POLÍTICA Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES FRIEDRICH- EBERT- STIFTUNG EN COLOMBIA – FESCOL CONTENIDO I. Objetivo de la política de tratamiento. II. Definiciones. III. Principios. IV. Finalidades del tratamiento. V. Autorización. VI. Procedimientos para el tratamiento de los datos personales. VII. Procedimiento para dudas, quejas o reclamos por parte de los Titulares VIII. Área responsable del tratamiento de datos personales. IX. Derechos del Titular de los datos personales. X. Deberes del responsable del tratamiento. XI. Implementación de la Política de Datos personales en FESCOL” XII. Vigencia de la política de tratamiento y de las bases de datos. 2 I. OBJETIVO DE LA POLÍTICA DE TRATAMIENTO Friedrich- Ebert- Stiftung en Colombia – FESCOL es una Entidad sin Ánimo de Lucro, conformada de acuerdo con las leyes de la República de Colombia. La empresa está identificada con el NIT. 830.141.670-0 y en adelante será referenciada como FESCOL, en el presente documento. FESCOL hace parte de Friedrich- Ebert- Stiftung- FES, en adelante FES, fundación política alemana con sede en Bonn y Berlín. En este sentido, la presente Política y procedimientos para el tratamiento de datos personales está regida y construida, en primer lugar, atendiendo a lo dispuesto tanto por el Reglamento General de Protección de Datos de la Unión Europea(GDPR), como por la Ley Estatutaria 1581 de 2012, de Colombia,“por la cual se dictan disposiciones generales para la protección de datos personales” y el Decreto Reglamentario 1377 de 2013“por el cual se reglamenta parcialmente la Ley 1581 de 2012”. En segundo lugar, en concordancia con la Política de Privacidad de la Central FES 1 . Por lo tanto, se han preparado y establecido las siguientes políticas internas orientadas al adecuado tratamiento y administración de los datos personales, los cuales serán recolectados y almacenados en sus bases de datos. El presente documento busca socializar y difundir dichas políticas entre todas las personas involucradas y/o relacionadas con las actividades administrativas, publicitarias, investigativas, junto con cualquier otra actividad que FESCOL desarrolle en el marco de su misión y objetivos 2 , en las que puedan existir recolección o tratamiento de datos personales. Por consiguiente, las políticas aquí previstas serán aplicables a toda persona natural, jurídicas o terceros que estén involucradas o lleguen a involucrarse de cualquier manera con FESCOL y que puedan llegar a tener alguna participación en la recolección o tratamiento de datos personales. En conformidad con los artículos 3°y 5° de la Ley Estatutaria 1581 de 2012,“por la cual se dictan disposiciones generales para la protección de datos personales”, para la presente política se tendrán en cuenta las siguientes definiciones: 1. En el siguiente enlace se puede consultar la Política de Privacidad de FES: https://geneva.fes.de/privacy-policy 2. En el siguiente enlace se puede la misión y objetivos, así como los ejes temáticos y la historia, de FESCOL: https:// colombia.fes.de/quienes-somos 3 II. DEFINICIONES • Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. • Titular: Persona natural cuyos datos personales sean objeto de tratamiento. • Dato Sensible: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación. Estos son aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. • Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento. • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales. • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. • Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos. • Encargado del tratamiento: Persona natural o jurídica, pública o privada que por sí misma, o en asocio con otros, realice el tratamiento de datos personales, por cuenta del responsable del tratamiento. 