Política de privacidad y tratamiento de datos

Política de Proteccion de Datos Personales

Resolucion 517 del 14 de abril de 2020

POLITICA DE PROTECCION DE DATOS PERSONALES

La Corporación Autónoma Regional del Quindío- CRQ, dando cumplimiento a la Ley 1581 de 2012 y el decreto reglamentario 1377 de 2013, ha adoptado la política para el tratamiento de los datos personales.

POLITICA PRIVACIDAD Y CONFIDENCIALIDAD

La Corporación Autónoma Regional del Quindío- CRQ, conservará bajo las normas del tratamiento de datos personales, la información de sus usuarios, proveedores, empleados, contratistas y ciudadanía, que ha sido recolectada en el desarrollo de sus funciones, en el momento en que el usuario ha tenido contacto con la Corporación.

MARCO LEGAL

La protección de datos personales está consagrada en la Constitución Política de Colombia, como el derecho fundamental que tienen todas las personas a: conservar su intimidad personal y familiar, al buen nombre y a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellos en bancos de datos y en archivos de las entidades públicas y privadas.

Desde su concepción constitucional, este derecho está vinculado a otras garantías como la honra, la intimidad, la reputación, el libre desarrollo de la personalidad y el buen nombre. No obstante, se ha consolidado como un derecho autónomo catalogado como Habeas Data. El ámbito de protección de este derecho no abarca cualquier tipo de información que se relacione con una persona, este depende de un entorno vinculado con la administración de bases de datos personales.

Esta Política de Protección de Datos Personales ha sido elaborada en aplicación de las siguientes normas y documentos:

– Art. 15 de la Constitución Política de Colombia.
– Ley 1581 de 2012.
– Ley 1273 de 2009.
– Ley 1266 de 2008.
– Decretos Nos 1727 de 2009, 2952 de 2010 y 1377 de 2013.
– Avisos de Privacidad.

OBJETIVO DE LA POLÍTICA

Con la implementación de esta política en la Corporación, se busca asegurar que los datos personales no sean informados y utilizados por terceros sin contar con la previa, expresa y libre autorización del titular de la información. Así como determinar las condiciones de organización, obligaciones de los implicados en el tratamiento de datos y de información de carácter personal, así como el procedimiento aplicable al tratamiento de datos personales que en desarrollo de las funciones como CORPORACIÓN AUTONOMA REGIONAL, tenga que solicitar, utilizar, almacenar, corregir, actualizar, ceder o suprimir.

AMBITO DE APLICACIÓN

La presente política para la Protección de Datos Personales, se aplicará únicamente para la CORPORACIÓN AUTÓNOMA REGIONAL DEL QUINDÍO”. Regirá sobre todos los datos personales recolectados y obtenidos de forma presencial, no presencial o virtual para cualquier solicitud o servicio que presente la Corporación.

La CRQ, se encarga directamente de la administración y custodia de los Datos Personales, no obstante si así llegará considerarse conveniente, se podrá reservar el derecho de delegar a un tercero el tratamiento y atención a las reclamaciones relacionadas con Protección de Datos, exigiendo así al encargado, la atención e implementación de las directrices y procedimientos bajo estricta confidencialidad.

DEFINICIONES

Para los efectos de la presente política se tendrán en cuenta las siguientes definiciones:

Autorización: Consentimiento previo, expreso e información del titular para llevar a cabo el tratamiento de datos personales.

Aviso de privacidad: Comunicación dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento.

Dato personal: información que pueda asociarse a una o varias personas determinadas.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

Datos sensibles: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por si misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o a través de un tercero, decida sobre la base de datos y/o el Tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la Republica de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

Guardador de Protección de Datos: Es el funcionario de la OACI, que dentro de la entidad tiene la función de vigilancia y control de la aplicación y efectividad de la Política de Protección de Datos Personales, el cual será designado por el Comité de Seguridad de la Información.

