POLITICA DE TRATAMIENTO DE LA INFORMACIÓN Y DATOS PERSONALES

ASSISTCARGO SAS · Política de Tratamiento de la Información y Datos Personales

GENERALIDADES

ASSISTCARGO SAS. reconociendo el derecho constitucional a la protección de los datos personales de toda persona a conocer, actualizar, rectificar y/o cancelar la información y los datos personales que de ella se hayan recolectado y/o se traten en bases y compilaciones de datos públicas o privadas, esto establecido en el artículo 15 de la Constitución Política de 1991, y desarrollado mediante la Ley 1581 de 2012 “Ley Estatutaria de Datos Personales”, en la cual se establece por parte el Congreso de la República las Disposiciones Generales para la Protección de Datos Personales, y consiente de la responsabilidad que le asiste en el tratamiento de datos personales de los titulares, a fin de garantizar el derecho constitucional antes reconocido aplicable a todo dato personal recolectado de conformidad con las finalidades previstas en la Ley, las autorizaciones respectivas y en el contexto del giro ordinario de los negocios de La Empresa, elabora la presente POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES la cual es de aplicación de carácter obligatorio para todas las personas naturales o jurídicas que hagan tratamiento de los datos personales registrados en nuestras bases de datos, esto a fin de que aquellos sean objeto del tratamiento de conformidad con lo establecido en el régimen nacional de protección de datos personales vigente en la república de Colombia, dentro de los presente lineamientos

ASSISTCARGO SAS pone de presente a todos los interesados y personas con las que se pueda llegar a tener relación alguna, que los datos personales que se obtengan en atención a cualquiera de sus líneas de negocio, establecimientos de comercio, canales de atención o de captura de información, serán tratados conforme a los principios y deberes establecidos por la Ley 1581 de 2012 y las demás normas que traten y regulen esta materia. Para todos los fines pertinentes, el domicilio de ASSISTCARGO SAS es Calle 60ª Sur # 68-08 Torre 2- 1806 de la ciudad de Bogotá D.C., correo electrónico habeasdata@assistcargo.com

OBJETO

La presente política de tratamiento y protección de datos tiene el propósito de entregar la información necesaria y completa para el establecimiento de los lineamientos que garanticen la protección de los datos personales que son objeto de tratamiento con ocasión de las actividades comerciales, empresariales, laborales, y en general cualquier relación que implique la recolección de datos por parte de La Empresa, a fin de dar cumplimiento a la ley, y los procedimientos para la atención de los derechos de los titulares, los criterios de recolección, el almacenamiento, uso, circulación y supresión que se dará a los datos personales por nuestra parte, en virtud del desarrollo de nuestro objeto social.

Por esto, se determina un adecuado manejo en la proteccion de la confidencialidad, privacidad e intimidad de los datos personales, estableciendo criterios para la recolección, almacenamiento, uso, circulación y supresión, garantizando la reserva de la información y la seguridad sobre el tratamiento que se le dará́ a los datos personales de los clientes, contratistas, proveedores y demás personas que suministren información a la sociedad, dando cumplimiento a los principios, derechos, libertades y garantías que la Ley consagra.

AMBITO DE APLICACIÓN Y DESTINATARIOS

La Empresa se sujetará a todo lo relacionado con la privacidad y tratamiento de datos personales establecido por la ley 1581 de 2012 y su decreto reglamentario 1377 de 2013 y demás que lo modifiquen, así como en el artículo 269 de la Ley 1273 de 2009; y en general por todas las normas relacionadas al habeas data.

Esta política será aplicable a todos los datos personales registrados en bases de datos que sean objeto de tratamiento por el responsable del tratamiento, y en general en lo referente a la protección de la información personal obtenida dentro del desarrollo misional y habitual de la Empresa.

ALCANCE

Dar un trámite expedito y legal a las diferentes solicitudes y reclamaciones hechas por los Titulares de la Información, así como por sus causahabientes u otra persona que cuente con la debida autorización. Dar cumplimiento a las exigencias de la normatividad vigente en materia de Protección de Datos Personales, así como a cualquier exigencia originada en el principio de responsabilidad demostrada. Brindar la debida protección a los intereses y necesidades de los titulares de la Información personal tratada por La Empresa.

