POLÍTICA TRATAMIENTO DE LA INFORMACIÓN

En cumplimiento de las disposiciones de la Ley 1581 de 2012 “por la cual se dictan disposiciones generales para la protección de datos personales” y del Decreto reglamentario 1377 de 2013 “por el cual se reglamenta parcialmente la Ley 1581 de 2012”, Masser SAS (en adelante Masser) publica la presente política la cual contiene los lineamientos que aplica para el tratamiento de los datos personales de sus clientes, proveedores y usuarios de sus distintos programas y planes de mercadeo.

1. Responsable del Tratamiento de Datos Personales:

Masser, sociedad constituida mediante documento privado del 17 de Enero de 2012 registrado en la Cámara de Comercio el día 20 de Enero de 2012, con domicilio en la ciudad de Barranquilla, y con dirección de notificación en la Calle 94 N° 51b -43 Oficina 405 Edifico Buro 51, correo electrónico de notificación judicial en infomasser@masser.com y PBX: 3669530.

2. Tratamiento de los Datos Personales capturados por el Responsable del Tratamiento:

Para el tratamiento, recolección, almacenamiento, uso, circulación, supresión entre otras de datos personales de personas naturales por Masser, deberá obtenerse autorización previa e informada de su Titular (persona natural cuyos datos personales sean objeto de Tratamiento) o quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del Decreto 1377 de 2013, la cual podrá ser concedida por medio escrito u oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización y que pueda ser objeto de consulta posterior por su Titular o de quien se encuentre legitimado para ejercer los derechos del Titular conforme la ley.

Para efectos de la presente política, los términos que se señalan a continuación tendrán los siguientes significados, los cuales fueron tomados de la Ley 1581 de 2012 y del Decreto 1377 de 2013:

“a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

b) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales;

c) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;

d) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

Ciertos datos personales hacen parte de los denominados “datos públicos”, dentro de los cuales se encuentran aquellos incluidos en el Registro Civil. Masser en orden a dar cumplimiento a sus obligaciones legales y contractuales, requiere del tratamiento de numerosos datos personales, entre estos los de sus trabajadores, a los cuales le resulta aplicable las disposiciones prevista por la Ley 1581 de 2012, y su Decreto Reglamentario 1377 de 2012, y en consecuencia la presente política.

e) Datos sensibles: se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

f) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

g) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

h) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

h) Transferencia: la transferencia de datos tiene lugar, cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

i) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable”.

Masser captura datos personales en las siguientes actividades, sin perjuicio que existan otras donde también lo haga:

  1. Captación de datos a través de la Línea de Servicio al Cliente
  2. Manejo de información de Proveedores
  3. Manejo de información de cartera de sus clientes
  4. Promociones o actividades especiales dirigidas a sus clientes.
  5. Programas de mercadeo.
  6. Manejo de información de nómina y de selección de personal.
  7. Estudios de mercado

Durante la ejecución de las actividades donde se presente la captura de datos personales, el reporte, divulgación, uso, consulta, eliminación o supresión, reenvío, transferencia, transmisión, administración, acceso, conservación, almacenamiento, archivo, análisis, copia, procesamiento e inclusión de dichos datos personales dentro de sus bases de datos en su servidor o el de un tercero tanto en el país como fuera de él, Masser deberá ceñirse a los términos de la Ley 1581 de 2012 y el Decreto 1377 de 2013 en el Tratamiento de los datos personales de terceros, para lo cual obtendrá previamente autorización de su Titular. Previo a compartir datos personales con terceros, aliados, contratistas, proveedores, Masser deberá cerciorarse de haber obtenido previamente la autorización del Titular de los datos para darle ese uso. De acuerdo con lo anterior, solo podrá compartir datos personales con terceros cuando cuente con la debida autorización de su titular.

