PROCEDIMIENTO PARA EL TRATAMIENTO DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES

REVISIÓN DE CALIDAD

APROBÓ

VALIDÓ

Libertad Martínez

Gerente de Sostenibilidad

 16/11/2023

Belisario Gacha Cañón

Supervisor de flota

16/11/2023

Shaila Acosta Rodríguez

Abogada

16/11/2023

HISTORIAL DE CAMBIOS

FECHA

DESCRIPCIÓN

VERSIÓN

16/11/2023

Se crea el procedimi1ento para dar tratamiento a los datos personales

0

1. JUSTIFICACIÓN

Sí2018 SUBA S.A.S., concesionario de provisión del Sistema de Transporte TransMilenio, en el ejercicio de su misionalidad y funciones, captura, procesa y dispone de información que en algunas ocasiones obedece a datos personales.

Es por ello que Sí2018 SUBA S.A.S., en cumplimiento del artículo 15 y 20 de la Constitución Política, la Ley 1581 de 2012 y demás decretos reglamentarios, y las obligaciones contenidas en el contrato de concesión 695/2018, expide el presente documento a fin de regular el almacenamiento, recolección y tratamiento de los datos de carácter personal, que la organización obtenga en el desarrollo de su objeto social.

2. OBJETIVO

Establecer los lineamientos y herramientas metodológicas, por medio de las cuales Sí2018 SUBA S.A.S. da cumplimiento a los requerimientos que en materia de protección de datos personales establece la Ley 1581 de 2012 y sus Decretos reglamentarios aplicables, para garantizar el derecho de las personas sobre las cuales recolecta información, a conocer, actualizar y rectificar la información que sea objeto de tratamiento por parte de este concesionario.

3. ALCANCE

Este procedimiento aplica para el concesionario Sistema Integrado de Provisión de Flota Sí2018 SUBA S.A.S.

4. DEFINICIONES

Para los efectos del presente procedimiento se tendrán en cuenta las definiciones señaladas en la Ley 1266 de 2008, la Ley 1581 de 2013 y el Decreto Reglamentario 1377 de 2013, en especial, las siguientes:

4.1. Autorización: Es el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales.

4.2. Aviso de privacidad: Es una comunicación verbal o escrita, generada por el responsable y dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales. El aviso de privacidad, como mínimo, deberá contener la siguiente información:

4.2.1. La identidad, domicilio y datos de contacto del responsable del tratamiento.
4.2.2. El tratamiento al cual serán sometidos los datos y la finalidad del mismo.
4.2.3. Los mecanismos dispuestos por el responsable para que el titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el aviso de privacidad correspondiente. En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información.

4.3. Base de Datos: Es el conjunto organizado de Datos Personales que sean objeto de Tratamiento por parte de Sí2018.
4.4. Dato Personal: Es cualquier información de cualquier tipo, vinculada o que pueda asociarse a una o varias personas naturales o jurídicas, determinadas o determinables.
4.5. Dato Público: Es el dato personal calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los Datos Públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
4.6. Datos privados: Datos que por su naturaleza íntima o reservada sólo son relevantes para el titular. Por su naturaleza pueden ser sensibles o no sensibles como fotografías o correo electrónico personal.
4.7. Datos semiprivados: No tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como los datos financieros y crediticios de actividades comerciales o de servicios.
4.8. Datos Sensibles: Aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como datos que revelen origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos, organizaciones sociales de derechos humanos, así como los datos relativos a la salud, a la vida sexual y datos biométricos.
4.9. Encargado del Tratamiento: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
4.10. Responsable del Tratamiento: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos o el tratamiento de los datos. En este caso el responsable del tratamiento de la información es Sí2018 SUBA S.A.S., identificado con Nit 901230162-1 ubicado en la dirección Avenida 145 # 103b – 08.
4.11. Titular: Es la persona natural o jurídica a quien se refiere la información que reposa en una Base de Datos, y quien es el sujeto del derecho de Hábeas Data.
4.12. Transferencia: Actividad mediante la cual el responsable y/o encargado del tratamiento de datos personales (con asiento en Colombia), envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
4.13. Transmisión: Es el tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
4.14. Tratamiento: Es toda operación y procedimiento sistemático, electrónico o no, que permita la recolección, conservación, ordenamiento, almacenamiento, modificación, relacionamiento, uso, circulación, evaluación, bloqueo, destrucción y en general, el procesamiento de Datos Personales, así como también su transferencia a terceros a través de comunicaciones, consultas, interconexiones, cesiones, mensajes de datos.

5. REGLAS GENERALES

5.1. MARCO LEGAL

• Constitución Política de Colombia, artículo 15.
• Ley 1266 de 2008.
• Ley 1581 de 2012.
• Decreto Reglamentario 1377 de 2013.
• Decreto Único Reglamentario 1074 de 2015.
• Circular Única de la Superintendencia de Industria y Comercio.

