Política de protección y tratamiento de datos personales
FUNDACIÓN SAN JOSÉ, en adelante la institución, en su calidad de responsable del tratamiento de datos personales, necesarios para el ejercicio de su objeto social, expide las presentes políticas de protección y tratamiento de datos personales, aplicables para todas las dependencias de las instituciones de su propiedad y la comunidad educativa en general, de conformidad con la normatividad vigente en Colombia.
MARCO NORMATIVO
• Constitución Política de Colombia, Artículo 15.
• Ley 1581 de 2012
• Decretos Reglamentarios 2184 de 2012, 1377 de 2013 y 886 de 2014.
• Título V de la Circular Única de la Superintendencia de Industria y Comercio.
• Jurisprudencia Corte Constitucional
• Circulares y Conceptos Superintendencia de Industria y Comercio de Colombia.
CAPÍTULO PRIMERO: ASPECTOS PRELIMINARES
1.1 INTRODUCCIÓN
El artículo 15 de la Constitución Política de Colombia consagra el Derecho Fundamental del Habeas Data o autodeterminación informática, otorgando a los titulares de la información las facultades para “conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos” e imponiendo el deber de que se respete por parte de los responsables del tratamiento, la libertad y demás garantías constitucionales en el tratamiento de datos personales.
Con el fin de dar desarrollo normativo a la norma constitucional, el 18 de octubre del 2012, el Congreso de la Republica de Colombia expidió la Ley Estatutaria 1581 del año 2012, Por la cual se “dictan disposiciones generales para la protección de datos personales” que son de obligatorio cumplimiento para todas las personas naturales o jurídicas que recauden y traten datos personales.
Dentro de las obligaciones impuestas por la citada ley a los responsables del tratamiento de datos personales, se establece la necesidad de adoptar una política de tratamiento de datos personales que consagre los principios, deberes, derechos, mecanismos de protección y en general todos los aspectos que deban ser tenidos en cuenta por los involucrados en esta actividad.
La institución, es responsable del tratamiento de datos personales que resultan indispensables para el ejercicio de su objeto social, en especial en lo referente a la actividad educativa, es así como recopila datos personales de estudiantes, sus familias, trabajadores y contratistas. Lo anterior impone la necesidad de expedir e implementar la presente Política de Protección y Tratamiento de Datos Personales, que serán de obligatorio cumplimiento para todos los niveles y dependencias de la entidad y a través de la cual se sustituyen las anteriores versiones que fueron implementadas con esta misma finalidad.
1.2 GLOSARIO
a) Autorización: Consentimiento previo, expreso e informado del Titular o sus tutores legales, para llevar a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Por ejemplo, nombre, documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Puede tratarse también de información más sensible, como es el estado de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos. Dentro de este concepto se incluyen además las imágenes fotográficas y videos representativos de las personas.
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
1.3 OBJETIVOS DE LA POLÍTICA
Fundación San José en su calidad de responsable del Tratamiento de Datos Personales, promueve a través de la presente política, que esta actividad se desarrolle respetando los derechos fundamentales de los Titulares y los preceptos legales en la materia.
Se persigue con la expedición de la presente Política el conocimiento de las condiciones en que se debe desarrollar el Tratamiento de Datos Personales por parte de los Titulares, incluyendo, pero sin limitarse a sus derechos y los mecanismos dispuestos para el ejercicio de los mismos.
1.4 ÁMBITO DE APLICACIÓN
La presente política cobijará a los datos personales, información y archivos registrados en las Bases de Datos de la institución susceptibles de tratamiento, en virtud de las relaciones contractuales o de servicios sostenidas o que se hayan sostenido entre los titulares de la información y el Colegio, incluyendo alumnos, responsables del alumno, trabajadores, contratistas, proveedores y cualquier otra persona natural o jurídica Titular de información recaudada por la institución.
CAPÍTULO SEGUNDO
PRINCIPIOS
2.1 la institución aplicará los principios que se establecen a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio de datos personales:
a. Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos.
b. Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular o su tutor legal. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.
c. Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos por la institución estarán subordinados y atenderán una finalidad legítima, la cual debe serle informada al respectivo titular de los datos personales.
d. Principio de veracidad o calidad: La información sujeta a uso, captura, recolección y tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
e. Principio de transparencia: En el uso, captura, recolección y tratamiento de datos personales debe garantizarse el derecho del Titular a obtener del Colegio, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
f. Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles al público en general, a través de Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizado, o que exista autorización expresa para su divulgación o uso público por parte del Titular o sus tutores legales.
g. Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento por la institución, será objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado. Estas medidas serán adaptadas según corresponda a Bases de Datos automatizadas o físicas.
h. Principio de confidencialidad: Todas y cada una de las personas que administran, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros, todas las informaciones personales, comerciales, contables, técnicas, o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones.