Comité de Seguridad de la Información: Será parte del CIGD (Comité Institucional de Gestión y Desempeño), dentro de sus funciones principales se encuentran solicitar los informes de seguimiento al Guardador de Protección de Datos, analizar el avance y efectividad de la aplicación de la Política de Protección de Datos, proponer y sugerir mejoras y actualizaciones a la Política de Protección de Datos, proponer acciones correctivas o de emergencia ante cualquier novedad o riesgo en relación a la administración y seguridad de la información de la CRQ. Se reunirá mínimo una vez al año.

PRINCIPIOS

La Corporación Autónoma Regional del Quindío- CRQ, aplicará de forma integral para el tratamiento de los datos personales los siguientes principios.

Principio de legalidad en materia de tratamiento de datos: El tratamiento de los datos personales deberá estar sujeta a las disposiciones legales vigentes y aplicables.

Principio de finalidad: La Corporación Autónoma Regional del Quindío- CRQ, acatará a una finalidad legitima en consonancia con la Constitución Política de Colombia, la cual deberá ser informada al respectivo titular de los datos personales.

Principio de libertad: El tratamiento de los datos personales solo puede realizarse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.

Principio de veracidad o calidad: La información sujeta a tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia: La Corporación Autónoma Regional del Quindío- CRQ, garantizara al Titular su derecho de obtener en cualquier momento y sin restricciones información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.

Principio de acceso y circulación restringida: El tratamiento de datos personales se sujeta a los límites que se derivan de la naturaleza de estos, de las disposiciones de la ley y la Constitución. En consecuencia, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley. Para estos propósitos la obligación de la Corporación será de medio.

Principio de seguridad: La Corporación Autónoma Regional del Quindío- CRQ, deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: Todas las personas que en la Corporación Autónoma Regional del Quindío- CRQ, administren, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en bases de datos, están obligadas a garantizar la reserva de la información, por lo que se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros, toda la información que llegaren a conocer en la ejecución y ejercicio de sus funciones; salvo cuando se trate de actividades autorizadas expresamente por la ley de protección de datos. Esta obligación persiste y se mantendrá inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.

CLASIFICACIÓN Y CARACTERIZACIÓN DE LAS BASES DE DATOS ADMINISTRADAS POR LA CRQ

La CRQ clasificará sus bases de datos tomando en cuenta que las mismas serán ordenadas y clasificadas en cumplimiento del deber misional de la CRQ.

TRATAMIENTO DE DATOS PERSONALES

Tratamiento de Datos Públicos: La CRQ, advierte que tratará sin previa autorización del titular, los datos personales de naturaleza pública y aquellos que sean allegados o que se encuentren contenidos en registros públicos. Esta disposición no implica que no se adopten las medidas necesarias para la protección efectiva consagrada en la Ley 1581 de 2012 y demás normas aplicables a la materia.

Tratamiento a los Datos Sensibles: La CRQ restringirá el tratamiento de datos personales sensibles a lo estrictamente necesario e indispensable y solicitará autorización previa, expresa e informada a los titulares (representantes legales, apoderados, curador), informando sobre la finalidad exclusiva del tratamiento que se pretende.

La CRQ tratará los datos sensibles cuando:

  1. Cuando hayan sido autorizados por el titular salvo en las excepciones que por ley establezcan que no se requiere dicha autorización.
  2. El tratamiento sea necesario para salvaguardar la vida o salud del titular y este se encuentre jurídica o físicamente incapacitado; en estos casos sus representantes legales tendrán que otorgar dicha autorización.
  3. El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  4. El tratamiento tenga una finalidad científica, estadística o histórica, siempre y cuando se adopten medidas conducentes a la supresión de la identidad del titular del dato sensible.

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

  1. Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
  2. Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

Tratamiento de Datos de Menores

De conformidad con lo consagrado en los Artículos 43 y 44 de la Constitución Política de Colombia en concordancia con el Código de la Infancia y Adolescencia, los derechos de los menores deben ser interpretados y aplicados de manera prevalente, y por lo tanto, deben ser observados con especial cuidado y en el procedimiento conforme a lo señalado en la Sentencia C- 748/11 de la Corte Constitucional, las opiniones de los menores deben ser tenidas en cuenta al momento de realizar el tratamiento de alguno de sus datos personales.