NOTA: Cuando sea procedente y para efectos de interpretación y aplicación del presente documento, Sí2018 aplicará las demás normas que, en materia de protección de datos personales, sean emitidas por las autoridades competentes.

5.2. PRINCIPIOS RELACIONADOS CON LA PROTECCIÓN DE DATOS

Los principios que se establecen a continuación, constituyen los parámetros generales que serán respetados por Sí2018 SUBA S.A.S. en los procesos de recolección, uso, tratamiento, almacenamiento de Datos Personales:

5.2.1. Legalidad: Es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.
5.2.2. Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al Titular.
5.2.3. Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
5.2.4. Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
5.2.5. Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
5.2.6. Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados, conforme a la Ley 1581 de 2012.
5.2.7. Seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o por el Encargado del Tratamiento a que se refiere la Ley 1581 de 2012, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5.2.8. Confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
5.2.9. Necesidad y proporcionalidad: Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, previamente informadas al titular en tal sentido, debe ser adecuados pertinentes y acordes con las finalidades para las cuales fueron recolectados.
5.2.10. Temporalidad y caducidad: El periodo de conservación de los datos personales será el necesario para realizar la finalidad para la cual se han recolectado.
5.2.11. Interpretación integral de los derechos constitucionales: La ley 1581 de 2012 se interpretará en el sentido que se amparen adecuadamente los derechos constitucionales, como son el habeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables.

En nuestro ordenamiento jurídico, la Ley 1712 de 2014 regula lo relacionado a la “Transparencia y del Derecho de Acceso a la Información Pública Nacional”; dentro de sus postulados, en los artículos 2 y 3 se contempla los siguientes principios:

• Máxima publicidad para el titular universal: Toda información en posesión, bajo control o custodia de un sujeto obligado (Responsable del Tratamiento de la información o el Encargado) es pública y no podrá ser reservada o limitada sino por disposición constitucional o legal, de conformidad con la presente ley.
• Buena fe: Relacionado a fomentar la confianza entre el Responsable del Tratamiento de la información o el Encargado y los respectivos titulares.
Facilitación: En virtud de este principio el Responsable del Tratamiento de la información o el Encargado deberá facilitar el ejercicio del derecho de acceso a la información, excluyendo exigencias o requisitos que puedan obstruirlo o impedirlo.
• No discriminación: Principio referido a entregar información a todas las personas que lo soliciten, en igualdad de condiciones, sin hacer distinciones arbitrarias.
• Gratuidad: La información pública es gratuita y no se podrá cobrar valores adicionales por concepto de costo de reproducción de la información.
• Celeridad: Es un compromiso que deben asumir las organizaciones e instituciones para que los procesos de acceso a la información sean más ágiles.
• Eficacia: Impone el logro de resultados por encima de lo mínimo exigido a las organizaciones e instituciones.
• Divulgación proactiva de la información: Hace referencia a promover y generar una cultura de transparencia, lo que conlleva la obligación de publicar y divulgar documentos y archivos que plasman la actividad estatal y de interés público.
• Responsabilidad en el uso de la información: Cualquier persona que haga uso de la información que proporcione los sujetos obligados, lo hará atendiendo a la misma.

5.3. FINALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES

Los Datos Personales de clientes, proveedores, empleados y usuarios, que en adelante se recopilen o que se encuentren las Bases de Datos de Sí2018 SUBA, serán tratados para las siguientes finalidades generales:

5.3.1. Dar cumplimiento a la relación contractual existente con sus clientes y proveedores, incluyendo la expedición de facturas y cotizaciones, la realización de registros y pedidos, la notificación o información de modificaciones, novedades o estado de los servicios contratados, la elaboración de los documentos que sirvan de soporte para el registro de las transacciones y actividades que se lleven a cabo por cualquier medio autorizado de Sí2018 SUBA S.A.S., y para realizar pagos de obligaciones contractuales.
5.3.2. Realizar pagos laborales, de seguridad social, aportes parafiscales, reportar información tributaria y cualquier otro que se derive de la relación contractual de los empleados con Sí2018 SUBA S.A.S.
5.3.3. Desarrollar de protocolos de seguridad, proyectos de capacitación y actualización, remisión de convocatorias, desarrollo de actividades internas, envío de comunicaciones referentes a estadísticas, reformas y nombramientos.
5.3.4. Proporcionar a terceros, referencias sobre las actividades desarrolladas en Sí2018 SUBA S.A.S. de acuerdo con a lo estipulado en la ley laboral y en los periodos que allí se enmarcan.
5.3.5. Prestar los servicios que le son contratados.
5.3.6. Atender quejas, reclamos y/o felicitaciones, y emitir las respectivas respuestas.
5.3.7. Suministrar, compartir, enviar o entregar Datos Personales a empresas filiales, vinculadas o subordinadas de Sí2018 SUBA S.A.S. que se encuentren ubicadas en Colombia, así como a TRANSMILENIO S.A., Interventoría y otros Entes de Control, cuando sea requerida mediante solicitud formal.
5.3.8. Cumplir con la normatividad en materia fiscal, contable y regulatoria.
5.3.9. Incluir y darle Tratamiento a la información adquirida en virtud de la relación existente entre los Titulares y Sí2018 SUBA S.A.S., cualquiera que sea su naturaleza jurídica (laboral, civil o comercial).
5.3.10. Reportar información tributaria y laboral a las autoridades competentes.
5.3.11. Actualizar los datos contenidos en las Bases de Datos.

