio de los mismos.
Conocer la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento, así como del Encargado del tratamiento.
Los demás contenidos en la normatividad vigente.

7.2. Procedimientos para el ejercicio de los Derechos:

7.2.1. Autorizados para el ejercicio de los derechos: los derechos de los Titulares podrán ser ejercidos por las siguientes personas: Por el titular, los causahabientes, el representante y/o apoderado del Titular.

Para acreditar la calidad señalada, se deberá aportar el poder, registro civil, o el documento que les otorgue la capacidad para actuar. Quien presente la petición se denomonará en adelante y para efectos de la presente política como “Solicitante”.
7.2.2. Consulta de información: para el ejercicio del derecho de consulta, se seguirá el siguiente proceso:

Canal para presentar la solicitud: La solicitud de información, será presentada por parte del Solicitante a través del correo electrónico admauxiliar.inova@gmail.com.
Requisitos de la solicitud: La solicitud deberá contener por lo menos:

Descripción de la información que requiere conocer.
Datos de contacto.
Medio para recibir la respuesta.

Procedimiento: recibida la solicitud, el Oficial de Datos, en un término de 3 días hábiles validará si contiene la información necesaria para dar respuesta a la misma, pudiendo llegar a una de las siguientes conclusiones:

Si la petición no es clara, se comunicará con el Solicitante, para resolver las dudas.
Si concluyere que la Compañía no es competente, procederá a dar respuesta por escrito al Solicitante, exponiendo las razones.
Si la petición contuviere los elementos requeridos, procederá a correr el tiempo para la respuesta a la petición.

Término de respuesta: El Oficial de Datos contará con un plazo de 10 días hábiles contados a partir de la fecha de recibo efectivo de la solicitud. Si no fuere posible, se debe informar al Solicitante a través del Oficial de Datos, usando los datos de contacto suministrados, las razones por las cuales no fue posible emitir la misma. Una vez notificada, el término se prorrogará por un plazo no superior a 5 días hábiles siguientes al vencimiento del plazo inicial.
Contenido de la Respuesta: La respuesta debe abarcar todos los aspectos solicitados y debe ser entregada al Solicitante a través del medio por él señalado en la petición. Si el medio elegido es electrónico, el mismo debe ser sencillo y no comportar una barrera técnica para el Solicitante.
Prueba de notificación de la respuesta: El Oficial de Datos guardará en el medio que elija la Compañía, las constancias de recibo de la respuesta a la solicitud. De no ser posible notificar, se deberá dejar constancia de los procedimientos realizados para lograr la misma

Parágrafo: Las solicitudes de pruebas de la Autorización, se ceñirán al presente proceso.

7.2.3. Procedimiento para Reclamos: se ciñen a este procedimiento, las solicitudes de actualización, corrección o supresión de los Datos Personales contenidos en las Bases de Datos.

Solicitud: El reclamo deberá ser dirigido a la Sociedad como Responsable del Tratamiento de la Información, a través del correo electronicoadmauxiliar.inova@gmail.com. Si la Base de Datos es administrada por un Encargado del Tratamiento diferente al Responsable, y el reclamo versa sobre un Dato Personal contenido en dichas Bases de Datos, el Oficial de Datos remitirá al correo electrónico señalado por el Encargado del Tratamiento la solicitud respectiva.

En este último caso, el Oficial de Datos dejará expresa constancia del envío de la solicitud al tercero Encargado del Tratamiento, quien deberá atender la solicitud conforme los tiempos establecidos en las presentes políticas.
Canal para presentar el reclamo: El reclamo se presentará por parte del Solicitante, a través del correo electrónico admauxiliar.inova@gmail.com
Contenido del reclamo: La petición deberá contener por lo menos la siguiente información:

Nombre completo e identificación del Titular, su causahabiente o representante.
Relación detallada de los hechos o supuestos en los cuales fundamenta el reclamo.
Datos de notificación, es decir: la dirección, correo electrónico y número telefónico.
Documentos probatorios en los que se soporta la petición.

Procedimiento para atender la petición:

El Oficial de Datos recibirá la solicitud y en un lapso de 3 días hábiles determinará si la misma contiene la información necesaria para dar respuesta.

Si la petición no es clara se le informará al Solicitante, para resolver las dudas. Si la petición no reúne los requisitos, dentro de los tres (3) días siguientes a la recepción del reclamo, el Oficial de Datos, enviará una comunicación al Solicitante en la cual se detallen los elementos que debe subsanar el Titular; indicando de manera expresa que el mismo cuenta con un plazo de dos meses para acatar lo solicitado, so pena de que se entienda desistida la solicitud.

Si de la revisión se concluyere que la Compañía no es competente, procederá a dar respuesta por escrito al Solicitante, exponiendo las razones para el efecto, dentro de los dos días siguientes a la recepción de la solicitud.

Si la petición contuviere los elementos requeridos, procederá a contabilizarse el término para la respuesta de fondo.
La Compañía contará con un plazo de 8 días hábiles para realizar la respuesta a la petición, la cual deberá ser de fondo y resolver íntegramente los aspectos solicitados. Ahora bien, si estima necesario la compañía la validación del área jurídica, la misma tendrá un lapso de dos días para validar y emitir sus recomendaciones.

La respuesta deberá ser enviada al peticionario por correo electrónico o a través del medio designado por el Solicitante en su petición.