CAPÍTULO TERCERO
AUTORIZACIONES
3.1 MODO DE OBTENER LA AUTORIZACIÓN
3.1.1. AUTORIZACIÓN DE TITULARES MAYORES DE EDAD.
Sin perjuicio de las excepciones previstas en la ley, para el tratamiento se requiere la autorización previa, expresa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, a través de medios físicos o electrónicos (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
3.1.2. AUTORIZACIÓN DE TITULARES MENORES DE EDAD
Para todos los casos de Tratamiento de Datos Personales de menores de edad, será indispensable la autorización escrita del tutor o tutores legales en los términos dispuestos en el numeral anterior.
En este caso no aplica la autorización mediante conductas inequívocas del Titular, salvo que se trate de mayores de 14 años.
3.2 CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN
La autorización del titular no será necesaria cuando se trate de:
• Entrega de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
• Tratamiento de Datos de naturaleza pública.
• Tratamiento en otros eventos previstos en la Ley 1581 de 2012 o sus decretos reglamentarios.
3.3 REVOCATORIA DE LA AUTORIZACIÓN
Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012, por los canales informados en la presente Política.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual vigente de permanecer en la Base de Datos.
CAPÍTULO CUARTO
DERECHOS DE LOS TITULARES
4.1 PERSONAS FACULTADAS PARA EJERCER LOS DERECHOS
Los derechos de los Titulares de la información, podrán ejercerse por las siguientes personas:
• Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
• Por sus causahabientes, quienes deberán acreditar tal calidad.
• Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
• Por estipulación a favor de otro o para otro.
En caso de Titulares menores de edad, los facultados para el ejercicio de sus derechos serán los tutores legales en forma individual o conjunta, o las autoridades competentes.
4.2 RELACIÓN DE DERECHOS DEL TITULAR DE LA INFORMACIÓN
Sin perjuicio de lo establecido en la ley, Los titulares contarán con los siguientes derechos:
A) Los titulares de la información podrán acceder a los datos personales que estén bajo el control de la institución cuando actúe como responsable de la información, y ejercer sus derechos sobre los mismos. El titular podrá consultar de forma gratuita sus datos personales.
B) Cuando así lo requiera el Titular o cuando la institución como responsable haya podido advertirlo, podrá solicitar información, actualización o rectificación de los datos contenidos en las bases de datos, de tal manera que satisfaga los propósitos del tratamiento.
C) Acudir sin limitación alguna, ante la persona o área designada por la institución, que asuma la función de contacto en materia de datos personales.
D) Solicitar prueba de la autorización otorgada, cuando dicha autorización sea requerida conforme lo previsto en la Ley 1581 de 2012.
E) Acudir ante la Superintendencia de Industria y Comercio para presentar quejas por violación de las normas sobre tratamiento de datos personales, una vez se haya agotado el procedimiento pertinente ante la institución.
4.3 AVISO DE PRIVACIDAD
El aviso de privacidad es le medio a través del cual la institución le informará a los Titulares sobre la existencia de las políticas de tratamiento de información que les serán aplicables, la forma de acceder a las mismas y la finalidad del tratamiento que pretenda dar a sus datos personales, estará publicado en la página web de la institución de manera permanente.
CAPÍTULO QUINTO
DEBERES DEL RESPONSABLE
5.1 DEBERES DE FUNDACIÓN SAN JOSÉ CUANDO ACTÚE COMO RESPONSABLE DEL TRATAMIENTO
La institución cuando actúe como Responsable del Tratamiento de datos personales, cumplirá con los siguientes deberes:
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
c. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
h. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.
i. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
j. Tramitar las consultas y reclamos formulados por los Titulares de la información.
k. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
l. Informar a solicitud del Titular sobre el uso dado a sus datos.
m. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
n. Registrar ante la Superintendencia de Industria y Comercio las Bases de Datos de las que sea Responsable.
CAPÍTULO SEXTO
ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS
6.1 CANALES HABILITADOS
El titular cuando considere que la información contenida en la base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán ejercer sus derechos y presentar un reclamo ante la institución en sus oficinas en el municipio de Tenjo, Cundinamarca.
6.2 PROCEDIMIENTO
El Titular, sus tutores legales o causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo con el lleno de los requisitos establecidos en el numeral 1. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
CAPÍTULO SÉPTIMO
UTILIZACIÓN DE LOS DATOS PERSONALES.