La CRQ aplicará plenamente la prohibición del tratamiento de datos personales de niños, niñas y adolescentes, de conformidad con lo consagrado en el Artículo 7º de la Ley 1581 de 2012, salvo que se trate de datos de naturaleza pública; siempre y cuando el tratamiento garantice y respete el interés superior de los niños, niñas y adolescentes y se asegure en el tratamiento el respeto pleno a sus derechos fundamentales.

De cumplirse las condiciones, el representante legal o tutor del niño, niña o adolescente quien velará por uso adecuado de los datos cuyo tratamiento está autorizando.

OBLIGACIONES DE LA CRQ FRENTE A LOS DATOS PERSONALES

DEBERES

  1. La CRQ deberá solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular.
  2. Deberá informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  3. Deberá informar a solicitud del titular sobre el uso dado a sus datos personales cuando no sea con fines misionales de la entidad y su destino exceda la misión pública.
  4. Deberá tramitar y resolver las consultas y reclamos formulados en los términos señalados en la presente política en relación a la política de tratamiento de datos personales, así como tener un canal de contacto para peticiones, quejas y reclamos en relación a la protección de datos.
  5. La CRQ procurará que los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en esta política tengan efectiva aplicación y velará por ajustar sus procedimientos en lo que fuera pertinente a la política de protección de datos.
  6. La CRQ deberá conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  7. La CRQ deberá actualizar la información cuando sea necesario, procedente y así lo solicitare el titular, así mismo negará motivadamente su anonimización cuando sea la Ley quien determine la publicidad del dato.
  8. La CRQ deberá rectificar los datos personales o sensibles cuando ello sea procedente.

DERECHOS DE LOS TITULARES

La CRQ reconoce y garantiza a los titulares de datos personales los siguientes derechos fundamentales:

  1. a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
  2. b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10de la presente ley;
  3. c) Ser informado por el responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
  4. d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
  5. e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
  6. f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Parágrafo: Las prerrogativas aquí mencionadas se reconocen y garantizan sobre los datos de carácter personal de las personas naturales que se encuentren almacenados en bases de datos diferentes a las de contenido de información misional, pública, de registros públicos o de interés general.

En sección posterior se definirá el procedimiento para hacer efectivos estos derechos.

RECOLECCIÓN DE DATOS

Cuando se trate de datos diferentes a los de naturaleza pública definidos en los del numeral 2 del artículo 3º del Decreto Reglamentario 1377 de 2013, solicitará previamente autorización a los titulares para el tratamiento de datos personales por cualquier medio que permita ser utilizado como prueba, según el caso, dicha autorización puede ser parte o venir contenida en otro documento (contrato, solicitud, formato de trámite, otro sí, etc.)

Para salvaguardar los derechos de los usuarios con relación al tratamiento de sus datos personales, la CRQ ha creado el Comité de seguridad de la información, cuyas funciones estarán indicadas en el presente capítulo.

FUNCIONES DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

El comité de seguridad de la información ha sido creado con la finalidad de hacer seguimiento y control a la efectividad en la aplicación de la Política de Tratamiento de Datos Personales, su misión será velar por el uso adecuado de la información al interior de la entidad y deberá realizar recomendaciones a los Jefes de Proceso de la entidad, en relación a novedades y/o amenazas que llegaren a presentarse en relación al tratamiento y seguridad de la información que administra y salvaguarda La CRQ. Éste se reunirá mínimo una (1) vez al año.

