OBJETIVO: | ALCANCE: | |
Dar cumplimiento a la Ley 1581 de 2012 y su | Bases de Datos e Información privada | |
decreto reglamentario número 1377 de 2013, que | relacionada con Colaboradores, | |
regulan la protección de datos personales y | proveedores, clientes y demás partes que | |
establecen las garantías legales que deben | tengan vínculos con Sodexo. | |
cumplirse en Colombia para el debido | ||
tratamiento de dicha información. | ||
Elaboró: | Revisó: | Aprobó: |
Abogado Senior | Gerente Legal | Legal Counsel Latam |
Adoptar y establecer las reglas aplicables al tratamiento de datos personales recolectados, tratados y/o almacenados por SODEXO S.A.S., (en adelante Sodexo), en desarrollo de su objeto social, bien sea en calidad de Responsable y/o Encargado del tratamiento. Las reglas contenidas en esta Política dan cumplimiento a lo dispuesto en la normatividad de datos personales, en cuanto a la garantía de la intimidad de las personas, ejercicio del Habeas Data y protección de datos personales, en concordancia con el derecho a la información, de manera que se regulen proporcionalmente estos derechos en Sodexo y se pueda prevenir la vulneración de estos. Las reglas adoptadas en esta Política por Sodexo se adecúan a la legislación vigente.
Con el fin de garantizar la protección de los datos personales, incluyendo los derechos de los Titulares entre otros los de conocer, actualizar, rectificar y/o eliminar la información que repose en nuestras bases de datos, a continuación informamos los datos de Sodexo como Responsable del tratamiento:
Razón social: SODEXO S.A.S. NIT: 800.230.447-7
Dirección: Avenida Autopista Norte No. 114 – 44, Piso 5°, Bogotá D.C. Correo electrónico: [email protected]. Teléfono: (+57 1) 7421460
Página web: https://co.Sodexo.com/home.html
Lo dispuesto en esta política aplica para todos los aplicantes laborales, funcionarios, clientes, proveedores, accionistas, consumidores, aliados y demás personas que ejecutan nuestros procesos (internos y externos), quienes en ejercicio de sus funciones conocen y realizan tratamiento sobre la información personal.
Los principios y disposiciones contenidos en esta Política se aplicarán a cualquier base de datos personales que se encuentren en custodia de Sodexo, bien sea en calidad de Responsable y/o como Encargado del tratamiento
Para efectos de la presente Política, los términos que se señalan a continuación tienen los siguientes significados:
Son considerados datos públicos, entre otros, los datos relativos al registro civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES:
En el desarrollo, interpretación y aplicación de la Ley 1581 de 2012 se dictan disposiciones generales para la protección de datos personales y las normas que la complementan, modifican o adicionan, se aplicarán de manera armónica e integral los siguientes principios rectores:
Principio de Legalidad: El tratamiento de datos es una actividad reglada que debe sujetarse a lo establecido en la ley y las demás disposiciones que la desarrollen.
Principio de Finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
En lo correspondiente a la recolección de datos personales, Sodexo se limitará a aquellos datos que sean pertinentes y adecuados para la finalidad con la cual fueron recolectados o requeridos; sus áreas o departamentos deberán informar al Titular las finalidades para las que se utilizará la información y el uso específico que se le dará a la misma.
Principio de Libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso, e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de Veracidad o Calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
Principio de Transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del tratamiento o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de Acceso y Circulación Restringida: E tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
Principio de Seguridad: la información sujeta a tratamiento por Sodexo se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de Confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales dentro de lo procesos de Sodexo están obligada a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas por la ley.
La recolección, almacenamiento, uso circulación o supresión de datos personales por parte de Sodexo se hace, en caso de resultar obligatorio, contando con un previo consentimiento libre, expreso e informado del Titular de los mismos.