Actualmente, Sí2018 SUBA S.A.S. cuenta con 07 bases de datos debidamente registradas en la plataforma de la Superintendencia de Industria y Comercio – SIC, las cuales se relacionan a continuación con su respectiva finalidad:

#

BASES

FINALIDAD

1

BASE SI18

Información de empleados

2

Contratistas

Gestión contable, fiscal y administrativa – gestión de proveedores y contratistas

3

Colaboradores

Información de empleados

4

Proveedores

Gestión contable, fiscal y administrativa – gestión de proveedores y contratistas

5

Sigo_tu_salud

Salud

6

Correos Sí18

Finalidades varias – custodia y gestión de la información y base de datos

7

Base de datos dominio

Gestión técnica y administrativa. Administración de sistemas de información, gestión de claves, administrador de usuarios, etc.

5.4. TRATAMIENTO DE LA INFORMACIÓN

Sí2018 SUBA S.A.S., como Responsable del Tratamiento de la información y en desarrollo de su objeto social, procura proteger y mantener las Bases de Datos constantemente actualizadas con la información de sus empleados, proveedores y clientes, conforme a la Política de tratamiento de datos personales y el presente procedimiento, el cual establece los controles relacionados con la obtención, recolección, uso, almacenamiento, custodia, circulación, tratamiento, transferencia, supresión y cualquier otro manejo que se realice sobre los datos personales de los clientes, colaboradores, proveedores y usuarios cuya información haya sido catalogada como semiprivada, privada o sensible.

Sí2018 SUBA S.A.S., no comercializa las Bases de Datos que obtiene en desarrollo de su objeto social. Esta información solo será Tratada para los fines y periodo que en cada caso se indique, procurando mantener su seguridad con un alto grado de privacidad y confidencialidad. La información recopilada por la organización se encuentra contenida en diversos tipos de archivos físicos y copias virtuales, protegida por servidores internos y externos los cuales se encuentran coordinados por proceso de Programación y Tecnologías de la Información.

La información incluida en el portal web de Sí2018 SUBA S.A.S. (www.si18.com.co), cuenta con acceso restringido a Analistas de selección y Profesionales de PQRS y Calidad, custodiado por medio de usuarios y contraseñas de administrador. Así mismo, Sí2018 SUBA S.A.S. obtiene la información que contiene en sus bases de datos mediante relaciones contractuales propias de su objeto social y formatos físicos y/o digitales en su labor comercial.

5.5. DATOS PERSONALES SENSIBLES Y DE MENORES DE EDAD

Cuando se realice Tratamiento de Datos Personales sensibles entre los que se incluyen orientación sexual, exámenes de salud ocupacional, antecedentes penales, afiliación a organizaciones de cualquier tipo y toda aquella que pueda generar situaciones comprometedoras para sus Titulares, dicha información gozará de protección especial por parte Sí2018 SUBA S.A.S., procurando la debida custodia y acceso restringido a la misma, de acuerdo con los parámetros establecidos por la actual normatividad sobre la materia.

Para el Tratamiento de este tipo de Datos Personales se requerirá autorización expresa de los Titulares de la misma, salvo las excepciones de ley. Dicha información y datos de carácter sensible solo será revelada cuando una autoridad competente así lo requiera. En caso de ser requerido, el Titular tiene la posibilidad de no responder a preguntas que puedan involucrar esta categoría de Datos Personales.

De otra parte, Sí2018 SUBA S.A.S., por medio de sus diferentes canales para la recopilación de información, solicitará siempre la autorización expresa de los tutores o responsables de los datos de los menores de edad para el Tratamiento de sus Datos Personales.

Cuando dicha información sea recopilada por medio de su sitio web, antes de proceder con su tratamiento se verificará la edad de la persona que realiza el trámite; si los datos corresponden a un menor de edad, Sí2018 SUBA S.A.S. validará que cuente con la debida autorización del tutor legal, de lo contrario procederá a bloquear esta información y no hará el tratamiento de la misma.

Estos datos serán custodiados y tratados de forma especial, cuando se conceda correctamente la autorización, la cual podrá modificarse o revocarse cuando ya no se requiera la misma o cuando el tutor o responsable del menor de edad lo considere conveniente. Cuando esto suceda, se procederá a la supresión de los Datos Personales del menor de edad de la Base de Datos.