DEFINICIONES

Para efectos de entender el tratamiento de los datos personales, presentamos las siguientes definiciones, las cuales se encuentran atemperadas en el artículo 3 de la Ley 1581 de 2012 y en el artículo 3 del Decreto 1377 de 2013.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
Copropietario: Persona natural o jurídica que tiene una relación de propiedad con inmuebles privados y de áreas comunes que conforman la Copropiedad.
Empleado: Persona natural que labora para la Empresa, vinculado mediante un contrato laboral a cambio de una contraprestación denominada salario.
Contratista: Persona natural y/o jurídica que presta sus servicios profesionales debido a un contrato de prestación de servicios profesionales.
Cliente: Persona natural que utiliza los servicios de la Empresa en virtud de la relación comercial vigente.
Proveedor: Persona natural y/o jurídica que suministra bienes y/o servicios a la Empresa debido a la relación comercial existente, no es indispensable la suscripción de un contrato.
Exempleado y Excontratista: Persona natural y/ o jurídica que prestó sus servicios a la Empresa mediante un contrato laboral y/o de prestación de servicios cuya relación contractual termino por cualquiera de las causales establecidas en el contrato de trabajo y/o de prestación de servicios.
Cliente Prospecto: Es aquel consumidor o empresa que tiene un interés en comprar un producto o servicio.
Candidato: Persona natural interesado en participar en procesos de selección para vincularse a la empresa.
Empresa: Assistcargo SAS

PRINCIPIOS

En el desarrollo, interpretación y aplicación de la ley, regulaciones, y normatividad vigente, se aplicarán, de manera armónica e integral, los siguientes principios:

Principio de Legalidad en Materia de Tratamiento de Datos: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en las respectivas leyes, decretos y demás disposiciones que la desarrollen.
Principio de Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
Principio de Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
Principio de Seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de Confidencialidad: Todos los funcionarios y contratistas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. La Empresa se compromete a tratar los datos personales de los titulares de forma absolutamente confidencial haciendo uso de estos, exclusivamente, para las finalidades indicadas en el apartado anterior, siempre que el titular no se haya opuesto a dicho tratamiento. La Empresa informa que tiene implantadas las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos personales y eviten su alteración, pérdida, tratamiento y/o acceso no autorizado.
Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.
Principio de Necesidad: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos

CATEGORIAS ESPECIALES DE DATOS

DATOS SENSIBLES

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares

TRATAMIENTO Y FINALIDADES

Los datos personales tendrán las siguientes finalidades, de acuerdo con las bases de datos que son tratadas por el responsable, y de acuerdo con cada carácter así:

Socios: Gestión administrativa, económica, de pagos, fiscal y contable.
Empleados: Acatar las obligaciones propias de la relación laboral, gestión de nómina, beneficios legales y convencionales, evaluaciones de desempeño y calidad, gestión fiscal, económica y contable, gestión de trabajo temporal, prestaciones sociales, prevención de riesgos laborales y seguridad en el trabajo, selección y promoción de personal, y cualquier otra derivada de la Ley o de la relación laboral.
Contratistas: Acatar las obligaciones propias de la relación de prestación de servicios, gestión de honorarios, beneficios legales y convencionales, evaluaciones de desempeño y calidad, gestión fiscal, económica y contable, gestión de trabajo temporal, prestaciones sociales, prevencion de riesgos laborales y seguridad en el trabajo, selección y promoción de personal, y cualquier otra derivada de la Ley o de la relación contractual.
Clientes: Gestión administrativa, de cobros y pagos, de facturación, económica, contable, y fiscal, históricos de relaciones comerciales, publicidad propia o por tercero, mercadeo y marketing, prospección comercial, gestión de clientes, y cualquier otra derivada de la Ley o de la relación contractual.
Proveedores: Gestión administrativa, fiscal, de cobros y pagos, económica y contable, históricos de relaciones comerciales, gestión de proveedores, y cualquier otra derivada de la Ley o de la relación contractual.
Prospectos: Gestión de publicidad y prospección comercial, ofrecimiento de productos y servicios, marketing, encuestas de opinión, análisis de perfil del prospecto.
Candidatos: Gestión y Administración de la promoción y selección de personal, pruebas psicotécnicas, análisis de seguridad y visitas domiciliarias.

Eventualmente los datos podrán ser compartidos con terceros y autoridades que ejerzan funciones de Inspección, Control y Vigilancia, también se podrán utilizar para remitir información comercial, legal, de interés general, entre otras.

La información recolectada no será utilizada en ningún momento para actividades o propósitos diferentes de las áreas de negocios ofrecidas por la Empresa.

Los datos personales solo se mantendrán durante el tiempo que dure la relación contractual, comercial y/o laboral, o por el tiempo que sea requerido por el ordenamiento jurídico colombiano o teniendo en cuenta la relevancia propia de los fines para los que fueron recopilados, en todo caso La Empresa se encuentra en la obligación de garantizar la reserva de la información, aun después de finalizada la relación.

TRANSFERENCIA Y TRANSMISION DE DATOS PERSONALES

La Empresa, podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación, o de conformidad con las funciones establecidas a su cargo en las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley. En todo caso, La Empresa transmita los datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará:

Alcances del tratamiento,

Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales

Las obligaciones del Encargado para con el titular y el responsable. Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.

Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

Dar Tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.

Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

Guardar confidencialidad respecto del tratamiento de los datos personales.

DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS

DERECHOS DE LOS TITULARES

En el Tratamiento de Datos Personales por parte de La Empresa, se respetarán en todo momento los derechos de los titulares de Datos Personales que son:

Conocer, actualizar y rectificar los Datos frente a él o los Encargados del Tratamiento de datos.
Solicitar prueba de la autorización otorgada, o cualquier otra que suscriba el titular de los Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito para el Tratamiento de datos de conformidad con la ley.
Ser informado por la Entidad o el Encargado del Tratamiento, previa solicitud, respecto del uso que se les ha dado a los datos.
Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Autoridad Competente haya determinado que, en el tratamiento La Empresa o Encargados del Tratamiento de Datos Personales, han incurrido en conductas contrarias a la ley y a la Constitución. La revocatoria procederá siempre y cuando no exista la obligación legal o contractual de conservar el dato personal.
Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento

AUTORIZACION DEL TITULAR

Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste por escrito, de forma oral mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización, como cuando, por ejemplo, se remite a la Entidad una hoja de vida para participar en procesos de selección o cuando se ingresa a las instalaciones a sabiendas de la existencia de sistemas de videovigilancia.

SUMINISTRO DE LA INFORMACION

La información solicitada por los Titulares de información personal será suministrada principalmente por medios electrónicos, o por cualquier otro solo si así lo requiere el Titular. La información suministrada por La Empresa será entregada sin barreras técnicas que impidan su acceso; su contenido será de fácil lectura, acceso y tendrá que corresponder en un todo a aquella que repose en la base de datos.

DEBER DE INFORMAR AL TITULAR.

La Empresa, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

El Tratamiento al cual serán sometidos sus datos personales y la finalidad de este.

El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles

Los derechos que le asisten como Titular.

La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento.

La Empresa como responsable del Tratamiento, deberá conservar prueba del cumplimiento de lo previsto en el presente numeral y, cuando el Titular lo solicite, entregarle copia de esta.

PERSONAS A QUIENES SE LES PUEDE SUMINSITRAR LA INFORMACIÓN

La información que reúna las condiciones establecidas en la ley podrá ser suministrada a las siguientes personas:

A los Titulares, sus causahabientes o sus representantes legales.

A las Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

A los terceros autorizados por el Titular o por la ley.

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO

La Empresa como responsable del Tratamiento, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
Informar a solicitud del Titular sobre el uso de sus datos.
Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO

Los Encargados del Tratamiento, y en el evento en el cual La Empresa actúe como encargada, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Realizar oportunamente la actualización, rectificación o supresión de los datos
Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente política.
Abstenerse de circular información que esté siendo controvertida por el Titular
Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
Verificar que el responsable del Tratamiento tiene la autorización para el tratamiento de datos personales del Titular

ACCIONES GENERALES PARA LA PROTECCION DE DATOS PERSONALES

A continuación, se establecen los lineamientos generales aplicados por La Empresa con el fin de cumplir con sus obligaciones en cumplimiento de los principios para la administración de datos personales. Estos lineamientos son complementarios a las políticas, procedimientos o instructivos generales actualmente existentes e implementados, entre las que se encuentran las políticas de gestión de datos e información y el procedimiento gestión de datos e información y en ningún momento pretenden remplazarlas o desconocerlas.

TRATAMIENTO DE LA INFORMACION

Todos los miembros de la Entidad, al realizar las actividades propias de su cargo, asumirán las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final

USO DE LA INFORMACION

La información de carácter personal contenida en las bases de datos debe ser utilizada y tratada de acuerdo con las finalidades descritas en el numeral 8 de la presente política. En caso de que algún área identifique nuevos usos diferentes a los descritos en la presente política de tratamiento de datos personales, deberá informar al área de recursos humanos o cualquier área de La Empresa que maneje información de los clientes, proveedores, instructores, etc., quien evaluará y gestionará, cuando aplique, su inclusión en la presente política. Igualmente, se deben tomar en consideración los siguientes supuestos:

En caso de que un área diferente de la que recolectó inicialmente el dato personal requiera utilizar los datos personales que se han obtenido, ello se podrá hacer siempre que se trate de un uso previsible por el tipo de servicios que ofrece la Entidad y para una finalidad contemplada dentro de la presente Política de Tratamiento de Datos Personales.

Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.

En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, el área que solicitó los datos personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de Tratamiento de Datos Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los datos personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un titular haya presentado algún reclamo

Los funcionarios no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del titular del dato, en los casos en que así sea necesario.

Únicamente los funcionarios y contratistas autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el área de talento humano de la empresa, de acuerdo con los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información personal.