Para la protección de datos personales y el tratamiento de éstos como objetivo general de
disponibilidad de la información y bases de datos de sus clientes, usuarios de página web y app, accionistas, proveedores, postulantes, empleados exempleados, garantizando disponibilidad de la infraestructura tecnológica para el tratamiento de los datos personales recolectados para proceso legales, contractuales, y comerciales. Los Encargados de administración de Bases de Datos de Sodexo, deberán acogerse íntegramente a la presente Política de Protección de Datos.
La autorización puede constar en un documento físico o electrónico, en un mensaje de datos, grabaciones de voz o en cualquier otro formato que permita garantizar su posterior consulta o mediante un mecanismo técnico o tecnológico idóneo que permita manifestar u obtener el consentimiento, u otro mediante el cual se pueda concluir de manera inequívoca que, de no haberse surtido una conducta del Titular, los datos nunca hubieran sido capturados y almacenados en la Base de Datos.
La autorización del Titular no será requerida en los siguientes casos:
Cuando la información sea requerida o deba ser entregada a una entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.
Cuando se trate de datos de naturaleza pública.
En casos de emergencia médica o sanitaria.
Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
Cuando se trate de datos personales relacionados con el Registro Civil de las personas
En todo caso, el tratamiento de los datos personales que no requieran de una autorización previa se realizará en cumplimiento de todas las disposiciones contenidas en la presente ley.
Para llevar a cabo dichas finalidades, Sodexo puede tratar, recolectar, usar, almacenar, proteger, entre otras actividades, la información personal de los Titulares, entre la que se incluye, la siguiente:
Datos de identificación.
Datos de ubicación y contacto.
Datos laborales.
Datos socioeconómicos y financieros.
Datos de salud (Algunos de ellos en cumplimiento de los protocolos de bioseguridad adoptados para el seguimiento y prevención del Covid-19)
El tratamiento también podrá consistir en la realización de Transmisiones y/o Transferencias de datos personales.
En caso de ser necesario, al momento de recolección de datos personales por parte de Sodexo en su calidad de Responsable del Tratamiento, informará al Titular las finalidades de la recolección de forma previa al otorgamiento de su autorización, las cuales estarán enmarcadas dentro de las siguientes:
Es posible que Sodexo realice el Tratamiento de datos personales de naturaleza pública sin previa autorización del Titular, recopilados éstos de registros públicos, documentos públicos, gacetas, boletines oficiales y/o sentencias judiciales debidamente ejecutoriadas, lo anterior basado en la excepción contenida en el literal (b) del artículo 10 de la Ley 1581 de 2012
Lo anterior, no implica que no se adopten las medidas necesarias que garanticen el cumplimiento de los principios y obligaciones contempladas en la Ley 1581 de 2012 y sus decretos reglamentarios.
Las finalidades para el tratamiento de los datos personales relacionados con el Recurso Humano son, entre otras, las siguientes:
Llevar a cabo procesos de promoción y selección.
Verificar los datos relativos a el nivel de estudio y experiencia laboral con las referencias laborales y personales entregadas por el mismo Titular de la información y/o mediante fuentes públicas y/o privadas.
Realizar pruebas psicotécnicas, pruebas de conocimiento, estudios de seguridad, visitas domiciliarias, exámenes médicos y demás actividades dirigidas a validar el perfil del candidato.
Llevar a cabo los procesos y las actividades relativas a la contratación y manejo de relaciones laborales.
Capacitar a los funcionarios.
Enviar comunicaciones propias de la relación laboral vía correo electrónico (personal o corporativo).
Realizar encuestas, análisis de datos y actividades de promoción de Sodexo.
Realizar investigaciones administrativas y/o disciplinarias cuando a ello haya lugar;
Cumplimiento de obligaciones legales en materia de afiliaciones al sistema de seguridad social y archivo de información.
Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación laboral, incluyendo los reportes, controles y actividades de administración del riesgo.
Realizar todas las actividades relacionadas con la infraestructura tecnológica (software, hardware, plataformas y redes) proporcionadas por Sodexo o por un tercero, para la ejecución de sus labores y las actividades relacionadas con entrenamiento, capacitación y bienestar.