Dentro de sus funciones estarán las siguientes:

  1. Relacionar en un informe los intentos, novedades e inconvenientes que se presenten en relación a la seguridad de la información.
  2. Prevenir el acceso abusivo a un sistema informático a través del seguimiento a las políticas de seguridad informática de la entidad.
  3. Solicitar a Gestión de Servicios de Información y Tecnología o quien haga sus veces reporte de novedades en relación amenazas, interceptación de datos informáticos, daño Informático, uso de software malicioso.
  4. Solicitar al guardador de datos personales, novedades sobre posibles violaciones a datos personales tratados por la entidad, así como las novedades sobre suplantación de sitios web para capturar datos personales que llegaren a presentarse en la entidad.
  5. Proponer y tomar medidas para fortalecer la efectividad en la aplicación de las Políticas de Protección de Datos y Seguridad de la Información que ya existan o que llegaren a implementarse en la entidad.
  6. Realizar la designación del guardador de Protección de Datos

AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS

La autorización para el tratamiento de datos personales es la manifestación expresa e inequívoca del propietario de la información a través de la cual otorga permiso a un responsable (en este caso La CRQ) para que realice tratamiento a sus datos personales.

Esta autorización puede constar en un documento físico, electrónico, mensaje de datos, internet, sitio web, o en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento, siempre y cuando se pueda concluir de manera inequívoca que, de no haberse dado esta conducta por el titular, los datos no hubieran sido capturados o almacenados. La autorización será generada por La CRQ y será puesta a disposición de los titulares con antelación y de manera previa al tratamiento de sus datos personales.

En caso de tratarse de datos de carácter personal privados, cuyos titulares sean personas naturales, la finalidad del tratamiento podrá informarse mediante documento adjunto o en formato inicial; en ese caso al usuario se le informará lo siguiente:

  1. El tratamiento al que serán sometidos sus datos y la finalidad del mismo.
  2. Los derechos que le asisten como titular.
  3. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
  4. La página web, correo, o canal donde podrá consultar, hacer peticiones, quejas o reclamos con relación a la administración de sus datos tanto al responsable como al encargado del tratamiento.

Casos que no requerirán autorización:

La autorización emanada del titular no se requerirá cuando:

  1. Se trate de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o mediando orden judicial.
  2. Cuando se trate de datos de naturaleza pública.
  3. Cuando se trate de un caso de emergencia médica o sanitaria que ponga en riesgo la vida o salud del titular.
  4. Cuando se trate de datos solicitados para fines históricos, estadísticos o científicos.
  5. Datos relacionados con el Registro Civil de las personas.

PROCEDIMIENTO PARA EL EJERCICIO DEL DERECHO DE LOS TITULARES DE LA INFORMACIÓN

Derecho de acceso: La CRQ en cumplimiento de las garantías de acceso a la información consagradas en la Ley 1581 de 2012, permitirá únicamente a los titulares de datos personales privados que correspondan a personas naturales, previa acreditación de la identidad, legitimidad, o personalidad de su representante, poniendo a disposición de este, sin costo o erogación alguna de forma específica los respectivos datos personales tratados, a través de cualquier medio de comunicación, incluyendo los electrónicos que permitan el acceso del titular.

El acceso a la información estará sujeto a los parámetros del Art. 21 del Decreto 1377 de 2013.

Derecho de consulta: Los titulares de los datos personales podrán consultar la información de carácter personal que repose en cualquier base de datos de La CRQ a excepción de la información pública que tenga el carácter de reservado o que la ley disponga su restricción de manera expresa. El derecho de consulta al titular solo se garantizará respecto de los datos personales privados, datos sensibles sujetos a protección y los datos de menores.

Cualquiera sea el mecanismo por el cual se realice la solicitud de consulta, La CRQ tendrá un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. En el caso que la solicitud no pudiera llegar a ser tramitada en dicho término, se le informará al interesado sobre la situación siempre y cuando el término inicial no haya vencido, para lo cual La CRQ contará con cinco (5) días hábiles más sin exceder dicho término.

Derecho a formular reclamos: Los titulares de los datos personales podrán cuando consideren que los datos o información asociada a su persona no correspondan a la información que fuera suministrada a la entidad solicitar supresión, corrección, o actualización de sus datos personales. En el caso de solicitar supresión esta se revisará en los términos señalados en la Ley 1581 y se tomarán en cuenta las excepciones respecto de los contratistas y servidores públicos.

