Reglamento Comité De Privacidad
1. OBJETIVO
Establecer los lineamientos que deben cumplir los miembros del comité de privacidad para salvaguardar el debido tratamiento de la información personal de los funcionarios de la Compañía, así como de sus clientes, proveedores y terceros en general.
2. ALCANCE
El presente Reglamento se aplica a todos los miembros del Comité de la Compañía y sus suplentes.
Copia del presente Reglamento se entregará por parte del Oficial de Cumplimiento a cada uno de los miembros en el momento en que estos inicien sus funciones.
3. RESPONSABLES
Jefe de Asuntos Legales, Miembros del comité de privacidad.
4. DESCRIPCIÓN
4.1. Preámbulo y naturaleza del comité de privacidad
El Comité de Privacidad, en adelante el Comité, es un órgano consultivo y decisorio de MASSER S.A.S. (en adelante “La Compañía”)
4.2. Objeto
La Compañía tiene el compromiso de mantener la privacidad y protección de la información personal obtenida en el curso de sus actividades económicas y de cumplir con la legislación vigente aplicable en materia de tratamiento y protección de datos personales.
Cumpliendo con lo anterior, la Compañía ha implementado las medidas necesarias para el tratamiento y protección de dicha información de conformidad con la legislación nacional colombiana, las cuales son objeto de verificación, estudio y mantenimiento por parte del Comité de Privacidad que este documento reglamenta, órgano por medio del cual se busca ampliar la salvaguarda y el debido tratamiento de la información personal de los funcionarios de la Compañía, así como de sus clientes, proveedores y terceros en general.
4.3. Composición
Este Comité estará integrado por Tres (3) funcionarios de cargos directivos de la Compañía los cuáles tendrán Un (1) suplente. Estos funcionarios serán quienes ostenten los siguientes cargos:
1. Director(a) de Servicios Complementarios.
2. Director(a) de Combustibles y Lubricantes.
3. Jefe de Control Compañíaal y;
El o los suplentes de los miembros serán quienes ostenten los siguientes cargos:
4.3.1. Director(a) de Gestión Humana.
Los miembros del Comité podrán ser representados por su suplente en no más de una (1) reunión ordinaria del Comité, y en no más de dos (2) reuniones extraordinarias en cada semestre comprendido entre enero-junio y juliodiciembre de cada año. La presencia del suplente deberá ser informada al Oficial de Privacidad por escrito con una anterioridad de por lo menos cinco (5) días hábiles de anticipación a la fecha de la reunión.
En el caso de reuniones especiales, la representación de los miembros por el o los suplentes no se tomará como parte de lo establecido en el párrafo anterior.
No obstante, los cargos mencionados, los miembros principales y suplentes podrán ser objeto de modificaciones de acuerdo con las decisiones que para el efecto se tomen por parte de la presidencia de la Compañía.
4.4. Presidente del comité
El Comité será presidido por el Oficial de Privacidad.
4.5. Oficial de privacidad
De acuerdo con la normatividad vigente en materia de protección de datos, los responsables del tratamiento de información personal deben asignar a una persona o área la función de cumplimiento de la normatividad de datos personales, y en esa medida la Compañía ha decidido radicar tal actividad en las personas que ocupen los siguientes cargos, cada una en el ámbito de sus labores y conocimientos:
• Dirección de Gestión Humana.
• Jefe de Nomina.
• Coordinador(a) de Selección.
• Dirección Financiera.
• Jefe de Servicios Administrativos.
• Auxiliar Administrativo de creación de proveedores.
• Profesional de Crédito y Cartera.
• Ejecutivo(a) E-Commerce
• Dirección de C&L.
• Profesional de Mercadeo y Servicio al Cliente.
• Dirección Operaciones.
• Profesional de Logística y Transporte.
En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde a los responsables internos y/o proveedores externos del adecuado manejo de las bases de datos propias de la Compañía.
Sin embargo, cada uno de los funcionarios, áreas y directivas de la Compañía, de acuerdo con sus funciones particulares, apoya las labores del Oficial de Privacidad, quienes además cuenta, según las necesidades del servicio, con la posibilidad de solicitar apoyo externo para el adecuado cumplimiento de las funciones asignadas.
