Procedimiento

1. INTRODUCCIÓN
El presente Manual responde a regular el tratamiento de la información personal recolectada y administrada por CDC. Su elaboración responde al cumplimiento de las obligaciones previstas en el Decreto 1377 de 2013 y con él se busca garantizar el derecho fundamental de habeas data y todos aquellos regulados mediante la Ley 1581 de 2012. El manual documenta y recoge la forma organizacional que se ha adoptado para plasmar los procedimientos estandarizados de recolección, custodia y tratamiento de los datos personales.

1.1 NOMBRE E IDENTIFICACIÓN DE LA EMPRESA
NOMBRE: Compañía Distribuidora de Carga CDC LTDA
NIT: 900087921-7
DIRECCIÓN: Calle 14 # 12-30
TEL: (032) 7211733
CONTACTO: www.companiadisdecarga.com/

1.2 MARCO LEGAL
Este manual se ha elaborado en desarrollo de las disposiciones contenidas en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012 “Ley de Protección de Datos Personales (Habeas Data) y el Decreto 1377 del 27 de junio de 2013 del Ministerio de Comercio, Industria y Turismo.
Los principios y disposiciones contenidas en el presente documento serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de CDC.

2. OBJETIVO
El objeto de la creación del presente manual es el de dar cumplimiento a lo preceptuado en el literal k) del artículo 17 de la Ley 1581 de 2012 que hace referencia a la adopción de un manual interno de políticas y procedimientos para garantizar la adecuada atención de reclamos y el adecuado tratamiento de la información. Las disposiciones del Manual, aplican en lo pertinente a cualquier labor de recolección de información personal desarrollada por CDC independientemente del fin que persiga dicha recopilación.

3. ALCANCE
Este documento aplica para el tratamiento de los datos personales que obtenga y administre CDC de bases de datos personales de clientes, trabajadores, proveedores, usuarios, contactos o seguidores de cualquier red social en la que participe CDC.
4. DEFINICIONES

• Aviso de privacidad: comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
• Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
• Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento
• Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato público: es el dato que no sea semi-privado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
• Datos sensibles: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.
• Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
• Habeas Data: es el derecho que tiene toda persona para conocer, actualizar y rectificar toda aquella información que se relacione con ella y que se recopile o almacene en centrales de información.
• Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
• Titular: persona natural cuyos datos personales sean objeto de Tratamiento; Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
• Transferencia: la transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
• Transmisión: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

5. RESPONSABLES
La aprobación de este manual es responsabilidad de Gerencia y su aplicación es responsabilidad de los trabajadores de CDC.
Los dueños o líderes de procesos son los responsables de la seguridad de los datos personales e institucionales manejados en la base de datos y/o archivo del área respectiva.

6. POLÍTICA DE TRATAMIENTO DE PROTECCIÓN DE DATOS PERSONALES (GDC-FOR-24)
CDC decide alinear todo su sistema de Gestión de Calidad en la mejora continua, por lo anterior implementa la Política de Tratamiento de datos personales dando cumplimiento a la Ley estatutaria 1581 de 2012 “por la cual se dictan disposiciones generales para la protección de datos personales” y el Decreto 1377 de 2013 “por el cual se reglamenta parcialmente la Ley 1581 de 2012”, la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el ejercicio de las actividades contractuales, comerciales o laborales.
Por lo anterior CDC manifiesta que garantiza los derechos de la privacidad, la intimidad, el buen nombre y la autonomía en el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Los principios y disposiciones contenidas en este documento serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de CDC en donde todas las personas que en desarrollo de diferentes actividades contractuales, comerciales, laborales, entre otras, sean permanentes u ocasionales, llegaran a suministrar a CDC cualquier tipo de información o dato personal, podrá conocerla, actualizarla y rectificarla.