Plazos de respuesta: la Compañía en general, cuenta con un plazo de 15 días contados a partir de la recepción en debida forma de la misma, para dar respuesta íntegra a lo solicitado; plazo este que podrá ampliarse por 8 días más, si se le informa al peticionario la necesidad de prorrogar el término para dar respuesta.
Contenido de la Respuesta: La respuesta al reclamo debe responder de fondo y de manera íntegra todos los aspectos relacionados en la petición.

Si el medio de notificación de la respuesta fueren mecanismos digitales, deberá la Sociedad utilizar medios sencillos, que no comporten una barrera técnica de acceso para el Titular.
Prueba de notificación de la respuesta: la Compañía guardará las constancias de recibo de la respuesta a la reclamación. Si la respuesta fue remitida vía correo electrónico, se configurará el mismo, con la finalidad de que se remita aviso de lectura o recibo.

Si no fuere posible notificar al Titular la respuesta a la reclamación, se dejará constancia de los procedimientos realizados para el fin en mención.
Efectos de la solicitud de corrección: Para efectos de garantizar la integridad y veracidad de la información, mientras se encuentre en curso un reclamo, se deberá incorporar por parte del Responsable del Tratamiento en la Base de Datos respectiva, la leyenda “reclamo en trámite” y el motivo de esta. La anotación en mención, deberá ser realizada en un lapso de dos días hábiles siguientes a la solicitud, y deberá mantenerse hasta tanto no se emita una decisión sobre el particular.

VIII. Tratamiento de datos de carácter financiero

Siendo la Compañía consciente de la posibilidad de llegar a contar con Datos Personales relativos a la información financiera y crediticia, comercial, de servicios de los Titulares; ha decidido adoptar las directrices para el Tratamiento de dichos Datos Personales, conforme lo consagrado en la Ley Estatutaria 1266 de 2008.

8.1. Definición de Dato Personal de carácter Financiero:

Es aquel que versa sobre “Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, es decir aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen”.

8.2. Partes o sujetos en el tratamiento de Datos de Carácter Financiero:

“Titular”: Son las personas naturales o jurídicas denominadas en la Ley 1266 de 2008 como “Titulares de la Información”.
“Fuente de la Información”: “persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final” (Ley 1266 de 2008).
“Operador de información”: “persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley” (Ley 1266 de 2.008).
“Usuario”: “la persona natural o jurídica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información.” (Ley 1266 de 2.008).

Parágrafo Primero: De conformidad con lo anterior, IN-OVA podrá en principio ser Fuente de la Información, Operador de información y Usuario. No obstante, las calidades y labores señaladas, podrán delegarse en terceros, haciendo extensivos a los mismos las obligaciones propias de dicha condición, entre ellas las consagradas en el artículo 11 de la Ley 1266 de 2008.

8.3. Principios rectores:

Se dará observancia a los principios aquí consagrados, como los incorporados en la normatividad vigente.

8.4. Compromisos y Derechos propios de los Datos de Carácter Financiero:

8.4.1. Compromisos frente al Titular:

Frente a los operadores de los bancos de datos: Los indicados en el numeral 1 del artículo 6 de la Ley 1266 de 2008, y en las presentes políticas.
Frente a las fuentes de la información: Los indicados en las presentes políticas y en el numeral 2 del artículo 6 de la Ley 1266 de 2008.
Frente a los usuarios: Los prescritos en numeral 3 del artículo 6 de la Ley 1266 de 2008, y las presentes políticas.

8.4.2. Compromisos generales de la Fuente de la Información, Operador de información y Usuario: son los contenidos en el artículo 7 de la Ley 1266 de 2008 y los indicados en las presentes políticas.

8.5. Procedimientos para el ejercicio de los Derechos:

Personas facultadas para efectuar la solicitud: Serán solicitantes las siguientes personas: “(i) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley; (ir) a los usuarios de la información, dentro de los parámetros de la presente ley; (iii) a cualquier autoridad judicial, previa orden judicial; (iv) a las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones; (v) a los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.(vi) a otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular, y (vii) a otras personas autorizadas por la ley”.
Canales para radicación de la solicitud: La solicitud será remitida vía correo electrónico al correo admauxiliar.inova@gmail.com
Contenido de la solicitud: La solicitud deberá indicar: información requerida, medio en el cual desea sea entregada la información y los datos de contacto. Si no se especificare el alcance, se deberá remitir la totalidad de la información contenida en sus Bases de Datos, y el tratamiento dado a los mismos.
Plazos de respuesta: La Sociedad deberá proceder a dar respuesta a la solicitud dentro de los 10 días hábiles contados a partir de la fecha de recibo efectivo de la solicitud; plazo este que podrá prorrogarse por 5 días más, siempre que se informe de dicha condición al solicitante.
Contenido de la Respuesta: La respuesta dada por la Sociedad, deberá responder en su integridad los aspectos solicitados. La misma deberá ser entregada al Solicitante, a través del medio por el señalado en la petición. En todo caso, de elegirse como medio de respuesta mecanismos digitales, deberá la Sociedad utilizar medios sencillos, que no comporten una barrera técnica de acceso para el Titular.
Prueba de notificación de la respuesta: Se deberá guardar en el medio que a bien disponga la Compañía, las constancias de recibo de la respuesta a la solicitud.