4 III. PRINCIPIOS A partir de lo establecido en el Artículo 4 de la Ley Estatutaria 1581 de 2012 y en la sentencia C-784-11 6 de octubre de 2011 de la Corte Constitucional los principios que rigen esta política son los siguientes: a) De legalidad en materia de tratamiento de datos: El tratamiento a que se refiere la Ley 1581 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen, así como a lo dispuesto en la presente Política. b) De finalidad: El tratamiento debe obedecer a las finalidades legítimas que se consagran tanto en esta política, la cual debe ser informada al Titular. c) De libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Además,“(i) los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del Titular. Es decir, no está permitido el consentimiento tácito del Titular del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de autoridad judicial,(ii) el consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información y(iii) el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez”(Corte Constitucional, sentencia C-328/19). d) De transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Además,“debe precisarse que la información que debe ofrecerse al Titular de los datos debe ser cualificada y por tanto cuando procese datos personales, el Responsable o encargado del tratamiento de datos debe ofrecer, como mínimo, la siguiente información a la persona afectada:(i) información sobre la identidad del controlador de datos,(ii) el propósito del procesamiento de los datos personales,(iii) a quien se 5 podrán revelar los datos,(iv) cómo la persona afectada puede ejercer cualquier derecho que le otorgue la legislación sobre protección de datos, y(v) toda otra información necesaria para el justo procesamiento de los datos. De otra parte, debe entenderse que no sólo existe un derecho del Titular del dato de acceder a su información, sino que esta garantía implica que cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el Titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el Titular reúne los requisitos que el orden jurídico exige para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos”(Corte Constitucional, sentencia C-328/19). e) De acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley. Además,“el manejo de información no pública debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De lo contrario, tanto el responsable como el encargado del tratamiento serán los responsables de los perjuicios causados al Titular”(Corte Constitucional, sentencia C-328/19). f) De veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. g) De seguridad: La información sujeta a tratamiento por el responsable y/o encargado del tratamiento, será manejada con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. h) De confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley. 6 IV. FINALIDADES DEL TRATAMIENTO Los datos personales en posesión de FESCOL de los Titulares son recolectados, almacenados, usados y, excepcionalmente, puestos en circulación, por la compañía en desarrollo de su objeto social, con la finalidad de: • Elaborar estudios estadísticos, demográficos o socioculturales. • Evaluar la calidad de sus productos y/o servicios. • Verificar los datos a través de consulta de bases de datos públicas o centrales de riesgos. • Enviar información sobre actividades desarrolladas por FESCOL. • Enviar información que se considere de interés como invitaciones a eventos públicos, invitaciones a eventos cerrados y la socialización documentos, Publicaciones y News letter, a través de diferentes medios • Enviar información de interés a través de las redes sociales mediante procesos de etiquetación o mensaje directo. 7 • Actividades con las contrapartes de FES en América Latina y El Caribe, Norteamérica y Europa necesarias para el cumplimiento de nuestra misión y visión • Dar cumplimiento a las obligaciones legales de información a los entes administrativos, así como a las autoridades competentes que así lo requieran. • Compartir con terceros que colaboran con la FESCOL y que para el cumplimiento de sus funciones deban acceder en alguna medida a la información. • Soportar los procesos de auditoría de FESCOL. • Garantizar una correcta ejecución del contrato que se haya celebrado con el Titular de los datos personales. • Dar cumplimiento a las obligaciones contraídas con sus clientes, proveedores y empleados. • Dar correcta ejecución al objeto social de FESCOL. • Cualquier otra finalidad que llegare a resultar en desarrollo del contrato o relación comercial o laboral existente entre la FESCOL y el Titular. V. AUTORIZACIÓN FESCOL, al momento de la recolección de datos personales, solicitará una autorización a los Titulares tras informarles sobre las finalidades específicas del tratamiento. Con lo que se obtiene así dicho consentimiento. La autorización por parte del Titular se recogerá de manera escrita o oral. FESCOL conservará la prueba de dichas autorizaciones de forma adecuada, respetando los principios establecido en el acápite II de la presente política. 