7. DESCRIPCIÓN
7.1 PRINCIPIOS
Los principios que a continuación se mencionan regulan el tratamiento de la información desarrollada por CDC, puntualmente frente al almacenamiento, uso y tratamiento de datos personales:
a. Colaboración con la autoridad: CDC cooperara con las autoridades competentes en materia protección de datos, para garantizar el cumplimiento de las leyes.
b. Finalidad: El uso, almacenamiento y tratamiento deben tener un fin específico e informado al titular en forma previa a su entrega.
c. Libertad: El tratamiento solo se podrá llevar a cabo de acuerdo a con el consentimiento previo, expreso e informado del titular en el caso de nuevos participantes.
d. Transparencia: En todo momento CDC pondrá a disposición de los titulares todos los mecanismos idóneos con el fin de garantizar la información acerca de los datos personales que se encuentran consignados en las Bases de Datos.
e. Veracidad: En todo momento la información contenida en las bases de datos será veraz e inequívoca, completa, exacta y actualizada. No se utilizarán datos incompletos o fraccionados que puedan inducir a un error. El Titular podrá solicitar en cualquier momento la corrección, actualización o supresión de la información.
f. Privacidad: Los datos personales no estarán disponibles en ningún medio de divulgación pública o masiva en respeto del derecho a la privacidad. CDC no venderá ni compartirá la información por fuera de los límites y condiciones previstas en este reglamento.
g. Seguridad: CDC desplegará todos los medios e implementará todas las herramientas útiles y pertinentes para el aseguramiento de los registros contenidos en las bases de datos para evitar cualquier fuga o tratamiento errado de la información.
h. Confidencialidad: CDC garantizará que todas las personas intervinientes en el tratamiento de la información serán objeto de control y supervisión, inclusive, luego de finalizada su relación con las labores que comprenden dicho tratamiento.

7.2 AUTORIZACIÓN
En concordancia con lo previsto en la ley 1581 de 2012 y el decreto reglamentario 1377 de 2013, el uso, la recolección y el almacenamiento de datos personales por parte de CDC debe contar con una autorización donde se manifieste el consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos personales. Por lo anterior, CDC ha optado por usar el mecanismo previsto en el artículo 10 del decreto reglamentario 1377 de 2013. no recolectará, almacenará ni tratará datos personales pertenecientes a menores de edad.

7.3 PRUEBA DE LA AUTORIZACIÓN.
CDC pondrá en Funcionamiento todos los mecanismos idóneos con el fin de permitir a los titulares otorgar su autorización para el tratamiento de datos personales.
7.4 DERECHOS Y DEBERES DE LOS TITULARES DE LA INFORMACIÓN
De acuerdo con lo contemplado por la normativa vigente aplicable en materia de tratamiento de datos, los titulares de los datos personales, tienen todos los derechos que establece la ley 1581 de 2012 y el decreto reglamentario 1377 de 2013, como son entre otros, acceder, conocer, actualizar, rectificar o suprimir sus datos personales; solicitar prueba de la autorización; ser informado previa solicitud, respecto del uso que se le ha dado a sus datos personales y presentar ante la Superintendencia de Industria y Comercio, quejas por infracciones a lo dispuesto en la ley 1581 de 2012. CDC garantiza a los titulares de los datos personales el acceso para su conocimiento y actualización, a través de medios idóneos para tal fin.
Según el artículo tercero sobre los derechos del Titular, la Empresa CDC en el Tratamiento de datos personales se respetará los derechos del Titular de la información contenidos en el artículo 8° de la Ley 1581 de 2012, los cuales son:
1- Como titular de datos personales usted tiene derecho a conocer, actualizar, rectificar y suprimir mi información personal, así como el derecho a revocar el consentimiento otorgado para el tratamiento de datos personales; este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

2- Solicitar prueba de la autorización otorgada al responsable del tratamiento, salvo/ cuando expresamente se exceptúe como requisito para et tratamiento, de conformidad con lo previsto en el Artículo 10 de la Ley 1581 de 2012.

4- Revocar la autorización otorgada a CDC para detener el tratamiento de los datos personales de los titulares.

5- Solicitar la supresión de sus datos personales de las bases de datos de CDC.

6- Acceder en forma gratuita a los datos personales propios que reposen en la base de datos de CDC.

7- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.

8- Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la Ley o a la Constitución.

9- Los derechos pueden ser ejercidos a través de los canales gratuitos dispuestos por la empresa y observando la Política de Tratamiento de Datos Personales de la empresa.

10- Para cualquier inquietud o información adicional relacionada con el tratamiento de datos personales, puede contactarse al correo electrónico info@cdclogistica.com.

11- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

7.5 DEBERES DE CDC RESPECTO EL TRATAMIENTO DE LOS DATOS PERSONALES.

En su condición de responsable de la información CDC es consciente de la importancia de observar las políticas y protocolos tendientes a proteger los datos personales de los titulares, toda vez que los mismos son propiedad de las personas a las que se refieren y que solo ellas mismas pueden decidir sobre el uso que se va a dar a dichos datos. CDC solo hará uso de los datos personales para las finalidades expresadas por el titular, en respeto de la ley 1581 de 2012 que versa sobre la protección de datos personales puntualmente a lo mencionado en el artículo 17. Por tanto, CDC se compromete a cumplir a cabalidad y de forma permanente con los preceptos del artículo cuarto sobre los deberes de los responsables del tratamiento que a continuación se mencionan:

1- Garantizar al titular de forma indefinida y permanente el pleno y efectivo respeto de sus derechos referidos a sus datos personales.
2- Conservar la información bajo estrictas medidas de seguridad con el fin de impedir pérdida, consulta uso o acceso no permitido o fraudulento.
3- Tramitar las consultas y reclamos interpuestos por los titulares de la información en los términos que para ello tiene fijado el artículo 14 de la Ley 1581 de 2012 en cuanto al tiempo de respuesta.
4- Cuando se eleve petición, queja o reclamo a través de carta se insertará en la base de datos el texto: “Reclamo en trámite” hasta que se emita una respuesta al titular de la información.
5- Permitir el acceso a la información únicamente a las personas que con ocasión de sus labores como empleados de CDC deban tener dicho acceso.
6- Informar oportunamente a la Superintendencia de Industria y Comercio cuando se presenten eventuales violaciones a los protocolos de seguridad de la información o existan riesgos en la administración de la información entregada por los titulares.
7- Cumplir estrictamente con la Ley 1581 de 2012 al igual que con los decretos que la reglamenten al igual que con todos los requerimientos realizados por la Superintendencia de Industria y Comercio.

7.6 ATENCIÓN DE CONSULTAS Y RECLAMACIÓN
Considerando que el titular de la información les asiste el derecho de hacer reclamaciones acerca su información personal que reposa en las bases de datos de CDC, para ello se ha diseñado e implementado lo que a continuación se describe en dos frentes tales como el de reclamaciones acerca de consultas personales, solicitudes de autorización de la información y uso de los datos y como segundo frente el de atención a solicitud de corrección, autorización o supresión de datos.

• Según el artículo quinto, la dependencia responsable de la atención de peticiones, consultas y reclamos ante la cual el Titular puede ejercer sus derechos a conocer, actualizar, rectificar, suprimir el dato o rectificar la Autorización en los términos de Ley, es la Gerencia de la Empresa CDC con Oficinas en la calle 14 # 12-30, de la ciudad de Pasto correo electrónico: info@cdclogistica.com.
• Según el artículo sexto, el Titular de la Información para efectos de garantizar la seguridad de la información, podrá optar por realizar la solicitud personalmente o por escrito. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

• PARÁGRAFO I. En caso que el Titular realice la consulta personalmente ante el área responsable de la atención de peticiones y reclamos, deberá identificarse con su cédula de ciudadanía o documento equivalente.

• PARÁGRAFO II. En caso que el Titular presente su consulta por escrito, el documento deberá contar con diligencia ante notaria (o autoridad competente) con presentación personal y reconocimiento del contenido. En el escrito se deberá indicar la dirección del peticionario, y adjuntar copia del documento de identificación personal. Si la consulta es realizada mediante autorizado o apoderado se deberá adjuntar original de la Autorización o poder del Titular de los datos, autenticada ante notario público y el documento de identificación personal del autorizado o apoderado.

• PARÁGRAFO III: En caso que la consulta se refiera a un Titular fallecido, el cónyuge, compañero permanente, hijo o familiar deben presentar solicitud escrita debidamente autenticada, acompañando el certificado de defunción del Titular de la información.

• Según el artículo séptimo, el Titular o sus herederos que consideren que la información contenida en una Base de Datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 del 2012, podrán presentar un reclamo escrito ante el área responsable.