La CRQ recibirá todos los reclamos con relación a Protección de Datos de personales, sin perjuicio que en el evento de encontrarse incompleto pueda requerir al usuario para que lo complete allegando la información que sea necesaria para su trámite en un término no mayor a cinco (5) días hábiles. Si pasados dos (2) meses el usuario no ha subsanado el reclamo con relación a la Protección de Datos, se entenderá que ha desistido del reclamo y este se archivará sin respuesta de fondo.

De completarse el trámite o de estar el mismo completo, La CRQ de forma inmediata dará traslado al funcionario responsable del tratamiento de la información objeto de reclamo para que inserte en la base de datos la leyenda “reclamo en trámite” indicando el motivo del reclamo, la leyenda deberá mantenerse hasta que el reclamo sea decidido. El término máximo para resolver la solicitud será de quince (15) días hábiles, contados a partir del día siguiente de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Derecho a la rectificación y actualización de datos: La CRQ se obliga a rectificar y actualizar a solicitud del titular, la información de carácter personal que corresponda a personas naturales, que resulte incompleta o inexacta, de conformidad con el procedimiento antes descrito, lo anterior siempre y cuando no se trate de información pública o pública reservada, la cual se rige por normas especiales no aplicables a datos personales. Para la corrección y actualización de la información, La CRQ verificará que las solicitudes de rectificación y actualización de datos personales el titular debe precisar con detalle la corrección que pretende y aportar prueba mínima que avale su petición.

Derecho a la supresión de datos: El titular de datos personales tiene derecho en cualquier momento a solicitar la supresión de sus datos personales, siempre y cuando, no se trate de datos públicos, los cuales se regirán por la normativa especial, para los datos privados de personas naturales se deberá tomar en cuenta las siguientes pautas:

– Que los datos sobre los cuales recae la supresión no se encuentren en tratamiento presente por la entidad o por un tercero al que La CRQ haya transferido los datos.
– Que los datos cuya supresión se solicita hayan dejado de ser necesarios para la necesidad con la cual fueron recabados.
– Que se haya superado el periodo mínimo para archivo.
– Que se haya superado el periodo necesario para el cumplimiento de los fines para los cuales fueron recolectados.
– Que la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
– Que el responsable y el Encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.
– Que si vencido el término legal respectivo, el responsable y/o el Encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento 1. Descrito en el artículo 22 de la Ley 1581 de 2012.

Derecho a revocar la autorización: Los titulares de datos personales podrán revocar en cualquier momento, el consentimiento al tratamiento de sus datos, siempre y cuando no lo impida una disposición legal o contractual. El derecho de revocatoria se sujetará a los límites del derecho público debido a que la misma no es un derecho absoluto. En todo caso las solicitudes de revocatoria se analizarán a la luz de las normas aplicables.

La solicitud de revocatoria podrá ser negada tomando en cuenta los siguientes argumentos:

– El titular por su calidad tenga el deber legal o contractual de permanecer en la base de datos.
– La revocatoria llegare a obstaculizar actuaciones o investigaciones judiciales y/o administrativas.
– Los datos sean relevantes para la protección de derechos de las personas o de bienes jurídicamente tutelados del titular.
– Cuando los datos cuya supresión se solicita sean de naturaleza pública y/o reposen en registros públicos cuya finalidad es la publicidad.

Las peticiones, consultas y reclamos se atenderán por La CRQ de la siguiente forma:

  1. A través de contacto electrónico al correo electrónico [email protected]
  2. A través del formulario de PQRS de la página WEB.
  3. Físicamente a través de la ventanilla de atención al ciudadano.

Protección de datos en contratos: Tanto en los contratos laborales como en los contratos de prestación de servicios, La CRQ incluirá la cláusula de “AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES”.

Transferencia de datos personales: Cuando el responsable de tratamiento al interior de La CRQ transfiera bases de datos que contengan datos personales de personas naturales, deberá validar previamente a la transferencia de la información, la existencia y vigencia de la autorización del titular para el tratamiento de sus datos personales. En el evento que el responsable se percate que dicha autorización no existe, deberá gestionarla a través del mecanismo de refrendación o autorización, según corresponda.