Compartirlos, transferirlos y/o transmitirlos a terceros para el ejercicio de las mismas finalidades de tratamiento autorizadas por el Titular de la información.
Si Sodexo contrata a terceros para que adelanten o apoyen los procesos de selección, en los respectivos contratos establecerá que los datos personales recolectados deberán ser tratados dando cumplimiento a las obligaciones impuestas por la ley.
El uso de la información de los empleados para fines diferentes a la administración de la relación contractual está prohibido en Sodexo. El uso diferente o cesión de los datos e información personal de los empleados por orden de una autoridad competente o por un Cliente o tercero deberá ser evaluada por el área legal, con el fin de prevenir una cesión no autorizada de datos personales y se deberá contar con la autorización expresa del empleado para poder realizar la transferencia.
En caso de que Sodexo contrate a terceros para que adelanten o apoyen el tratamiento de datos personales durante la relación contractual, y sea necesaria la cesión o transferencia de datos personales, se deberá contar con la autorización expresa del empleado y en los respectivos contratos celebrados con el tercero se establecerá que los datos personales suministrados deberán ser tratados dando cumplimiento a las obligaciones que impone la ley en cuanto a la protección de datos personales y se deberán establecer cláusulas de confidencialidad.
Terminada la relación laboral, Sodexo procederá a almacenar los datos personales e información obtenida del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas.
Los datos personales de los exempleados se conservan exclusivamente para el cumplimiento de las siguientes finalidades:
Dar cumplimiento a la ley colombiana o extranjera y las órdenes de autoridades judiciales, administrativas o entidades privadas en ejercicio de servicios públicos;
Emitir certificaciones relativas a la relación del Titular del dato con la compañía.
Fines estadísticos o históricos y reportes a empresas filiales, subsidiarias, vinculadas ubicadas en Colombia o cualquier otro país.
Los datos e información personal de las personas naturales que llegaren a tener la condición de accionistas o Representantes Legales de Sodexo, se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal. No obstante, la información será revelada en los casos establecidos por las normas que regulan el mercado y la ley. En consecuencia, el acceso a tal información personal se realizará conforme a lo establecido en el Código de Comercio y demás normas que regulan la materia.
Las finalidades para las cuales serán utilizados los datos personales de los Accionistas o Representantes Legales, son las siguientes:
Permitir el ejercicio de los deberes y derechos derivados de la calidad de accionista o Representante Legal.
Envío de invitaciones a eventos programados por la Compañía.
Emisión de certificaciones relativas a la relación del Titular del dato con la Sociedad.
Aseguramiento del Sistema de Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo.
Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación comercial, incluyendo los reportes, controles y actividades de administración del riesgo.
Esta información es entregada directamente por los Titulares de la información y/o por los representantes de ellos a Sodexo, y es tratada conforme con la presente política, y de conformidad con la legislación vigente.
En caso que los datos de clientes y/o clientes potenciales correspondan a personas jurídicas, no obstante estos no son considerados como datos personales bajo la legislación nacional, serán tratados por Sodexo bajo todas las medidas de seguridad y confidencialidad. Lo anterior sin perjuicio de los datos de personas naturales que puedan conocerse en virtud de la relación con la persona jurídica.
Las finalidades para el tratamiento de los datos personales de los potenciales clientes / clientes son, entre otras, las siguientes:
Verificar la viabilidad financiera, jurídica y comercial de una eventual relación comercial;
Realizar el proceso de registro y almacenamiento en nuestras bases de datos de clientes potenciales y clientes;
Recepción de invitaciones a contratar y realización de gestiones para las etapas precontractual, contractual y post contractual;
Envío de invitaciones a eventos programados por la Compañía o sus vinculadas
Ejecutar las relaciones contractuales existentes con los clientes;
Gestionar y dar cumplimiento a las obligaciones pecuniarias y contractuales;
Atender requerimientos de las autoridades;
Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación comercial, incluyendo los reportes, controles y actividades de administración del riesgo.