Cuando sea necesario el tratamiento de este tipo de datos en el adelanto de procesos judiciales o contractuales, deberá garantizarse la protección y respeto del interés superior de los niños, niñas y adolescentes de acuerdo con el Artículo 12 del Decreto 1377 de 2013 y las demás normas establecidas al respecto.

5.6. DERECHOS DE LOS TITULARES DE DATOS PERSONALES

Los Titulares de los Datos Personales registrados en las Bases de Datos de Sí2018 SUBA S.A.S., son sujeto de los derechos previstos en la Constitución y en la Ley 1581 de 2012 especialmente los siguientes:

a. Acceder y conocer los Datos Personales suministrados a Sí2018 SUBA S.A.S.
b. Rectificar y actualizar sus datos personales frente a Sí2018 SUBA S.A.S., en su condición de Responsable del Tratamiento. Este derecho se podrá ejercer, entre otros frente a Datos Personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
c. Tener acceso a la Política de tratamiento de datos personales.
d. Conocer los fines para los cuales será utilizada y tratada la información que proporcione a Sí2018 SUBA S.A.S.
e. Por cualquier medio válido, solicitar prueba de la Autorización otorgada a Sí2018 SUBA S.A.S., en su condición de Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012.
f. Recibir información por parte de Sí2018 SUBA S.A.S., previa solicitud, respecto del uso que le ha dado a sus Datos Personales.
g. Acudir ante las autoridades competentes, en especial ante la Superintendencia de Industria y Comercio, para presentar quejas por infracciones a lo dispuesto en la normatividad vigente sobre Habeas Data, previo trámite de consulta o requerimiento ante el Responsable del Tratamiento.
h. Modificar y/o revocar la Autorización y/o solicitar la supresión de Datos Personales cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes.
i. Tener conocimiento y acceder en forma gratuita a los Datos Personales de los que es titular y que hayan sido objeto de Tratamiento por parte de SI2018 SUBA S.A.S.

5.7. EJERCICIO DE LOS DERECHOS DEL TITULAR DE DATOS PERSONALES

Reclamación directa: Solicitud formal directamente al concesionario por medio del correo pqrs.suba@si18.com.co o físicamente mediante oficio radicado en la dirección Calle 80 # 96 – 91.

Queja ante la Superintendencia de Industria y Comercio: En caso de no recibir respuesta a la reclamación directa, o no quedar conforme con la respuesta recibida, podrá radicar queja ante la Superintendencia de Industria y Comercio.

5.8. AUTORIZACIÓN

Sin perjuicio de las excepciones previstas en la ley, Sí2018 SUBA S.A.S. solicitará la Autorización libre, previa, expresa e informada del Titular para la recolección, almacenamiento, uso, circulación o supresión de Datos Personales.

Esta autorización podrá ser obtenida de manera escrita (formato STBSB-FOR-006. Autorización de manejo y uso de Datos Personales) y/o a través de la publicación visible de los Avisos de Privacidad (los cuales permiten concluir a los responsables que el titular de la información otorgó su autorización mediante conductas inequívocas).

La autorización por escrito, podrá ser diligenciada en formatos de autorización bien sea físicos, virtuales, electrónicos, a través de mensaje de datos o por vía telefónica en los que se exprese claramente la voluntad del titular de que se realice Tratamiento de sus Datos Personales por parte de Sí2018 SUBA S.A.S. De esta Autorización constará prueba escrita, de voz o virtual en el proceso encargado de Sí2018 SUBA S.A.S. sobre el Tratamiento de los Datos Personales, para que, en el momento de ser solicitada por el Titular o la autoridad competente, pueda exteriorizarse oportunamente.

La Autorización podrá ser revocada en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. La revocatoria podrá realizarse mediante los canales habilitados para el ejercicio de los derechos de los Titulares.

La Autorización del Titular no será necesaria cuando se trate de:

a. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales, o por orden judicial.
b. Datos Públicos.
c. Casos de urgencia médica o sanitaria.
Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos, para lo cual suprimirá la identidad del Titular.
d. Datos relacionados con el Registro Civil de las personas.

5.9. IDENTIFICACIÓN DEL OFICIAL DE PROTECCION DE DATOS PERSONALES Y DEBERES.

Sí2018 SUBA S.A.S., como responsable del tratamiento de la información designó como titular del cargo de Oficial de Protección de Datos Personales, al (la) abogado (a) de Sí2018 SUBA S.A.S., quien será el encargado de: Coordinar, promover y dar eficaz cumplimiento a las acciones e iniciativas tendientes al adecuado cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012 y su decreto Reglamentario.

En caso de que, Sí2018 SUBA S.A.S. no cuente con la disponibilidad del cargo de abogado (a) por razones de: Vacaciones, licencia remunerada o no remunerada, suspensiones, incapacidades o retiro, el responsable encargado será el (la) Director (a) de TIC´S y Programación de Sí2018 SUBA S.A.S.