PROTECCIÓN DE DATOS AL INTERIOR DE LA CRQ

Serán responsables del tratamiento de la información en La CRQ todos los jefes de proceso, quienes tengan a su cargo manejo de información para la toma de decisiones y contratistas a quienes se les haya transferido información para el cumplimiento de sus deberes contractuales y en general todo aquel que tenga poder decisorio sobre el destino de la información.

PROCEDIMIENTO PARA ENTREGA DE INFORMACIÓN

Los derechos de petición de solicitud de información se resolverán dando plena aplicación a la presente Política, por lo que se limitará su respuesta y concesión únicamente a la información pública que no tenga restricción alguna o que por mandato legal su suministro esté previamente avalado como es el caso de las investigaciones de los entes de control y autoridades judiciales.

Al momento de recibir derechos de petición de información, el funcionario responsable del tratamiento o a quien este designe, deberá validar previa respuesta lo siguiente:

– Que la información solicitada no contenga datos personales sujetos a protección, si así fuere deberá informar a su titular sobre la transferencia de dicha información, caso contrario no podrá ser suministrada.
– Que la información solicitada no contenga datos sensibles.
– Que la información solicitada no contenga datos de menores.
– Que la información solicitada no esté sujeta a reserva legal.
– Que no se trate de información pública restringida.

De verificarse esta condición, La CRQ suministrará la información a través de los mecanismos descritos en el PR-S-DB-01 Procedimiento de Gestión Documental, numeral 1.7.1    SERVICIOS EN ARCHIVOS DE GESTIÓN O CENTRAL

Nota. En ninguna circunstancia se dará acceso al público a los equipos informáticos internos, para que los ciudadanos extraigan información. Esta conducta va en contravía de las políticas mínimas de seguridad y protección de la información.

NEGACIÓN A LA SOLICITUD DE INFORMACIÓN

Cuando la petición de información de datos personales sea negada por parte de La CRQ, el funcionario encargado deberá motivar la negación a la solicitud alegando protección de la información de acuerdo a las causales mencionadas en el presente manual y las demás normas que este considere aplicables al caso, contra esa negación no procederá recurso alguno y se le indicará al usuario que deberá acudir a un Juez de la República para que en últimas sea este quien levante la protección y ordene la entrega al usuario.

REGISTRO NACIONAL DE BASES DE DATOS.

El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país. Este registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

Para realizar el registro de las bases de datos La CRQ deberá aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados de este, y cuyo incumplimiento acarreará las sanciones correspondientes, esta actividad estará a cargo del proceso de servicio al cliente (Gestión documental).

RESOLUCION No 517 DEL 14 DE ABRIL DE 2020

Por medio de la cual se adopta la política de protección de datos personales en la Corporación Autónoma Regional del Quindío – CRQ

EL DIRECTOR GENERAL DE LA CORPORACION AUTONOMA REGIONAL DEL QUINDIO -CRQ- en uso de las facultades que le confieren la Ley 99 de 1993 y la Ley General de archivo 594 de 2000 y

CONSIDERANDO

Que la protección de datos personales está consagrada en el artículo 15 de la constitución política, como el derecho fundamental que tienen todas las personas a conservar su intimidad personal y familiar, al buen nombre y a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellos en bancos de datos y archivos de las entidades públicas y privadas.

Que mediante la Ley 1581 de 2012, reglamentada parcialmente por el decreto 1377 de 2013 y este último reglamentado parcialmente por el decreto 1081 de 2015, se dictaron disposiciones generales para la protección de datos personales.

Que el marco jurídico que desarrollo el derecho al Habeas Data, incorporó los lineamientos necesarios para que los organismos públicos y privados identificaran los roles y la tipología de datos que son objeto de protección constitucional, así mismo, dispuso las condiciones en las cuales se deben recolectar los datos personales que posteriormente serán vinculados con la administración de una base de datos.