8 VI. PROCEDIMIENTOS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES FESCOL realiza la recolección de datos personales a través de documentos tras previa autorización y consentimiento del Titular. Esto son almacenado a través de software debidamente licenciado, el cual es suministrado por proveedores especializados en la materia, con quienes se suscriben acuerdos de confidencialidad para la adecuada protección de la información. FESCOL implementará el aviso de privacidad al momento de recolectar datos personales. Las características del aviso de privacidad estarán contenidas en la sección“X.I Implementación de la Política de Datos personales en FESCOL”. Toda recolección de datos buscará que todo Dato Personal sometido a Tratamiento sea veraz, completo, exacto, actualizado, comprobable y comprensible. Los Datos Personales solo serán Tratados por aquellos Funcionarios de FESCOL que cuenten con el permiso para ello, o quienes dentro de sus funciones tengan a cargo la realización de tales actividades o por los Encargados. FESCOL no hará disponibles Datos Personales para su acceso a través de Internet u otros medios masivos de comunicación, a menos que se trate de información pública o que se establezcan medidas técnicas que permitan controlar el acceso y restringirlo solo a las personas autorizadas por ley o por el titular. FESCOL mantendrá la información bajo estas características siempre y cuando el titular informe oportunamente sus novedades. FESCOL puede autorizar a un administrador de bases de datos para realizar el tratamiento solicitado por el Titular de la información. Cuando finalice alguna de la labores de tratamiento de Datos Personales por los Servidores, contratistas o Encargados del tratamiento, y aun después de finalizado su vínculo o relación contractual con FESCOL, éstos están obligados a mantener la reserva de la información de acuerdo con la normatividad vigente en la materia. 9 VII. PROCEDIMIENTO PARA DUDAS, QUEJAS O RECLAMOS POR PARTE DE LOS TITULARES Con el fin de proteger y mantener la confidencialidad de los datos personales de los Titulares, en cuanto al procedimiento para conocer la información y el procedimiento para actualizar, rectificar y suprimir la información o atención de reclamos, FESCOL establece que: Por un lado, aquel que desee conocer la información que FESCOL almacenada en sus bases de datos deberá enviar una comunicación al correo electrónico mgarcia@fescol.org.co. Es este, debe manifestar la intensión de conocer la información que FESCOL posee y además debe brindar un correo electrónico donde se pueda enviar respuesta. A su vez, esta comunicación debe estar suscrita por(i) el Titular, quien deberá acreditar su identidad en forma suficiente;(ii) los causahabientes del Titular, quienes deberán acreditar tal calidad;(iii) el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento; o(iv) por estipulación a favor de otro o para otro(en adelante y en su conjunto los“interesados”). Por otro lado, aquel individuo que lo desee podrá solicitar a FESCOL la actualización, rectificación o supresión de sus datos y/o revocar la autorización del tratamiento por parte de la compañía de estos, mediante la presentación de un reclamo al correo electrónico mgarcia@fescol.org.co. En este comunicado se debe especificar los hechos que dan lugar al reclamo, la dirección física o correo electrónico en el que se debe dar respuesta y los documentos que se quiera hacer valer. El área responsable dará respuesta al Titular o al interesado, en un término máximo de quince(15) días hábiles. contados a partir de la fecha de recibo de esta, al correo electrónico que haya sido especificado en la solicitud. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al Titular o al interesado, expresando los motivos de la demora y señalando la fecha en la que se atenderá la consulta, caso en el cual el tiempo de respuesta se extenderá en cinco días hábiles adicionales. Esta consulta es gratuita, siempre y cuando sea(i) máximo una vez cada mes calendario o(ii) se realice con motivo de una modificación sustancial de la presente política. En caso de que la consulta se haga con una periodicidad menor a la establecida, la compañía podrá cobrar al Titular o interesado los gastos de envío, reproducción y, en su caso, certificación de documentos, en que haya incurrido para el efecto. 