Para efectos de cualquier petición, queja, reclamo y sugerencia relacionada con lo reglado en la ley 1581 de 2012 y su decreto reglamentario, tenemos dispuestos los canales que se relacionan en el numeral 4.10. del presente documento.

Dentro de los deberes del “Oficial de Protección de Datos Personales” de Sí2018 SUBA S.A.S., se encuentran:

a. Garantizar al Titular de los Datos Personales el pleno y efectivo ejercicio del derecho de Hábeas Data.
b. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la autorización otorgada por los Titulares de los Datos Personales.
c. Informar a los Titulares sobre la finalidad del Tratamiento, la necesidad del mismo, los medios para la recolección de Datos Personales, los procedimientos para el ejercicio de sus derechos y sobre sus derechos como Titular.
d. Informar, a solicitud del Titular, sobre el uso dado a sus Datos Personales.
e. Conservar la información otorgada por los Titulares bajo las condiciones de seguridad necesarias para impedir el acceso a quienes no se encuentren autorizados y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
f. Garantizar que la información que se suministre al Encargado del Tratamiento (en caso de ser éste un tercero diferente a Sí2018 SUBA S.A.S.) sea veraz, completa, exacta, actualizada, comprobable y comprensible.
g. Actualizar la información y comunicar de forma oportuna al Encargado del Tratamiento (en caso de ser éste un tercero diferente a Sí2018 SUBA S.A.S.), todas las novedades respecto de los Datos Personales que previamente le haya suministrado y aportar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
h. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
i. Indicar al Encargado del Tratamiento (en caso de ser éste un tercero diferente a Sí2018 SUBA S.A.S.) los fines para los cuales se recolectó inicialmente la información, la autorización y los medios utilizados para dicha recolección. Exigir al Encargado del Tratamiento (en caso de ser un tercero diferente a Sí2018 SUBA S.A.S.) en todo momento el respeto a las condiciones de seguridad y privacidad de la información del Titular de los Datos Personales.
j. Suministrar al encargado del tratamiento (en caso de ser un tercero diferente a Sí2018 SUBA S.A.S.) únicamente los Datos Personales cuyo Tratamiento haya autorizado previamente por el Titular, de acuerdo a lo estipulado en la ley y en esta Política.
k. Tramitar y dar respuesta a las consultas, solicitudes y reclamos formulados por los Titulares de los Datos Personales, así como informar al Encargado del Tratamiento (en caso de ser un tercero diferente a Sí2018 SUBA S.A.S.) sobre este tipo de acontecimientos, dentro de los términos previstos por la ley.
l. Adoptar un procedimiento interno para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
m. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
n. Identificar el requerimiento en la Base de Datos con la leyenda “reclamo en trámite”, aquellas PQRSD que aún no hayan sido resueltas, de conformidad con lo establecido en la Ley 1581 de 2012, cuando corresponda.
o. Identificar el requerimiento en la Base de Datos con la leyenda “información en discusión judicial”, una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del Dato Personal.
p. Abstenerse de circular cualquier información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
q. Informar a la Superintendencia de Industria y Comercio en cabeza de la Delegatura de Protección de Datos, cuando se presenten violaciones a los códigos de seguridad y/o existan riesgos en la administración de la información de los Titulares de los Datos Personales.
r. Cumplir con las instrucciones y procedimientos que le imparta la Superintendencia de Industria y Comercio en cabeza de la Delegatura de Protección de Datos.

5.10. PROCESO ENCARGADO

La salvaguarda de toda información contenida en medios virtuales, electrónicos y digitales de Sí2018 SUBA S.A.S. estará a cargo del Proceso de TIC´S y Programación.

Los Profesionales de Soporte e infraestructura de TIC`S y Programación darán atención a las solicitudes que ingresen por la herramienta de soporte implementada por la organización y accesible desde el link: http://soporte.si18.com.co

Proceso encargado: PQRS y Calidad

Los profesionales de PQRS y Calidad darán gestión a las consultas, solicitudes, quejas, reclamos, sugerencias y denuncias en materia de Datos Personales presentadas por los titulares de la información, las cuales deberán ser allegadas por medio de los siguientes canales:

1. Correo electrónico: pqrs.suba@si18.com.co
2. Página web: “www.si18.com.co”
3. Dirección de Correspondencia: “Calle 80 # 96 – 91”

Las solicitudes que provengan de la Interventoría, TRANSMILENIO S.A. y/o autoridades competentes se reciben únicamente vía Oficio (físico y/o Digital) o correo electrónico.

5.11. COLABORADORES AUTORIZADOS

A continuación, se relacionan los colaboradores que por la naturaleza de las funciones de su cargo requieren acceso a bases de datos de información personal, deberán firmar el acuerdo de confidencialidad y seguir los protocolos de seguridad para el manejo de la información: no grabar, no compartir por correos, whatsapp u otros canales no autorizados.