Realizar todas las actividades relacionadas con la infraestructura tecnológica (software, hardware, plataformas y redes) proporcionadas por Sodexo o por un tercero, para el desarrollo de la relación comercial.
Compartirla con terceros, ubicados en nuestro mismo domicilio o en el extranjero, para los mismos fines aquí mencionados;
Cumplimiento de obligaciones legales en materia contable y de archivo de información.
Aseguramiento del Sistema de Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo;
Fines estadísticos o históricos.
Junto con lo anterior, el tratamiento de datos personales de clientes potenciales / clientes, comprende toda actividad encaminada a la presentación de ofertas comerciales de las diferentes líneas de negocio que ofrece Sodexo y en general, información de productos y servicios que puedan ser de interés de los clientes con los que actualmente se tiene relación y con los clientes potenciales.
Esta información es entregada directamente por los Titulares de la información, y es tratada conforme la presente Política, y de conformidad con la legislación vigente.
En caso que los datos de proveedores/ proveedores potenciales correspondan a personas jurídicas, no obstante, estos no son considerados como datos personales bajo la legislación nacional, serán tratados por Sodexo bajo todas las medidas de seguridad y confidencialidad.
proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en la ley, política y presente procedimiento y que prevengan a terceros sobre la finalidad de la información que se divulga.
Las finalidades para el tratamiento de los datos personales de los proveedores son, entre otras, las siguientes:
Realizar todas las actividades relativas a la selección, contratación y evaluación de proveedores;
Ingresar su información a la base de datos de proveedores de Sodexo;
Verificar la viabilidad financiera, jurídica y comercial de una eventual relación comercial;
Verificar la información suministrada por los proveedores, potenciales y/o contratados, ante centrales de riesgo, fuentes privadas y/o públicas, y demás listas que se considere pertinente para comprobar su idoneidad;
Ejecutar y/o dar cumplimiento a obligaciones contractuales.
Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación comercial, incluyendo los reportes, controles y actividades de administración del riesgo.
Realizar todas las actividades relacionadas con la infraestructura tecnológica (software, hardware, plataformas y redes) proporcionadas por Sodexo o por un tercero, para el desarrollo de la relación comercial.
Cumplimiento de obligaciones legales en materia contable y de archivo de información;
Pago de obligaciones contractuales;
Reporte a entidades gubernamentales, y entrega de información a entidades gubernamentales o judiciales que la requieran;
Soporte en procesos de auditoría externa e interna;
Cualquier otra finalidad que resulte en el desarrollo del contrato;
Compartirlos con terceros para el ejercicio de las mismas finalidades de tratamiento autorizadas por el Titular de la información;
Envío de invitaciones a eventos programados por la Compañía o sus vinculadas;
Envío de informaciones relacionadas a la relación contractual entre las partes;
Aseguramiento del Sistema de Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo;
Fines estadísticos o históricos.
La información recopilada por medio de estos canales es entregada directamente por los Titulares de la información, y es tratada conforme a la presente Política, y de conformidad con la legislación vigente.
La información recopilada por medio de estos canales es entregada directamente por los Titulares de la información, y es tratada conforme a la presente Política, dentro del marco contextual de la Ley 1581 de 2012 y normas reglamentarias, y de acuerdo con las finalidades consagradas en las autorizaciones otorgadas siendo estas, entre otras, las siguientes:
Enviar información relacionada con Sodexo, así como con sus servicios actuales o futuros, vía correo electrónico.
Atender y dar respuesta a la solicitud que presentan por medio del canal de “Contacto”, y/o de “Trabaja con nosotros”.
Compartirlos con terceros para el ejercicio de las mismas finalidades de tratamiento autorizadas por el Titular de la información.
Adicionalmente, al igual que otros sitios web, Sodexo utiliza tecnologías, tales como cookies, que permiten hacer la visita a nuestro sitio más fácil y eficiente, suministrando un servicio personalizado y reconociendo a los usuarios cuando éstos vuelvan al sitio web.