10 VIII. ÁREA RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES El área de administración será la encargada de recibir las solicitudes, quejas o reclamos de los Titulares de los datos personales o demás interesados. Esta área se encargará de realizar el manejo interno que sea necesario a efectos de garantizar una respuesta clara, eficiente y oportuna al Titular del dato o los demás interesados. En todo tiempo el Titular o los interesados pueden contactarse con estas áreas para ejercer sus derechos a conocer, actualizar, rectificar y suprimir los datos y revocar la autorización. IX. DERECHOS DEL TITULAR DE LOS DATOS PERSONALES De acuerdo con el artículo 8 de Ley 1581 de 2012, todo Titular de datos personales tendrá los siguientes derechos: a. Conocer, actualizar y rectificar sus datos personales frente a los responsables y/o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado. b. Solicitar prueba de la autorización otorgada al responsable del tratamiento, salvo cuando expresamente se exceptúe este requisito para el tratamiento, de conformidad con lo previsto en esta Política y en el artículo 10 de la Ley 1581 de 2012. 11 c. Ser informado por el responsable y/o encargado del tratamiento, previa solicitud, respecto del uso que se les ha dado a sus datos personales. d. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la normatividad vigente. e. Revocar la autorización y/o solicitar la supresión del dato. f. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento. Los derechos antes mencionados podrán ser ejercidos por el Titular cualquiera de los interesados. X. DEBERES DEL RESPONSABLE DEL TRATAMIENTO De acuerdo con el art. 17 de la Ley 1581 de 2012, el responsable del tratamiento tendrá los siguientes deberes: a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data. b. Solicitar y conservar, en las condiciones previstas en esta Política y en la Ley, copia de la respectiva autorización otorgada por el Titular. 12 c. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. e. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento. g. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado. h. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. i. Tramitar las consultas y reclamos del Titular o los interesados. j. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. k. Informar al Titular o a los interesados, previa solicitud, sobre el uso dado a sus datos. l. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. m. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 13 XI. IMPLEMENTACIÓN DE LA POLÍTICA DE DATOS PERSONALES EN FESCOL” En todo evento o documento en el que FESCOL requiera los datos personales de un Titular se usará un Aviso de Privacidad diseñado por FESCOL con el fin de explicar y notificar al titular sobre el uso que se les dará a sus datos personales. Este cuenta con la siguiente estructura: “La Friedrich- Ebert- Stiftung en Colombia – FESCOL en cumplimiento de lo establecido por las leyes que rigen la protección y uso de datos personales será el Responsable del tratamiento y, en tal virtud, podrá recolectar, almacenar y usar la información personal recolectada para el envío de invitaciones a eventos públicos, Invitaciones a eventos cerrados y la socialización documentos, Publicaciones y News letter. Como titular de información tiene derecho a conocer, actualizar y rectificar sus datos personales y en los casos en que sea procedente, a suprimirlos o revocar la autorización otorgada para su tratamiento. Si desea más información puede comunicarse al correo: mgarcia@fescol.org.co”. XII. VIGENCIA DE LA POLÍTICA DE TRATAMIENTO Y DE LAS BASES DE DATOS Y OTROS La presente política rige a partir de la fecha de su publicación. Toda información no contemplada en la presente política se reglamentará de acuerdo al Régimen General de Protección de Datos Personales vigente en Colombia. Las políticas establecidas por FESCOL respecto al tratamiento de Datos Personales podrán ser modificadas en cualquier momento. Toda modificación se realizará con apego a la normatividad legal vigente, y las mismas entrarán en vigencia y tendrán efectos desde su publicación a través de los mecanismos dispuestos por FESCOL para que los titulares conozcan la política de tratamiento de la información y los cambios que se produzcan en ella. 14 LA FES SE COMPROMETE A TOMAR LAS MEDIDAS TÉCNICAS NECESARIAS Y ADECUADAS PARA GARANTIZAR LA PROTECCIÓN DE DATOS. https://colombia.fes.de Teléfonos(571) 347 30 77 E-mail: fescol@fescol.org.co Calle 71 No. 11-90 Bogotá, D.C. Colombia 15