Que la Corporación Autónoma Regional del Quindío- CRQ, como sujeto obligado requiere para el ejercicio de sus funciones recolectar datos personales de los ciudadanos e incorporarlos en bases de datos, así como dar tratamiento a la información allegada por otras entidades que está relacionada con este tipo de información.

Que la Corporación Autónoma Regional del Quindío- CRQ, diseñó la política de protección de datos personales que contienen los lineamientos a seguir para la creación, tratamiento y cierre de la base de datos, la cual incluye buenas prácticas y estándares universales en la materia.

Que con la implementación de esta política por parte de todos los colaboradores de la Corporación Autónoma Regional del Quindío- CRQ, se busca asegurar que los datos personales que administra no sean informados y utilizados por terceros sin contar con la previa, expresa y libre autorización del titular de la información.

Que en mérito de lo expuesto:

RESUELVE

ARTÍCULO PRIMERO. OBJETO: El presente acto administrativo tiene por objeto adoptar la POL-D-PI-01 Política de protección de datos personales, que contienen los lineamientos a seguir para la creación, tratamiento y cierre de las bases de datos, y contempla buenas prácticas y estándares universales en la materia; en concordancia con las disposiciones legales vigentes.

Calt.  19 norte • 19-55  81 Mercltd.s  del Norte,..•

ARTÍCULO SEGUNDO. SUJETOS OBLIGADOS: Todas las personas naturales y jurídicas que tengan algún vínculo laboral o contractual con la Corporación Autónoma Regional del Quindío- CRQ, y que en el ejercicio de sus actividades y/o funciones deban recolectar datos personales para ser ingresados a las bases de datos de la Corporación, están obligadas a cumplir con los lineamientos dados en laPOL-D-PI-01 Política de protección de datos personales.

Parágrafo:Las personas sujetas al presente artículo que incumplan algunas de las disposiciones adoptadas podrán ser sujetos de investigaciones disciplinarias a que haya lugar.

ARTÍCULO TERCERO. SEGURIDAD DE LA INFORMACIÓN: Con el propósito de cumplir con los principios de seguridad de la información que conforma los registros individuales constitutivos de los bancos de datos, se atenderán los lineamientos dados por el Comité Institucional de Gestión y Desempeño.

ARTÍCULO CUARTO. CONTROL: La oficina de Control Interno será la encargada de velar por el cumplimiento de la POL-D-PI-01 Política de protección de datos personales, adoptada a través de la presente resolución, de conformidad con la ley 87 de 1993, artículo 12, literal e.

ARTÍCULO QUINTO. PROCESO DE IMPLEMENTACIÓN: El proceso de implementación de la POL-D-PI-01 Política de protección de datos personales, se realizará de acuerdo a los lineamientos dados por la Oficina Asesora de Planeación de la Corporación Autónoma Regional del Quindío- CRQ, en coordinación con el Comité Institucional de Gestión y Desempeño y bajo la responsabilidad de las dependencias.

ARTÍCULO SEXTO. INTEROPERABILIDAD: La Corporación Autónoma Regional del Quindío- CRQ, aplicará los lineamientos de la política pública de protección de datos personales, en el intercambio de la información con otras entidades.

ARTÍCULO SÉPTIMO. VIGENCIA: La presente resolución rige a partir de la fecha de su expedición.

PUBLIQUESE, COMUNIQUESE Y CUMPLASE

Dado en Armenia Quindío, a los 14 días del mes de Abril de dos mil veinte (2020).

JOSE MANUEL CORTES OROZCO

Director General.
Elaboró: Jhon Fredy Roncancio López, Profesional Especializado OAP. Revisó: Víctor Hugo González Giraldo (Jefe OAP) y dependencias. Aprobó: Jaider Lopera (Asesor de Dirección).

Revisó parte jurídica: Katherine Parra, Profesional Especializado OAJ. Aprobó parte jurídica: Jhoan Sebastián Pulecio Gómez, Jefe OAJ.

Ir al contenido