Para estos efectos las "cookies" se identifican como los archivos de texto de información que un sitio web trasfiere al disco duro de la computadora de los usuarios con el objeto de almacenar ciertos registros y preferencias.
Los sitios web pueden permitir publicidad o funciones de terceros que envíen "cookies" a las computadoras de los Titulares.
Las cookies se asocian únicamente con un usuario anónimo y su ordenador, y no proporcionan por sí el nombre y apellidos de este.
Por ello, es posible que el sitio web de Sodexo reconozca a los usuarios después de que éstos se hayan registrado por primera vez, sin que se tengan que registrar en cada visita para acceder a los servicios.
Las cookies utilizadas no pueden leer los archivos cookie creados por otros proveedores. Sodexo cifra los datos identificativos del usuario para mayor seguridad.
El sitio web de Sodexo puede contener enlaces a otros sitios que sean de su interés. Una vez el usuario haga clic en estos enlaces y abandone la página web de Sodexo, la entidad no tendrá control sobre el sitio al que es redirigido y por lo tanto no será Responsable de los términos o privacidad ni de la protección de los datos personales que sean entregados en esos otros sitios terceros.
Adicionalmente, podrá consultarse la Política de Cookies en la página web de Sodexo https://co.sodexo.com/home.html
Conforme a la legislación nacional, se prohíbe el Tratamiento de datos sensibles, excepto cuando:
El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Para el tratamiento de estos datos se deben cumplir los siguientes requisitos:
La autorización debe ser explícita;
Se debe informar al Titular que no está obligado a autorizar el tratamiento de dicha información;
Se debe informar de forma explícita y previa al Titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo;
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.
Adicionalmente, en cumplimiento de los protocolos de bioseguridad adoptados con el fin de controlar y evitar la propagación del Covid - 19, Sodexo recopila la información requerida por las autoridades locales y nacionales al ingreso de sus instalaciones, tanto de sus funcionarios como de visitantes o terceros en general. Esta información será mantenida dentro de los
archivos de Sodexo durante la vigencia de la emergencia sanitaría que sea decretada por el Gobierno Nacional y/o mientras que la obligatoriedad de mantener un protocolo de bioseguridad y un reporte de casos de contagio a las autoridades locales y de salud persista.
De esta forma, en caso que se deba obtener información que verse sobre niños o niñas menores de edad, su suministro por parte del representante legal o acudiente de dicho menor de edad será facultativo, y este otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado conforme a la razonable determinación de su nivel de madurez, autonomía y capacidad para entender el asunto. Así mismo, Sodexo se reserva la posibilidad de poner en conocimiento de las autoridades situaciones que en su concepto puedan poner o pongan en peligro la integridad de un menor de edad.
En el Tratamiento se asegurará por parte de Sodexo el interés superior del menor, el respeto a los derechos prevalentes de los niños, niñas y adolescentes y a sus derechos fundamentales.
Enviar información relacionada con Sodexo, con sus servicios actuales y futuros;
Atender y dar trámite a las peticiones, quejas y reclamos formulados por los Titulares de la información;
Atender requerimientos de autoridades judiciales y/o administrativas en ejercicio de sus funciones;
Conservar la información para fines estadísticos e históricos y/o para cumplir con obligaciones legales en lo que a conservación de información y archivos se refiere.
Cumplir con las obligaciones constitucionales y legales, incluyendo la prevención de lavado de activos y antiterrorismo.
Toda la información será almacenada en la(s) base(s) de datos generada(s) para los fines que su recopilación requiera, y su tratamiento se mantendrá mientras que las finalidades de su recolección y conocimiento se mantengan y/o mientras que se mantenga vigente la relación contractual con el Titular. En consecuencia el periodo de vigencia de la base de datos corresponde al tiempo razonable y necesario para cumplir las finalidades del tratamiento.