4.6. Funciones del oficial de privacidad
En general, el Oficial de Privacidad, de acuerdo con el ámbito de sus labores, cumple con las siguientes funciones, además de todas aquellas que generalmente establecen las leyes de protección de datos personales vigentes:
Jefe de Asuntos legales (O quien haga sus veces).
• Revisar que los datos que se traten sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
• Revisar que, de acuerdo con lo declarado por el área responsable de la base de datos, los datos de carácter personal objeto de tratamiento no se usen para finalidades incompatibles con aquellas autorizadas por los titulares de la información personal y para las cuales los datos hubieran sido recogidos.
• Ordenar de forma oportuna que los datos de carácter personal sean eliminados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados o cuando resultaran ser inexactos, en todo o en parte, o incompletos.
• Detectar los terceros que actúan como encargados del tratamiento de la información propia de la Compañía y solicitar al área responsable del proveedor que suscriba contratos en donde se confirme la transmisión de datos con ellos.
• Monitorear y hacer seguimiento a la normatividad expedida en materia de protección de la información y hacer recomendaciones de ajustes al interior de la Compañía las cuales deben ser aprobadas por el Comité de Privacidad establecido.
• Efectuar en nombre de la COMPAÑÍA MASSER, el registro de las bases de datos ante la Superintendencia de Industria y Comercio, en cuanto sea requerido por ser responsable de una determinada base de datos.
• Detectar y, en su caso, notificar a la Superintendencia la creación o modificación de bases de datos de la COMPAÑÍA MASSER.
• Emitir y actualizar periódicamente las políticas que deben ser implementadas en la COMPAÑÍA MASSER para la protección de los datos personales, las cuales deben ser aprobadas por la Presidencia de la entidad previo concepto del Comité de Privacidad.
• Promover con apoyo de las Direcciones de Gestión Humana, capacitaciones a los funcionarios de la entidad y a terceros en torno a la importancia del cumplimiento de la protección de datos personales y realizar evaluaciones que permitan medir el grado de conocimiento de la legislación al interior de la entidad.
• Supervisar el cumplimiento en materia de Protección de Datos Personales de la COMPAÑÍA MASSER como Oficial de Privacidad y como parte del Comité de Privacidad de acuerdo con las funciones propias que le asisten como Jefe de Asuntos Legales.
• Atender las consultas e inquietudes relacionadas con el tratamiento de información personal que titulares, funcionarios y personas o entidades con los que se comparte la información puedan manifestar.
• Atender los requerimientos de las autoridades, así como los procesos administrativos o judiciales en materia de protección de datos personales, en conjunto con las áreas y asesores que considere adecuados para el efecto.
• Mantener la documentación actualizada de los procedimientos usados por la COMPAÑÍA MASSER para la recolección, almacenamiento, uso, circulación y supresión de información.
• Reportar los incidentes de seguridad de la información que se llegaren a presentar ante la Superintendencia Financiera y de Industria y Comercio, en caso de considerarlo necesario.
• Monitorear los procedimientos establecidos para que los Titulares puedan ejercer sus derechos al habeas data, verificando que estén disponibles y acordes con lo establecido por la regulación vigente.
Dirección comercial de combustibles & lubricantes y la dirección de servicios complementarios:
• Verificar que los datos bajo la responsabilidad de las Direcciones Comercial de C&L y de SSCC que se traten sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
• Revisar que los datos de carácter personal objeto de tratamiento por parte de estas Direcciones o se usen para finalidades incompatibles con aquellas autorizadas por los titulares de la información personal para las cuales los datos hubieran sido recogidos.
• Para el caso de las bases de datos bajo responsabilidad de estas Direcciones, se debe asegurar que, salvo en los supuestos en que la Ley exceptúa esta obligación, se cuente con el consentimiento, previo, libre e informado del titular de los datos para el tratamiento de sus datos.
• Almacenar las autorizaciones otorgadas por los titulares de la información durante el desarrollo de las campañas y programas de mercadeo.
• Detectar y notificar a la Jefatura de Asuntos Legales la creación o modificación de bases de datos con fines de mercadeo, publicidad y/o programas de fidelidad.