En los usos para los cuales destina Masser los datos personales que captura en ejecución de su objeto social se encuentran, sin limitarse a ellos:

  1. Atención de requerimientos de autoridades.
  2. Manejo interno a efectos de registro de sus clientes.
  3. Análisis de riesgo crediticio, análisis estadísticos o de seguridad de sus clientes o usuarios.
  4. Ejecución y/o cumplimiento de los contratos que tiene con terceros, ya sea de compra o venta de combustibles líquidos o GNV o contratos de otra naturaleza comprendidos dentro de su objeto social.
  5. El envío de correspondencia, correos electrónicos o contacto telefónico con sus clientes, proveedores y usuarios de sus distintos programas en desarrollo de actividades publicitarias, promocionales, de mercadeo (principalmente para planes de fidelidad y relacionales) de ejecución de ventas o estudios de mercado enfocados a su actividad de distribución de combustibles líquidos o GNV o prestación de servicios complementarios.
  6. Para compartir información con aliados comerciales para el ofrecimiento de servicios con beneficios para nuestros clientes, así como encargados de algún tratamiento de la información, en particular para la realización de actividades de conocimiento al cliente, relacionamiento comercial o publicitario, gestión de ventas y actividades de cobranza.
  7. Selección de personal, administración de contrataciones, manejo de relaciones laborales y cumplimiento de las obligaciones derivadas de la misma, otorgamiento de beneficios a sus empleados por sí mismo o a través de terceros, así como permitir el acceso de los empleados a los recursos informáticos de la empresa.
  8. Reporte y consulta a centrales de riesgo crediticio legalmente constituidas en Colombia principalmente a Datacredito y Cifin, en el caso de clientes de operaciones crediticias de la entidad.
  9. Análisis de prospectos con fines comerciales ya sea de clientes o consumidores.

3. Vigencia de las bases de datos:

Las bases de datos de Masser tendrán una vigencia igual al periodo de tiempo en que se mantenga la finalidad o finalidades del tratamiento en cada base de datos o aquel requerido de acuerdo a las normas contables, comerciales, tributarias, laborales, o cualquiera aplicable según la materia, y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información almacenadas en las mismas, con un plazo máximo de cincuenta años. Como consecuencia de lo anterior, y siempre y cuando ello no vaya en contravía del cumplimiento de una norma vigente, una vez cumplida la o las finalidades del tratamiento de los datos, Masser procederá a su supresión. No obstante, lo anterior, los datos personales serán conservados cuando se requieran para dar cumplimiento a una obligación legal o contractual.

4. Derechos de los Titulares de los Datos:

En aplicación de los términos de la ley, Masser asume el papel de Encargado del Tratamiento y Responsable del Tratamiento en todos los casos o en alguno de ellos, dependiendo de cada uno de ellos, cuando recolecte, almacene, use, circule, suprima o transfiera o transmita datos de Titulares en alguna de sus actividades como compañía, ya sea por si misma o a través de terceros.

Los derechos que le asisten conforme a la ley al Titular de los datos son los siguientes:

“a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012;

c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento”.

5. Tratamiento de Datos Sensibles y datos personales de niños, niñas y adolescentes:

El Tratamiento sobre datos sensibles y los pertenecientes a niños, niñas y adolescentes está prohibido. No obstante, lo anterior, Masser podrá realizar el tratamiento de datos de este tipo única y exclusivamente cuando medie autorización previa y expresa de su Titular.

Masser realiza el tratamiento de datos sensibles capturados de sus empleados y con fines únicos y exclusivos de manejo de la relación laboral con la compañía y para dar cumplimiento a las obligaciones legales, contractuales y/o convencionales derivadas de la misma, en vigencia y/o finalizada la misma.

Dichos datos son manejados en bases de datos del área de gestión humana de Masser.

Para el tratamiento de datos sensibles Masser deberá:

a) Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
b) Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento, así como obtener su consentimiento expreso.
c) No podrá condicionar ninguna actividad al suministro de datos personales sensibles.

6. Atención de Consultas, Solicitudes y Reclamos:

Masser deberá permitir el acceso gratuito del Titular de los datos a su información cuando así lo requiera para realizar consultas, así como garantizar el derecho a los Titulares de presentar reclamos y solicitudes de corrección, actualización o supresión de datos personales.