En caso de ser necesario, para dar cumplimiento a obligaciones legales en materia contable y de archivo o manutención de información o documentación de funcionarios, el tratamiento se mantendrá por parte de Sodexo mientras que dichas obligaciones se mantengan.
Así mismo, respecto de la información almacenada en forma física, podrá llevar a cabo el Tratamiento de los datos en sus propios archivos o en aquellos administrados por un tercero, ubicados en las instalaciones de Sodexo o fuera de ellas, caso en el cual se velará por contar con acuerdos en los que se establezcan las obligaciones que deberán observar esos terceros, además de la exigencia del cumplimiento de la presente Política de privacidad.
En virtud de lo anterior, Sodexo se asegurará de que sus clientes, a la firma del contrato de prestación de servicios y transmisión de datos, declaren que cuentan con todas las autorizaciones necesarias para poder acceder, analizar y en general tratar los datos personales de dichos terceros, así como la posibilidad de compartirlos con terceros que actúan bajo la calidad de Encargados.
Siguiendo las instrucciones entregadas por las entidades Responsables de los datos, Sodexo
realizará el tratamiento en pro de la adecuada prestación de sus servicios.
Dicho tratamiento comprende gestionar y desarrollar la correcta operación de los servicios de gastronómicos, de catering, administración de máquinas dispensadoras, facilities management, servicios de outsourcing especialmente relacionados con servicios de aseo, limpieza y mantenimiento industrial, hotelería, lavandería, servicios de apoyo administrativo y entrega de correspondencia, así como el cargue y descargue de mercancías, y logística de eventos, entre otros conforme a lo establecido en el objeto social de Sodexo y en general, toda actividad
indispensable para cumplir con el contrato firmado entre Sodexo y la empresa cliente, la regulación y la normatividad vigente aplicable.
Eventualmente los clientes podrán establecer otras finalidades para el tratamiento de los datos personales, y para ello, deberán contar con la autorización previa, expresa, consentida e informada del Titular para su correspondiente tratamiento, esta autorización se dará a través de las firmas que se den entre usuario final y cliente.
Actuando bajo la calidad de Encargado del tratamiento, Sodexo realizará el tratamiento de acuerdo con las indicaciones de sus clientes, y únicamente para las finalidades para las cuales estos se encuentren autorizados como Responsables del tratamiento.
Esta información será almacenada en la(s) base(s) de datos generada(s) para los fines que su recopilación requiera, y su tratamiento se mantendrá mientras que la relación contractual con la entidad cliente se mantenga y/o durante el tiempo que la entidad cliente solicite su almacenamiento.
Sin embargo, en caso de incumplimiento de las obligaciones por parte de esos terceros la obligación no será asumida por Sodexo, quien actúa como un tercero de buena fe, de tal manera que su actuación siempre estará basada en el convencimiento que esos terceros cuentan con las autorizaciones necesarias para tratar la información de acuerdo con las finalidades para las que se les es entregada y mantienen los datos sobre los que actúa como Encargado del tratamiento de acuerdo con las directrices legales y contractuales.
Lo anterior, sin perjuicio de las obligaciones legales de los Responsables y Encargados del tratamiento.
En caso de ser un sujeto obligado bajo lo dispuesto por la Superintendencia de Industria y Comercio, Sodexo realizará el registro de las bases de datos sobre las cuales actúa como Responsable del Tratamiento ante el Registro Nacional de Bases de Datos, así como los reportes mensuales, semestrales o anuales que sean requeridos.
Las bases de datos, al igual que la información contenida en estas, estará disponible de acuerdo con la ejecución de las actividades para la cual fueron recopiladas, y en atención a los parámetros de tratamiento y almacenamiento informado en el aparte anterior.
DERECHOS DE LOS TITULARES DE LOS DATOS
Los Titulares de los datos de carácter personal contenidos en bases de datos que reposen en los sistemas de información de Sodexo, tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en el Constitución Política y la Ley. El ejercicio de estos derechos será gratuito e ilimitado por parte del Titular del dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos.