    • Supervisor de Flota

5.12. REGISTRO DE BASES DE DATOS

Sí2018 SUBA S.A.S. realizó el registro de las bases de datos ante el Registro Nacional de Bases de Datos (RNBD) que administra la Superintendencia de Industria y Comercio, cumpliendo los términos definidos para ello y como garantía de la transparencia del ejercicio de aplicación de su Política de Tratamiento de Datos Personales.

5.13. ROLES Y RESPONSABILIDADES EN LA PROTECCIÓN DE DATOS PERSONALES

En el marco del ejercicio de la protección de datos, Sí2018 SUBA S.A.S. ha definido los siguientes roles para dar cumplimiento a la normatividad aplicable y a las disposiciones enmarcadas en el presente documento.

5.13.1. Oficial de Protección de Datos Personales: Es la persona encargada de garantizar el cumplimiento de la Política de Tratamiento de Datos Personales, así como del presente procedimiento.

Sí2018 SUBA S.A.S. designó como Oficial de Protección de Datos Personales”, a la actual abogada de la organización, quien será la encargada de: Coordinar, promover y dar eficaz cumplimiento a las acciones e iniciativas tendientes al adecuado cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012 y su decreto Reglamentario.

Sus funciones se encuentran expresamente señaladas en el documento de designación y asignación de funciones y competencias, las cuales se relacionan a continuación.

1. Controlar y actualizar el inventario de información personal continuamente para identificar y evaluar nuevas recolecciones, usos y divulgaciones.
2. Revisar las políticas siguiendo los resultados de las evaluaciones o auditorías.
3. Mantener como documentos históricos las evaluaciones de impacto y las amenazas a la seguridad, y riesgos.
4. Revisar y modificar la formación y la educación en forma periódica como consecuencia de evaluaciones continuas; así como comunicar los cambios realizados a los controles del Programa Integral de Protección de Datos Personales.
5. Revisar y adaptar los protocolos de respuesta en el manejo de violaciones e incidentes para implementar las mejores prácticas o recomendaciones y lecciones aprendidas de revisiones posteriores a dichos incidentes.
6. Revisar y, en si es el caso, modificar los requisitos establecidos en los contratos suscritos con los encargados del tratamiento de datos personales.
7. Actualizar y aclarar las comunicaciones externas para explicar la política de tratamiento de datos.
8. Reportar semestralmente a la alta dirección, la evolución del riesgo, controles implementados, monitoreo y evaluación de la eficacia de los mismos.
9. Inscribir y/o actualizar en el Registro Nacional de Bases de Datos, la información relativa a las bases de datos sujetas a tratamiento, y sobre las cuales aplica la Ley 1581 de 2012.
10. Dar respuesta a los requerimientos que las autoridades competentes realicen en el marco de la Ley 1581 de 2012 y los decretos reglamentarios.
11. Supervisar y monitorear las acciones de salvaguarda de la seguridad de las bases de datos que contengan datos personales.
12. Atender los requerimientos de los titulares de información de datos personales, relacionados con el uso y tratamiento de los mismos (autorización, revocatoria, actualización, etc.).
13. Vigilar e implementar las buenas prácticas de gestión de datos personales, para lo cual, deberá: estructurar, diseñar y administrar el programa que permita a la organización cumplir las normas sobre protección de datos personales, contenidas en la Ley 1581 de 2012.
14. Como consecuencia del numeral anterior, deberá establecer los controles de dicho programa, su evaluación y revisión permanente; para lo cual deberá:

• Establecer e implementar los controles del Programa Integral de Gestión de Datos Personales.
• Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal de dicho programa.
• Promover una cultura de protección de datos dentro de la organización.
• Mantener un inventario de las bases de datos personales en poder de la organización y clasificarlas según su tipo.
• Obtener las declaraciones de conformidad de la Superintendencia de Industria y Comercio – “SIC” cuando sea requerido.
• Redactar y validar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con no residentes en Colombia. (Si aplica)
• Analizar las responsabilidades de cada cargo de la organización, para diseñar un programa de entrenamiento general en protección de datos para todos los colaboradores de la organización.
• Garantizar que los nuevos colaboradores reciban el entrenamiento necesario cuando las condiciones de su empleo generen acceso a datos personales gestionados por la organización.
• Integrar la política de protección de datos al modelo de operación por procesos de la organización y sus áreas involucradas.”

5.13.2. Delegados de Protección de Datos Personales: Son las personas encargadas de las bases de datos identificadas y reportadas ante el Registro Nacional de Bases de Datos, quienes tienen el deber de reportar actualizaciones o cambios sustanciales en la información de la base de datos que deba ser reportada ante la Superintendencia de Industria y Comercio.