• Supervisar el cumplimiento en materia de Protección de Datos Personales de la Compañía como parte del Comité de Privacidad de acuerdo con las funciones propias que le asisten a estas Direcciones.
• Remitir a la Jefatura de Asuntos Legales las consultas e inquietudes relacionadas con el tratamiento de información personal que titulares, funcionarios y personas o entidades con los que se comparte la información puedan manifestar.
• Propender porque en los procesos de su responsabilidad, se implementen la totalidad de mecanismos necesarios para la protección de datos personales, emitidos por el Comité de Privacidad y/o cualquier organismo de vigilancia y control.
Con la colaboración de la Jefatura de Asuntos Legales, propender porque ante cambios en procesos y nuevos proyectos o programas, estos cuenten con los requisitos necesarios para la protección de datos personales antes de su puesta en operación,
• Presentándolos al Comité de Privacidad para obtener su visto bueno cuando se vaya a manejar información personal.
• Garantizar la respuesta de las solicitudes, consultas, quejas y reclamos de los titulares de datos personales de bases de datos bajo su responsabilidad, se contesten de manera completa dentro de los tiempos establecidos por la ley.
Dirección de gestión humana:
• Verificar que los datos bajo la responsabilidad de su Dirección correspondiente a empleados y Colaboradores, de los cuales se asegure que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
• Revisar que los datos de carácter personal objeto de tratamiento por parte de esta Dirección o se usen para finalidades incompatibles con aquellas autorizadas por los titulares de la información personal para las cuales los datos hubieran sido recogidos.
• Para el caso de las bases de datos bajo responsabilidad de esta Dirección, se debe asegurar que, salvo en los supuestos en que la Ley exceptúa esta obligación, se cuente con el consentimiento, previo, libre e informado del titular de los datos para el tratamiento de sus datos.
• Almacenar las autorizaciones otorgadas por los titulares de la información durante el desarrollo de los procesos de selección, contratación y demás establecidos para el área.
• Detectar y notificar a la Jefatura de Asuntos Legales la creación o modificación de bases de datos con fines laborales, empleabilidad, selección, contratación, etc.
• Supervisar el cumplimiento en materia de Protección de Datos Personales de la Compañía como parte del Comité de Privacidad de acuerdo con las funciones propias que le asiste a esta Dirección.
• Remitir a la Jefatura de Asuntos Legales las consultas e inquietudes relacionadas con el tratamiento de información personal que titulares, funcionarios y personas o entidades con los que se comparte la información puedan manifestar.
• Propender porque en los procesos de su responsabilidad, se implementen la totalidad de mecanismos necesarios para la protección de datos personales, emitidos por el Comité de Privacidad y/o cualquier organismo de vigilancia y control.
• Con la colaboración de la Jefatura de Asuntos Legales, propender porque ante cambios en procesos y nuevos proyectos o programas, estos cuenten con los requisitos necesarios para la protección de datos personales antes de su puesta en operación, presentándolos al Comité de Privacidad para obtener su visto bueno cuando se vaya a manejar información personal.
• Garantizar la respuesta de las solicitudes, consultas, quejas y reclamos de los titulares de datos personales de bases de datos bajo su responsabilidad, se contesten de manera completa dentro de los tiempos establecidos por la ley.
4.6.1. Responsabilidad del oficial de privacidad.
El Oficial de Privacidad, siendo responsable de velar porque la Compañía realice un debido tratamiento de los datos personales de acuerdo con la legislación nacional vigente en la materia, al no cumplir con las funciones mencionadas en este aparte podrán estar sujetos a sanciones personales impuestas, tanto por la Compañía, de acuerdo con lo que se establezca en los reglamentos internos, como por la Superintendencia de Industria y Comercio como autoridad competente en la materia.