Masser podrá recibir las solicitudes antes señaladas sobre Datos Personales de:

a) El Titular del dato
b) De los causahabientes, representantes legales o apoderados de los Titulares;
c) De entidades públicas o administrativas en ejercicio de sus funciones legales o
d) Por orden judicial y de terceros autorizados por el Titular o por la ley.
e) Por estipulación a favor de otro o para otro.

Masser permitirá el recibo de consultas, solicitudes y reclamos por medio escrito a su dirección de notificación judicial en la Vía 40 No. 73-290 edificio Mix Vía 40 oficina 802de Barranquilla, por medio escrito o a través del correo electrónico infomasser@masser.com.co

Las consultas sobre datos personales serán resueltas por Masser en un término de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al Titular o sus causahabientes, manifestando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

El trámite de estas consultas y reclamos será gratuito, excepto en los casos señalados expresamente por la ley.

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular del dato tenga un deber legal o contractual de permanecer en las bases de datos de Masser.

El responsable en Masser para la protección de datos personales que dará trámite a las solicitudes, consultas y reclamos relacionados con Habeas Data, es el Oficial de Privacidad de Masser.

7. Recepción de PQR y Consultas:

a) Para PQR recibidos por medio físico: El escrito deberá ser enviado por correo físico a la Vía 40 No. 73-290 edificio Mix Vía 40 oficina 802 en la ciudad de Barranquilla o por correo electrónico infomasser@masser.com.co.

Los tiempos de respuesta serán de diez (10) días hábiles para consultas y de quince (15) días hábiles para reclamos.

b) Solicitud para conocimiento, actualización y rectificación de datos personales: Esta procederá frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado por el Titular.

c) Solicitud para revocar la autorización y/o solicitar la supresión del dato: Esta procederá a solicitud del Titular (excepto en los casos donde la ley señala expresamente que no procede) o cuando la Superintendencia de Industria y Comercio así lo determine, previa verificación del incumplimiento por parte de Masser de los principios, derechos y garantías constitucionales y legales.

d) Reclamos por inexactitud o incumplimiento de obligaciones: El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando consideren que se ha presentado un incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar reclamo ante Masser el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida a Masser, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Cuando exista un reclamo, Masser deberá informar a los terceros con quienes hubiere compartido los datos personales que están siendo objeto de reclamo, que dicho reclamo existe y que se encuentra en trámite.

Adicional a lo anterior, deberá insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

Mientras la información este siendo controvertida por su Titular ante la autoridad, Masser no podrá circularla con terceros.

8. Actualización de esta Política:

Masser se reserva el derecho de actualizar la presente Política cuando así lo requiera de acuerdo a sus procedimientos internos y ejercicio de sus actividades. Cuando sea actualizada en aspectos que resulten relevantes para los titulares de la información, deberá informarlo a través de medios idóneos de manera previa a su implementación.

9. Fecha de entrada en vigencia de la Política:

La presente política fue actualizada y es publicada el día 15 de agosto de 2016.

10. Control de Cambios

ANEXO NO.1 Aspectos básicos y actualización de bases de datos

CONCEPTOS BÁSICOS

 Dato personal: Cualquier información vinculada, o que pueda asociarse, a una o varias personas naturales determinadas o determinables.

 Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

 Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

 Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

 Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

 Transferencia: Tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información personal a un receptor, que a su vez es responsable del tratamiento, y se encuentra dentro o fuera del país.

 Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

REGISTRO NACIONAL DE BASES DE DATOS

i. Definición:

De acuerdo con el artículo 25 de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, el Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a tratamiento que operan en Colombia el cual será administrado por la Superintendencia de Industria y Comercio.

ii. Ámbito de aplicación:

Las bases de datos objeto de registro en el Registro Nacional serán todas las que contengan datos personales cuyo tratamiento, ya sea automatizado o manual, se realice por personas naturales o jurídicas, de naturaleza privada o pública, en Colombia o fuera del país; en este último caso siempre que el Responsable del tratamiento o el encargado del tratamiento le sea aplicable la legislación colombiana en virtud de las normas y tratados internacionales.

iii. Deber de inscribir las bases de datos:

El responsable del tratamiento tiene la obligación de inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a tratamiento.

iv. Términos y condiciones de la inscripción en el Registro Nacional de Bases de Datos

a. Plazo de inscripción de bases de datos existentes:

Los responsables del tratamiento deberán inscribir sus bases de datos existentes dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite el Registro Nacional de Bases de Datos.

* Registro Nacional de Bases de Datos fue habilitado el nueve (9) de noviembre del año 2015

b. Inscripción de bases de datos nuevas:

Los responsables del tratamiento deberán inscribir las bases de datos que vayan surgiendo en el ejercicio de sus actividades en el Registro Nacional de Bases de Datos incluyendo toda la información solicitada como lo es, entre otra:

 Nombre y finalidad de la base de datos
 Forma de tratamiento de la base de datos (Manual o automatizada)
 Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos
 Datos de identificación, ubicación y contacto del Encargado del Tratamiento de la base de datos
 Canales para que los titulares ejerzan sus derechos
 Política de privacidad del responsable y del encargado del tratamiento.

v. Actualización de la información contenida en el Registro Nacional de Bases de Datos

La información contenida en el Registro Nacional de Bases de Datos deberá actualizarse siempre que se presenten cambios sustanciales en la información registrada.

Son considerados cambios sustanciales los que se relacionen con la finalidad de la base de datos, el encargado del tratamiento, los canales de atención al titular, la clasificación o tipo de datos personales, las medidas de seguridad, la política de tratamiento de la información y lo relacionado con la transferencia y transmisión de datos personales.

Como puede observarse, la cantidad de titulares de la base de datos no es considerado como un cambio sustancial. Sin embargo, para esta consultoría resulta indispensable actualizar este ítem dentro del Registro Nacional de Bases de Datos.

En razón de lo anterior, se sugiere tomar los tiempos establecidos para actualizar la información contenida en la Registro Nacional de Bases de Datos por cambios sustanciales.

a. Tiempos para actualizar la información contenida en el Registro Nacional de Bases de Datos por cambios sustanciales y cambios en la cantidad de titulares (sugerencia)

 Hasta el 31 de diciembre de 2017: La actualización de la información se realizará dentro de los primeros 10 días hábiles de cada mes a partir de la inscripción de la base de datos.
 Desde el 2 de enero de 2018: La actualización de la información se realizará anualmente, entre el 2 de enero y el 31 de marzo.

b. Tiempos para actualizar la información de reclamos presentados por el titular de información

 Desde el primer semestre del año 2017: Dentro de los 15 primeros días hábiles de los meses de febrero y agosto de cada año, a partir de la inscripción de la base de datos, los responsables del tratamiento deberán actualizar la información de los reclamos presentados por los titulares.

Esta información se reportará teniendo en cuenta lo manifestado por los titulares y los tipos de reclamos preestablecidos en el registro.

* Los reclamos preestablecidos se podrán consultar en el Manual de Usuario del Registro Nacional de Bases de Datos

c. Tiempos para reportar incidentes de seguridad

Son considerados incidentes de seguridad las violaciones de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado.

 Reportar dentro de los 15 días hábiles siguientes al momento en que se detecten los incidentes de seguridad, y sean puestos en conocimiento de la persona o parea encargada de atenderlos.

* Los incidentes de seguridad reportados no son de consulta pública

SUSTENTO NORMATIVO

– Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”
– Decreto 1074 de 26 de mayo de 2015 “Por medio de la cual se expidió el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo”
– Circular Externa No. 2 de 2015 – Por medio de la cual la Superintendencia de Industria y Comercio impartió instrucciones a los Responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos – RNBD a partir del 9 de noviembre de 2015.

* – Manual de Usuario del Registro Nacional de Bases de Datos – RNBD