También son responsables de informar sobre cambios en el tratamiento de datos personales, o puntos de captura adicionales que requieran coberturas.

5.13.3. Comité de Habeas Data: Cuerpo colegiado o escenario de control en donde se revisan, discuten, validan y aprueban directrices enfocadas a implementar, consolidar y mejorar continuamente las actividades que hacen parte de la Política y procedimiento de tratamiento de datos personales. Está integrado por, el Oficial de Protección de Datos Personales y Supervisor de Flota.

6. DESCRIPCIÓN DEL PROCEDIMIENTO

Etapa

Descripción

Flujograma

Registro

Responsable

1

Autorización

Solicitar al momento de la recolección de datos la autorización del titular para el tratamiento de los datos personales que serán recolectados así como todas las finalidades especificas del tratamiento para las cuales se obtiene el consentimiento cuando dichos datos correspondan a datos personales privados, semiprivados o sensibles (Ver definiciones 3.6., 3.7. y 3.8)., así como informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.

 

STBSB-FOR-006

Formato (físico y virtual) de autorización de manejo y uso de datos personales.

 

En el caso de los colaboradores la autorización se encuentra incluida en el contrato laboral.

Supervisor de Flota que en el ejercicio de sus funciones recolectan información de datos personales.

2

Recolección

Dar cumplimiento a los requerimientos que, en materia de recolección de datos personales, establece la Ley y el presente procedimiento.

Bases de datos.

Supervisor de Flota que en el ejercicio de sus funciones recolectan información de datos personales.

3

Almacenamiento

Garantizar la reserva de la información cuando ello corresponda a datos personales privados, semiprivados o sensibles (Ver definiciones 3.6., 3.7. y 3.8). La ubicación de dicha información y la forma de almacenamiento deberá ser informada sin excepción y de manera formal al Director del proceso de Tecnologías de la Información a fin de garantizar la seguridad de esta.

Bases de datos

Supervisor de Flota que en el ejercicio de sus funciones recolectan información de datos personales.

4

Uso

Usar la información contenida en las bases de datos para los fines que se indican en la autorización de recolección de la misma. Siempre en función de los procesos que se requieran para el desarrollo de la actividad principal del concesionario.

 

Atender a las disposiciones aplicables en materia de protección de la información personal contenida en el presente procedimiento.

Bases de datos

Colaboradores autorizados.

5

Manejo

Dar el uso adecuado a los datos personales, en cada caso podrá fijarse un límite temporal para el uso y circulación de esta información guardando los principios de confidencialidad, integridad y disponibilidad.

Atender las de solicitudes de los titulares de la información: consultas, reclamos, actualización, rectificación, supresión, revocatoria de autorización.

Los colaboradores que tienen acceso a la información de datos personales deberán previamente firmar el Formato de Acuerdo de Confidencialidad y No Divulgación de Información.

Procedimiento de tratamiento de datos personales.

Supervisor de Flota que en el ejercicio de sus funciones recolectan información de datos personales.

6

Temporalidad  de la información

Definir de acuerdo a cada proceso, los tipos de bases de datos, tipo de información y clasificación de titular de la información, ya sean colaboradores, usuarios, proveedores, visitantes, etc.

Inventario de Activos de Información.

Proceso   de Tecnologías de la Información

 
7. TRANSFERENCIA Y TRANSMISIÓN DE LA INFORMACIÓN

Sí2018 SUBA S.A.S., en cumplimiento de los criterios relacionados con la transmisión y transferencia de datos, no revela, difunde o comparte información relativa a datos personales a otros países que no proporcionen niveles adecuados de protección de datos, dado su campo de acción y cobertura. Sin embargo, en el evento que una autoridad competente así lo requiera, este concesionario tomará las medidas necesarias para que los terceros que requieran gestionar dicha información, conozcan y apliquen la Política de Tratamiento de Datos, bajo el entendido que la información personal que reciban, únicamente puede ser usada para asuntos directamente relacionados con el servicio requerido.

8. PETICIONES QUEJAS Y RECLAMOS

El subproceso de PQRS y Calidad gestiona las consultas, solicitudes, quejas, reclamos, sugerencias y denuncias en materia de Datos Personales presentadas por los titulares de la información, a través de los diferentes canales: Correo electrónico (pqrs.suba@si18.com.co), Página web (www.si18.com.co) y correo postal (Calle 80 # 96-91, Bogotá D.C.).

 Estas solicitudes son atendidas bajo a los mismos criterios de atención de una PQRS. Es de indicar, que el responsable de dar curso a las consultas, solicitudes, quejas, reclamos, sugerencias y denuncias en esta materia, es el Oficial de protección de datos o el dueño de la base de datos sujeto de la solicitud. No obstante, el profesional de PQRS y Calidad cumple el rol de gestor en cuanto a: recibir la consulta, solicitud, queja, reclamo, sugerencia o denuncia, remitirla a quien corresponda, recibir la información frente al trámite que se le dé, proyectar la respuesta y remitirla al peticionario dentro de los tiempos de ley, previa revisión y aprobación del Oficial de protección de datos. 