7.1 USO DE DATOS PERSONALES
Según el artículo 15 de la Constitución Política de Colombia, todas las personas tienen derecho a conocer, actualizar y rectificar la información que se tenga de ellas en las centrales de datos. En la institución contamos con una regulación especial sobre la Protección de los Datos de nuestros clientes, y definimos procesos institucionales que buscan garantizar la confianza, seguridad y calidad en el uso de la información. Para ello la institución recibe, registra, conserva, modifica, reporta, consulta, entrega, comparte y elimina información con la autorización del titular de la misma. Los datos nos permiten ofrecer, suministrar y analizar información de los productos y servicios brindados por la institución, para reportar y actualizar los mismos ante los operadores de información; actualizar el estado de las relaciones contractuales, dar cumplimiento a las obligaciones pactadas, prevenir el riesgo de lavado de activos y financiación del terrorismo, brindar información ante aseguradoras de los seguros tomados por los clientes, vigilar mediante sistema de circuito cerrado la seguridad de nuestros clientes, trabajar temas de mercadeo y publicidad con nuestros aliados estratégicos, nutrir nuestro portal web y redes sociales con la información necesaria para su correcta aplicación, y otorgar a las autoridades la información que requiera para la prestación del servicio educativo en plataformas como SIMAT, entre otras relacionadas con la educación de nuestros estudiantes.
Todo lo anterior respetando el derecho de habeas data del que son titulares nuestros vinculados, y fortaleciendo las relaciones con nuestros proveedores mediante acuerdos de confidencialidad y cláusulas de seguridad de la información.
7.2 TRATAMIENTO DE LA INFORMACIÓN
La institución realizará el tratamiento de la información cumpliendo con la presente Política y además se regirá por los siguientes parámetros:
a. Los Datos Personales solo serán Tratados por aquellos Trabajadores o Colaboradores de la institución que cuenten con el permiso para ello, o quienes dentro de sus funciones tengan a cargo la realización de tales actividades.
b. Todo Dato Personal que no sea Dato Público se tratará por la institución como confidencial, aun cuando la relación contractual o el vínculo entre el Titular del Dato Personal y la institución haya finalizado. A la terminación de dicho vínculo, tales Datos Personales deben continuar siendo Tratados de acuerdo con lo dispuesto en la presente Política
c. Los Datos Personales solo podrán ser tratados durante el tiempo y en la medida que la finalidad de su tratamiento lo justifique.
d. La institución será más rigurosa en la aplicación de las políticas de tratamiento de la información cuando se trate del uso de datos personales de los niños, niñas y adolescentes asegurando la protección de sus derechos fundamentales.
e. Intercambiar información de Datos Personales con autoridades gubernamentales o publicas tales como autoridades administrativas, de impuestos, organismos de investigación y autoridades judiciales, cuando la soliciten en ejercicio de sus funciones.
f. Los Datos Personales sujetos a tratamiento deberán ser manejados proveyendo para ello todas las medidas tanto humanas como técnicas para su protección, brindando la seguridad de que ésta no pueda ser copiada, adulterada, eliminada, consultada o de alguna manera utilizada sin autorización o para uso fraudulento.
g. Cuando finalice alguna de la labor de tratamiento de Datos Personales por los trabajadores, colaboradores o contratistas, y aun después de finalizado su vínculo o relación contractual con la institución éstos están obligados a mantener la reserva de la información.
h. La institución divulgará en sus trabajadores, contratistas y comunidad educativa en general, las obligaciones que tienen en relación con el tratamiento de Datos Personales mediante campañas y actividades pedagógicas.
7.3 TRATAMIENTO DE DATOS EN CASO DE EDUCACIÓN NO PRESENCIAL – Y EDUCACIÓN POR MEDIOS VIRTUALES.
Ante la necesidad de realizar clases virtuales con ocasión a las decisiones de llevar a cabo clases no presenciales por decisión de la institución, de la comunidad educativa, de las autoridades municipales, departamentales o locales por fuerza mayor o eventualidad que ponga en riesgo la integridad de los estudiantes, la interacción docentes-estudiantes se realizará de manera no presencial por medio virtuales.
Es importante resaltar que la finalidad de las clases virtuales es exclusivamente académica y los datos tratados son para el uso exclusivo de la institución educativa, docentes y estudiantes.
En ese orden de ideas se prohíbe a todas las partes involucradas realizar grabaciones de las clases (sonido o imagen) por cualquier medio, la toma de fotografías o imágenes, la reproducción no autorizada y demás que pudieran afectar los derechos de los titulares de estos derechos como son, estudiantes, docentes y personal administrativo de la institución.
CAPÍTULO OCTAVO
VIGENCIA.
8.1 FECHA DE ENTRADA EN VIGENCIA DE LA POLÍTICA DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES.
La presente política entra en vigencia a partir del día 24 de septiembre de 2024 y sustituye las Políticas que se hubieren expedido anteriormente por FUNDACIÓN SAN JOSÉ sobre el tema.