4.7. Funciones del comité
Son funciones del Comité las siguientes:
a. Proveer los mecanismos para que existan procesos y controles diseñados para velar por la protección de datos personales, el cumplimiento de la política de tratamiento de la información, el cumplimiento de las políticas de cada área sobre habeas data, el funcionamiento de los métodos de consulta y respuesta sobre solicitudes asociadas a datos personales.
b. Aprobar las recomendaciones de ajustes a las políticas que sean puestas en su consideración por el Oficial de Privacidad u otras áreas de la Compañía.
c. Aprobar la creación o modificación de bases de datos de la Compañía.
d. Definir actividades de control y vigilancia frente al cumplimiento de las disposiciones en materia de Hábeas Data.
e. Iniciar y dirigir las investigaciones relacionadas con la administración de la información personal al interior de la Compañía junto con el área que ejerce las funciones disciplinarias, de ser el caso.
f. Resolver consultas de las distintas áreas de la Compañía sobre el tratamiento de datos personales que El Oficial de Privacidad ponga en su conocimiento.
g. Solicitar modificaciones a los procesos internos de las distintas áreas de la Compañía con el fin de mantenerlos alineados con las normas de habeas data y la Política de Tratamiento de la Información de la Compañía.
h. Estudiar las solicitudes de autorización de las distintas áreas de la compañía para compartir con terceros datos personales capturados por la Compañía en caso de que el Oficial de Privacidad lo solicite.
i. Analizar y hacer seguimiento a la gestión de implementación de los requisitos legales en materia de Hábeas Data.
j. Diseñar e implementar programas de capacitaciones en protección de datos personales.
k. Revisar los resultados de las auditorías internas y externas realizadas sobre el tratamiento de datos personales y establecer planes de acción frente a sus resultados.
4.8. Reuniones y sus convocatorias.
Las reuniones del Comité serán ordinarias, extraordinarias y especiales.
Las reuniones ordinarias se llevarán a cabo al menos dos (2) veces al año, en los meses de Junio y Diciembre, previa convocatoria realizada por la Jefatura de Asuntos Legales, quien la enviará con cinco (5) días hábiles de antelación a la reunión a través del correo electrónico corporativo y/o por comunicación física enviada por la mensajería interna de la Compañía.
Las reuniones extraordinarias por su lado se realizarán previa convocatoria de la Jefatura de Asuntos Legales, quien la enviará con por lo menos cinco (5) días hábiles de antelación a la fecha de la reunión a través de correo electrónico corporativo y/o por comunicación física enviada por la mensajería interna de la organización.
La convocatoria indicará el día, la hora y el lugar en que deba reunirse el Comité, así como el objeto de la convocatoria, ya sea que se trate de reuniones ordinarias o extraordinarias.
Las reuniones especiales por su lado se realizarán en caso de presentarse eventos extraordinarios o de urgencia que no den espera para su discusión por parte del Comité. Tales reuniones serán convocadas por la Jefatura de Asuntos Legales con la antelación que lo requiera la urgencia del caso y a través de cualquier canal incluyendo comunicación telefónica o personal.
Las reuniones, ya sean ordinarias, extraordinarias o especiales, podrán convocarse fuera del domicilio de la Compañía y podrán llevarse a cabo de forma presencial o por medio de herramientas virtuales.
4.9. Quorum deliberatorio.
El Comité deliberará y decidirá válidamente con la presencia y votos de la mayoría de sus miembros tanto en las reuniones ordinarias como extraordinarias.
El Jefe de Control Organizacional de la Compañía a pesar de ser suplente, deberá participar en todas las reuniones del Comité, teniendo voz, pero sin derecho a votar en las decisiones sujetas a votación del Comité, a no ser que reemplace a alguno de los titulares.
En reuniones especiales la deliberación y decisión podrá realizarse por al menos Tres (3) de los miembros uno de los cuales debe ser el Jefe de Asuntos Legales.
4.10. Obligatoriedad de los compromisos del comité.
Los compromisos resultantes de las reuniones de Comité, incluidas en las actas de Comité, serán de obligatorio cumplimiento para todos los miembros quienes deberán informar los compromisos adquiridos a los funcionarios pertenecientes a su área para su efectivo cumplimiento.
Como primer punto a tratar en la agenda de la reunión del Comité posterior a aquella en la que los compromisos fueron adquiridos consistirá la verificación del cumplimiento de los mismos por medio de los informes de gestión de cada uno de los miembros involucrados directamente con las responsabilidades asignadas.