7.7 AUTORIZACIÓN
Según el artículo octavo, el Tratamiento de información por parte de la Empresa CDC requiere el consentimiento libre, previo, expreso e informado del Titular de la Información. La Empresa CDC, en su condición de Responsable del Tratamiento de datos personales, ha dispuesto los mecanismos necesarios para obtener la Autorización de los Titulares garantizando en todo caso que la Autorización sea susceptible de posterior consulta.

PARÁGRAFO: Los datos de Naturaleza Pública, de conformidad con lo señalado en el literal b) del artículo 10 de la Ley 1581 de 2012, no requieren Autorización del Titular de la Información.

Según el artículo noveno, mediante el Aviso de privacidad se informa al Titular la información relativa a la existencia de las políticas de Tratamiento de información contenidas en el presente manual, así como las características del Tratamiento que se le dará a los datos personales.

7.8 TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y FINALIDAD DEL MISMO

El tratamiento de los datos personales de cualquier persona con la cual CDC estableciera una relación, permanente u ocasional, lo realizará en el marco legal que regula frente al tratamiento de la Información de datos personales necesarios para el cumplimiento de la misión de la empresa.

* La empresa actuará como Responsable del Tratamiento de datos personales de los cuales soy titular y que, conjunta o separadamente podrán recolectar, usar y tratar mis datos personales conforme la Política de Tratamiento de Datos Personales que la empresa disponible en: http://www.companiadisdecarga.com/
* Es de carácter voluntario responder preguntas que versen sobre Datos Sensibles o sobre menores de edad.
* Sus datos personales serán tratados para desarrollar las actividades propias de los contratos celebrados.
* Ofrecer servicios que CDC LTDA. ha adherido, presta y/o suministra y en conformidad con su objeto social y su portafolio de servicios
* Realizar a campañas comerciales y actividades de mercadeo en relación con los servicios prestados.
*Realizar contactos encaminados a la medición del nivel de satisfacción del Cliente respecto de los productos y servicios.

7.9 SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN
7.9.1 Información almacenada en medio electrónico.
Para el almacenamiento de los datos electrónicos, la Compañía cuenta con un servidor propio el cual administrar la información generada en cada una de las áreas de la empresa. Cada equipo de computo es protegido a través de contraseñas con perfiles de acceso definidos según el rol de cada usuario del administrador.
El acceso a los archivos de datos está totalmente restringido y sólo es autorizado al personal de Sistemas para efectos de realizar las tareas de respaldo de la información.

Los aplicativos y archivos electrónicos de la compañía están alojados en un servidor propio cuyo acceso físico y lógico es restringido por el administrador de sistemas., que para este caso es el Jefe de Innovación y Tecnología.

7.9.2 Información almacenada en medio físico.
Para el almacenamiento de los datos físicos, la Compañía cuenta con carpetas en cada área asignada las cuales son custodiadas y con de acceso restringido.

Para el caso de carpetas o información inactiva es custodiada en un cuarto destinado para archivo, el cual tiene acceso restringido.

7.9.3 Confidencialidad de la información.
Sobre este aspecto la compañía ha implementado en sus contratos de trabajo políticas relacionadas con el manejo adecuado de la información que cada colaborador accede desde su puesto de trabajo.

7.9.4 Tiempo de permanencia y disposición final de la información.
CDC aplicará la norma legal específica de conservación de la información personal con miras a garantizar su permanencia y disposición final de acuerdo también con las políticas internas de calidad.

7.9.5 Transferencia y transmisión de datos personales
CDC cumple con lo establecido en el artículo 26 de la Ley Estatutaria 1581 de 2012 se abstiene de transferir datos personales de los Titulares a otros países.

8 DOCUMENTOS REFERENTES

• POLÍTICA DE TRATAMIENTO DE PROTECCIÓN DE DATOS PERSONALES (GDC-FOR-24)
• AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES (GDC-FOR-25).
• AVISO DE PRIVACIDAD PARA EL TRATAMIENTO DE DATOS PERSONALES (GDC-FOR-26).

9. CONTROL DE CAMBIOS

Elaborado por:

ALEXANDRA ROSERO GÓMEZ
JEFE GESTIÓN DE CALIDAD.
Revisado por:
EDILBERTO RAMIRO OVIEDO
GERENTE
Aprobado por:
EDILBERTO RAMIRO OVIEDO
GERENTE