El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidos por el Titular del dato de manera exclusiva, salvo las excepciones de ley.
Derecho de Acceso y conocimiento
Este derecho comprende la facultad del Titular del dato de acceder de forma gratuita a toda la información respecto de sus propios datos personales, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus datos personales, y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no.
Así mismo, tiene derecho a ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
Derecho de Actualización
Este derecho comprende la facultad del Titular del dato de actualizar sus datos personales cuando éstos hayan tenido alguna variación.
Derecho de Rectificación
Este derecho comprende la facultad del Titular del dato de solicitar la modificación de los datos que resulten ser inexactos, incompletos o inexistentes.
Los derechos de acceso, actualización y rectificación se podrán ejercer entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
Derecho de Cancelación o Supresión
Este derecho comprende la facultad del Titular del dato de cancelar o suprimir sus datos personales o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, o por la mera voluntad, salvo en aquellos casos contemplados como excepciones por la ley.
Derecho a la Revocatoria del Consentimiento
El Titular de los datos personales tiene el derecho de revocar el consentimiento o la autorización que habilitaba a Sodexo para un tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepciones por la ley y/o que sea necesario en un marco contractual específico.
Derecho de Oposición
Este derecho comprende la facultad del Titular del dato de oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular. Sodexo, con base en los legítimos derechos que argumente el Titular del dato personal, hará un juicio de proporcionalidad o ponderación con el fin de determinar la Preeminencia o no del derecho particular del Titular del dato sobre otros derechos.
Derecho a presentar Quejas y Reclamos o a ejercer Acciones
El Titular del dato personal tiene derecho a presentar ante Sodexo Consultas y Reclamos de conformidad con las leyes que los reglamentan y queja ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente. Sodexo dará respuesta a los requerimientos que realicen las autoridades competentes en relación con estos derechos de los Titulares de los datos personales.
Derecho a otorgar Autorización para el tratamiento de datos
En desarrollo del principio del Consentimiento Informado, el Titular del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en Sodexo.
De manera excepcional, esta autorización no será requerida en los siguientes casos:
Cuando la información sea requerida o deba ser entregada a una entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.
Cuando se trate de datos de naturaleza pública.
En casos de emergencia médica o sanitaria.
Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
Cuando se trate de datos personales relacionados con el Registro Civil de las personas.
En estos casos, si bien no se requiere de la autorización del Titular, si tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales.
El Titular cuenta con el derecho a solicitar prueba de la autorización que fue otorgada. Este derecho no procederá cuando la autorización este expresamente exceptuada como requisito para el tratamiento.
DEBERES DE SODEXO ANTE EL TRATAMIENTO DE LOS DATOS PERSONALES.
Sodexo como Responsable del Tratamiento, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y/o en otras normas que rijan su actividad, cumple con las siguientes obligaciones:
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular;
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de terceros;
Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley;
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
Tramitar las consultas y reclamos formulados en los términos señalados en la ley;
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos;
Informar al Encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
Informar a solicitud del Titular sobre el uso dado a sus datos.
Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
De igual forma, Sodexo como Encargado del Tratamiento, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y/o en otras normas que rijan su actividad, cumple con las siguientes obligaciones:
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley;
Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley;
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley;
Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
En el tratamiento de los datos personales, Sodexo adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los Datos Personales tratados. Implementaremos medidas técnicas y organizativas apropiadas para proteger los Datos personales contra la alteración o pérdida accidental o ilegal, o contra el uso, la divulgación o el acceso no autorizados, de acuerdo con nuestra Política de seguridad de sistemas e información del Grupo. En desarrollo del principio de Seguridad de los Datos Personales, Sodexo adoptará una directriz general sobre estas medidas, que serán de obligatorio acatamiento por parte de los destinatarios de esta Política.