Las decisiones del Comité que tengan alcances generales o que deban ser conocidas por la generalidad de los funcionarios de la Compañía serán publicadas a instancias de la Dirección de Combustibles y Lubricantes o de Servicios Complementarios y de la Dirección de Gestión Humana dentro de los cuatro (4) días hábiles siguientes a la realización de la reunión en donde fueron aprobadas a través de los canales de comunicación interna que se consideren más apropiados, a menos que se establezca que la información sea dada a conocer con una periodicidad diferente al momento de tomarse la respectiva decisión.
4.11. Actas e informes.
Las decisiones el Comité constarán en actas aprobadas por los miembros del Comité y/o suplentes asistentes a la reunión.
La jefatura de Asuntos Legales, en su labor de oficial de privacidad, llevará el registro y custodia de dichas actas.
El Comité deberá presentar los siguientes informes:
a) Cuando se detecten situaciones que revistan importancia significativa se remitirá informe especial a la gerencia general/junta directiva.
b) Informe de gestión de cada uno de los miembros de la Junta.
c) Informe de Gestión a la Asamblea de Accionistas.
4.12. Invitados al comité.
Los miembros del Comité, de forma conjunta, podrán invitar a funcionarios de la Compañía no miembros del Comité, o a terceros no funcionarios de la Compañía, con el fin de que asistan a las reuniones ordinarias, extraordinarias o especiales del comité para:
a. Presentación de informes requeridos por el Comité.
b. Acompañamiento de asesores para llevar a cabo análisis y discusión de situaciones particulares y/o en la planeación y diseño de nuevos procesos relacionados con el tratamiento y protección de datos personales.
c. Capacitación y/o actualización frente a la normatividad vigente en materia de tratamiento y protección de datos personales.
d. Atención de asuntos que requieran conocimiento especializado.
e. Atención de requerimientos de autoridades.
4.13. Documentación.
Para el adecuado cumplimiento de sus funciones, los miembros del Comité deberán tener acceso permanente al menos a los siguientes documentos:
a. Manual interno de procesos de protección de datos personales.
b. Política de Privacidad.
c. Resultados de las auditorías internas y externas.
d. Estudios y conceptos recibidos en la materia.
4.14. Interpretación y modificación.
Corresponde al Oficial de Privacidad interpretar y resolver las dudas que suscite la aplicación del presente reglamento de acuerdo con su área de competencia.
Este reglamento se revisará y actualizará conjuntamente por el Oficial de Privacidad, de acuerdo con la dinámica y evolución de la normativa sobre el tratamiento y protección de datos personales y de conformidad con los resultados que se hayan presentado bajo la gestión del Comité, así como con las recomendaciones que se hagan sobre las mejores prácticas de gobierno corporativo adaptadas a su realidad social.
Toda modificación a actualización del presente reglamento será comunicada a los miembros del Comité por parte la Jefatura de Asuntos Legales a través del correo electrónico corporativo a más tardar dentro de los Cinco (5) días hábiles siguientes a aquel en que se toma la decisión.
En caso de existir una modificación del presente reglamento que afecte el funcionamiento del Comité, tal modificación deberá ser aprobada por parte del Comité de acuerdo con los requerimientos establecidos para convocatoria, deliberación y decisión en este mismo documento.
5. Vigencia
El presente reglamento entra en vigencia el treinta (30) de Junio de 2023.
6. DIAGRAMA DE FLUJO (Si aplica)
No Aplica
7. ANEXOS (Documentos externos)
No Aplica
8. CONTROL DE CAMBIOS
| Versión | Descripción del cambio | Responsable del cambio | Fecha del cambio |
|---|---|---|---|
| 1 | Creación del documento | Jefe de Asuntos Legales | 30/06/2023 |
| Elaboró: Mauricio Restrepo Navarro | Revisó: Sonia Troncoso Diaz | Aprobó: Jesús Tous Rubio |
|---|---|---|
| ORIGINAL FIRMADO | ORIGINAL FIRMADO | ORIGINAL FIRMADO |
| Cargo: Jefe de Asuntos Legales | Cargo: Profesional de Procesos y Proyectos | Cargo: Gerente General |
| Fecha: 27/06/2023 | Fecha: 28/06/2023 | Fecha: 30/06/2023 |