Sí2018 SUBA S.A.S. garantizará el derecho de acceso y conocimiento de la información cuando, previa acreditación de la identidad del Titular, legitimidad, o personalidad de su representante, poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales a través de todo tipo de medio, incluyendo los medios electrónicos que permitan el acceso directo del Titular a ellos. 
Dicho acceso deberá ofrecerse sin límite alguno y le deben permitir al Titular la posibilidad de conocerlos y actualizarlos.

La solicitud de la información deberá ser presentada por medio escrito por parte del Titular (o quien lo represente), acreditando su plena identificación de forma suficiente.

Cuando Sí2018 SUBA S.A.S. confirme la identidad del Titular, y si efectivamente realiza Tratamiento sobre la información que indica el solicitante, procederá a enviar un comunicado a los datos de contacto señalados, indicando que efectivamente Sí2018 SUBA S.A.S. posee Datos Personales suyos, una descripción clara de los mismos, la razón y finalidad por las cuales los mantiene.

En lo relacionado a la actualización, Rectificación, Supresión de Datos Personales y/o Revocatoria de Autorización. El Titular, sus causahabientes o representantes que consideren que la información contenida en la Base de Datos de SI2018 SUBA S.A.S. debe ser objeto de corrección, actualización o supresión, cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, o cuando deseen revocar el consentimiento al tratamiento de sus Datos Personales (siempre y cuando no lo impida una disposición legal o contractual), podrán presentar un requerimiento ante el Concesionario Sí2018 SUBA S.A.S., a través del Correo electrónico: pqrs.suba@si18.com.co, la página web: www.si18.com.co, o en la dirección de correspondencia: Calle 80 # 96-91, Bogotá D.C.

Dicho requerimiento deberá contener la descripción de los hechos que dan lugar al reclamo, la identificación de quien realiza el reclamo con el fin de verificar si cuenta con la capacidad para realizar este trámite, los datos para el envío de la respuesta y los soportes de los documentos que se quieran hacer valer. El reclamo será atendido conforme lo señalado en el artículo 15 de la Ley 1581 de 2012, y demás normas que los modifiquen o adicionen.

Si por cualquier circunstancia la persona que recibe el reclamo al interior de SI2018 SUBA S.A.S. no es competente para resolverlo, dará traslado al proceso de Atención al Ciudadano y PQRS dentro de los dos (2) días hábiles siguientes a haber recibido el reclamo.

Una vez se recibido el reclamo en debida forma por parte del Profesional de Atención al Ciudadano y PQRS, se incluirá en la Base de Datos con la leyenda “reclamo en trámite” y el motivo del mismo, en un término máximo de dos (2) días hábiles; esta leyenda se mantendrá hasta que el reclamo sea decidido. El reclamo será atendido en el término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de recibo.

En caso de no ser posible atender el reclamo en el término inicial, SI2018 SUBA S.A.S. informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, este segundo término será máximo de ocho (8) días hábiles contados a partir del vencimiento del primer término.

9. SEGURIDAD DE LA INFORMACIÓN

Sí2018 SUBA S.A.S. en desarrollo del principio de seguridad, actualmente se encuentra adoptando las medidas técnicas y administrativas para proteger los Datos Personales de los Titulares e impedir adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 

El acceso a los datos personales está restringido a sus Titulares y a las personas autorizadas por la organización de acuerdo con este procedimiento. Sí2018 SUBA S.A.S. no permitirá el acceso a esta información por parte de terceros en condiciones diferentes a las anunciadas, a excepción de un pedido expreso del Titular o de las personas legitimadas de conformidad con la normatividad nacional.

10. MODIFICACIONES A LA POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS

Sí2018 SUBA S.A.S. se reserva el derecho de modificar la presente política según lo requiera para su funcionamiento y cumplimiento normativo. No obstante, en caso de haber cambios sustanciales en el contenido de la política de Tratamiento de Datos Personales se dará a conocer su última versión a través de medios electrónicos.

11. VIGENCIA

Esta política rige a partir de su expedición, previa aprobación por parte de TRANSMILENIO S.A. Los Datos Personales que sean almacenados, utilizados o transmitidos permanecerán en nuestra Base de Datos, alineado con los criterios de temporalidad y necesidad, durante el tiempo que sea necesario para las finalidades mencionadas en este procedimiento, para las cuales fueron recolectados.

12. TABLA DE FORMATOS

Nombre

Código

Autorización de manejo y uso de

Datos Personales

STBSB-FOR-006

Acuerdo de Confidencialidad y No

Divulgación de la Información

STBSB-FOR-072

Copyright © Si18 SAS 2020

Politicas Empresariales