Cualquier uso de la información diferente al establecido, será previamente consultado con el líder de cada área.

ALMACENAMIENTO DE INFORMACION

El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

DESTRUCCIÓN

La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

PROCEDIMIENTO DE GESTION DE INCIDENTES CON DATOS PERSONALES

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas. En caso de conocer alguna incidencia ocurrida, el usuario debe comunicarla al área de recursos humanos, que adoptará las medidas oportunas frente al incidente reportado.

El Área encargada informará de la incidencia a la gerencia de La Empresa, para tal efecto dentro de los 15 días a partir del conocimiento de esta Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:

Notificación de Incidentes: Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal datos personales se deberá informar al área de recursos humanos, quién gestionará su reporte a la gerencia.

Gestión de Incidentes: Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de los activos e información personal de la Entidad

Identificación: Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado en la organización

Reporte: Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por La Empresa. Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el área de recursos humanos debe ser notificado de forma inmediata. Los funcionarios deben reportar a su jefe directo y al área de recursos humanos, cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder de la Entidad. A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, Oficina Asesora Jurídica deberá intervenir con el fin de prestar el asesoramiento adecuado.

Contención, Investigación y Diagnostico: El área de recursos humanos, debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado por gerencia.

Solución: cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.

Cierre de Incidente y Seguimiento: Gerencia junto con el área de recursos humanos y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad. El área de recursos humanos preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.

CAPACITACION DE FUNCIONARIOS Y CONTRATISTAS

La Empresa, desarrollará programas anuales de capacitación y concientización en Protección de datos personales y seguridad de la información. La Entidad debe poner en conocimiento estas políticas por el medio que considere adecuado y con ello, capacitar a sus aliados, proveedores y contratistas en la administración de los datos personales con una periodicidad al menos anual, con el fin de medir sus conocimientos sobre el particular. Los nuevos aliados y contratistas, al momento de vincularse con la Entidad, deben recibir capacitación sobre Protección de datos personales y seguridad de la información dejando constancia de su asistencia y conocimiento En el desarrollo de los programas de capacitación y concientización se deberá asegurar que los funcionarios, contratistas y terceros conozcan sus responsabilidades con respecto a Protección de datos personales y seguridad de la información. Los programas de capacitación serán actualizados de forma periódica. Desde el proceso de Gestión de Talento Humano, se definirán los planes de capacitación y evaluación de los empleados de acuerdo con los cambios normativos que se vayan presentando.

EXCEPCIONES

El régimen de protección de datos personales no se aplicará en los siguientes casos:

A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.
A las bases de datos y archivos de información periodística y otros contenidos editoriales;
A las bases de datos y archivos regulados por la Ley 1266 de 2008;
A las bases de datos y archivos regulados por la Ley 79 de 1993.

CONSULTAS Y RECLAMOS

Las consultas y reclamos de parte del titular del dato personal debe sujetarse a lo dispuesto en los artículos 14 y 15 de la Ley 1581 de 2012, su decreto reglamentario 1377 de 2013 y demás normas que lo modifiquen o adicionen, las cuales se deben dirigir por escrito a la dirección Calle 60ª Sur # 68-08 Torre 2- 1806 de la ciudad de Bogotá D.C Teléfono (+57) 315 3815665, o correo electrónico habeasdata@assistcargo.com/, indicando:

Nombre y apellidos del Titular.

Fotocopia de la Cédula de Ciudadanía del Titular y, en su caso, de la persona que lo representa, así́ como del documento acreditativo de tal representación.

Descripción de la petición.

Dirección para notificaciones, fecha y empresa del solicitante.

Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

La respuesta de las consultas y reclamos se realizarán dentro de los 10 y 15 días hábiles a partir de la fecha de recibido respectivamente.

PUBLICACIÓN Y MODIFICACIONES

La Empresa publicará y mantendrá disponible para consulta la presente política y podrá en cualquier momento realizar modificaciones, las cuales serán publicadas en la página web https://www.assistcargo.com/ o en el medio que esta determine.

De presentarse cambios en lo que refiere a la finalidad del tratamiento, la Sociedad solicitará una nueva autorización del Titular de los datos; a través de diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet, carteles informativos, entre otros.

Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos anteriormente, el Titular no ha contactado al responsable o Encargado para solicitar la supresión de sus datos personales en los términos de la presente política, la Sociedad podrá continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para las finalidades indicadas.

VIGENCIA DE LA POLITICA

La presente política entra en vigor a partir de la fecha de su publicación a través de la pagina web https://www.assistcargo.com/

La presente Política está vigente desde el 01 de febrero de 2026

___________________________

MARTÍN ADRIAN QUINTEIRO

Representante Legal

ASSISTCARGO SAS

NIT: 901.188.010-1