Es obligación de los destinatarios de esta Política informar a Sodexo cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la entidad para proteger los datos personales confiados a ella, así como cualquier tratamiento que Sodexo de a los mismos, una vez tengan conocimiento de esta situación.
Cuando Sodexo tenga conocimiento de una violación de seguridad, entendida como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de manera accidental, en cualquier fase
del tratamiento y que represente un riesgo para la protección de los datos personales, notificará de inmediato dicho incidente a la autoridad de control, a los titulares y al Grupo Corporativo al cual pertenece (la notificación deberá hacerla a través de la herramienta establecida para ello: ONE TRUST) de conformidad con lo establecido en la Ley, decreto reglamentario y demás normas que complementen y/o sustituyan, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.
La responsabilidad en el adecuado tratamiento de datos personales al interior de Sodexo está en cabeza de todos sus empleados y administradores societarios. En consecuencia, al interior de cada área que maneje los procesos de negocios que involucren tratamiento de Datos Personales, se deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la presente Política, dada su condición de custodios de la información personal contenida en los sistemas de información de Sodexo.
En caso de duda respecto del tratamiento de los Datos Personales, se acudirá al área Responsable de la seguridad de la información y/o a la Gerencia Legal para que indiquen la directriz a seguir, según el caso.
De conformidad con el artículo 14 de la Ley 1581 de 2012 las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá la consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Cuando la información personal sea requerida por una entidad pública o administrativa en el ejercicio de sus funciones, Sodexo tiene la obligación de entregarla sin que medie autorización del usuario para el efecto.
De conformidad con el artículo 15 de la Ley 1581 de 2012 cuando el Titular o sus causahabientes consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de
cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante el Responsable o Encargado del Tratamiento.
El reclamo se formulará mediante solicitud dirigida a Sodexo con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que Sodexo no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al titular interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda se mantendrá hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Si la solicitud de retiro se hace con posterioridad a finalizada la relación legal o contractual y ya no resulta necesario para Sodexo mantener la información con el fin de cumplir sus obligaciones, la eliminación de los datos significará que los mismos no podrán ser accesibles para el desarrollo de las operaciones normales de Sodexo. Sin embargo, podrán mantenerse en sus archivos con fines estadísticos, históricos, cumplimiento de obligaciones legales o atención de requerimiento de autoridades en ejercicio de sus funciones.
En caso de que la solicitud que realice el Titular de los datos o sus causahabientes esté relacionada con las autorizaciones para el Tratamiento que sean recopiladas por terceros, Sodexo hará sus mejores esfuerzos por atender la solicitud de manera adecuada y, en caso de no poder hacerlo, realizará el traslado de la solicitud a los terceros Encargados de la recolección de la información, sin embargo, en tales casos no se hará responsable por el contenido de las respuestas que se otorguen a las solicitudes. Lo anterior sin perjuicio del cumplimiento de las obligaciones legales de los Responsables y Encargados.
Los Titulares de la información podrán realizar peticiones, consultas y/o reclamos respecto de sus datos personales a través de los siguientes canales de atención:
En las oficinas físicas de atención al usuario ubicadas en la Avenida Autopista Norte No. 114 –44, Piso 5°, Bogotá D.C., Teléfono: (+57 1) 7421460, o a través del Correo electrónico: [email protected]
DESARROLLO Y COMUNICACIÓN
Sodexo como Responsable y/o Encargado del tratamiento de la información desarrollara medidas para garantizar el cumplimiento de la normatividad vigente, las cuales serán incluidas dentro del Procedimiento para la privacidad de Datos- Habeas Data.
Tanto esta política como sus documentos asociados serán comunicados a cada uno de los terceros involucrados y se realizarán capacitaciones a los colaboradores de Sodexo que manejen información sensible para garantizar el cumplimiento de esta política.
12.1. VIGENCIA
La presente política entra en vigor a partir de su expedición y se actualizara cada vez que sea necesario.
Control de Edición
Versión: 2 – Fecha de Emisión: 14 de Febrero de 2022