5.4. TRATAMIENTO DE LA INFORMACIÓN

Sí18 NORTE S.A.S., como Responsable del Tratamiento de la información y en desarrollo de su objeto social, procura proteger y mantener las Bases de Datos constantemente actualizadas con la información de sus empleados, proveedores y clientes, conforme a la Política de tratamiento de datos personales y el presente procedimiento, el cual establece los controles relacionados con la obtención, recolección, uso, almacenamiento, custodia, circulación, tratamiento, transferencia, supresión y cualquier otro manejo que se realice sobre los datos personales de los clientes, colaboradores, proveedores y usuarios cuya información haya sido catalogada como semiprivada, privada o sensible.

Sí18 NORTE S.A.S., no comercializa las Bases de Datos que obtiene en desarrollo de su objeto social. Esta información solo será Tratada para los fines y periodo que en cada caso se indique, procurando mantener su seguridad con un alto grado de privacidad y confidencialidad. La información recopilada por la organización se encuentra contenida en diversos tipos de archivos físicos y copias virtuales, protegida por servidores internos y externos los cuales se encuentran coordinados por proceso de Programación y Tecnologías de la Información.

La información incluida en el portal web de Sí18 NORTE S.A.S. (www.si18.com.co), cuenta con acceso restringido a Analistas de selección y Profesionales de PQRS y Calidad, custodiado por medio de usuarios y contraseñas de administrador. Así mismo, Sí18 NORTE S.A.S. obtiene la información que contiene en sus bases de datos mediante relaciones contractuales propias de su objeto social y formatos físicos y/o digitales en su labor comercial.

La información que Sí18 NORTE S.A.S. recolecta a través de las cámaras de video vigilancia instaladas en sus buses, es almacenada en los discos duros del NVR y en el servidor; para ello, es debidamente registrada con hora, fecha, localización, duración, y calificada como información reservada, esta es, la información privada a que refiere la Ley 1581 de 2012.

La información que es recolectada en dichos medios audiovisuales, será entregada con la expresa autorización del titular, cuando una Autoridad Competente lo solicite en el ejercicio de sus funciones o cuando el Ente Gestor lo requiera de conformidad con el contrato de concesión de operación Nº 695 de 2018, en sus cláusulas 21.1. Supervisión y Control del Contrato por parte de TMSA y 22.3. Confidencialidad de la Información conocida por el Concesionario de Operación en ejecución del Contrato.

La información recolectada por Sí18 NORTE S.A.S. a través de las cámaras de video vigilancia se utiliza como mecanismo para garantizar la seguridad en el normal desarrollo de las actividades propias de la organización, hacer ejercicios de continua vigilancia a las personas que ingresan, permanecen y salen de las instalaciones y vehículos, así como a los activos y elementos tanto de la organización como de sus colaboradores.

De igual manera, el uso de cámaras de video permite a Sí18NORTE S.A.S. hacer seguimiento, identificar oportunidades de mejora e implementar acciones correctivas sobre la operación, uso de los vehículos y prestación del servicio en el marco de su competencia.

5.5. DATOS PERSONALES SENSIBLES Y DE MENORES DE EDAD

Cuando se realice Tratamiento de Datos Personales sensibles entre los que se incluyen orientación sexual, exámenes de salud ocupacional, antecedentes penales, afiliación a organizaciones de cualquier tipo y toda aquella que pueda generar situaciones comprometedoras para sus Titulares, dicha información gozará de protección especial por parte Sí18 NORTE S.A.S., procurando la debida custodia y acceso restringido a la misma, de acuerdo con los parámetros establecidos por la actual normatividad sobre la materia.

Para el Tratamiento de este tipo de Datos Personales se requerirá autorización expresa de los Titulares de la misma, salvo las excepciones de ley. Dicha información y datos de carácter sensible solo será revelada cuando una autoridad competente así lo requiera. En caso de ser requerido, el Titular tiene la posibilidad de no responder a preguntas que puedan involucrar esta categoría de Datos Personales.

De otra parte, Sí18 NORTE S.A.S., por medio de sus diferentes canales para la recopilación de información, solicitará siempre la autorización expresa de los tutores o responsables de los datos de los menores de edad para el Tratamiento de sus Datos Personales.

Cuando dicha información sea recopilada por medio de su sitio web, antes de proceder con su tratamiento se verificará la edad de la persona que realiza el trámite; si los datos corresponden a un menor de edad, Sí18 NORTE S.A.S. validará que cuente con la debida autorización del tutor legal, de lo contrario procederá a bloquear esta información y no hará el tratamiento de la misma.

Estos datos serán custodiados y tratados de forma especial, cuando se conceda correctamente la autorización, la cual podrá modificarse o revocarse cuando ya no se requiera la misma o cuando el tutor o responsable del menor de edad lo considere conveniente. Cuando esto suceda, se procederá a la supresión de los Datos Personales del menor de edad de la Base de Datos.

Cuando sea necesario el tratamiento de este tipo de datos en el adelanto de procesos judiciales o contractuales, deberá garantizarse la protección y respeto del interés superior de los niños, niñas y adolescentes de acuerdo con el Artículo 12 del Decreto 1377 de 2013 y las demás normas establecidas al respecto.

Finalmente, se informa que los usuarios, colaboradores y visitantes, son monitoreados y resguardados por medio de un sistema de video vigilancia, tanto en las instalaciones del patio como en los vehículos automotores de Sí18 NORTE S.A.S., el cual recolecta imágenes por medio de cámaras instaladas en diversos puntos de sus oficinas y de sus buses articulados y biarticulados con el fin de poder hacer seguimiento a la operación y a la seguridad de usuarios, colaboradores y visitantes.

La información que se recolecte por estos medios podrá ser entregada a las autoridades competentes en caso de ser requerida. Esta información cuenta con la especial protección enmarcada en el Decreto 1377 de 2013, y es tratada únicamente por el personal autorizado, previa aceptación del acuerdo de confidencialidad.

5.6. DERECHOS DE LOS TITULARES DE DATOS PERSONALES

Los Titulares de los Datos Personales registrados en las Bases de Datos de Sí18 NORTE S.A.S., son sujeto de los derechos previstos en la Constitución y en la Ley 1581 de 2012 especialmente los siguientes:

a. Acceder y conocer los Datos Personales suministrados a Sí18 NORTE S.A.S.
b. Rectificar y actualizar sus datos personales frente a Sí18 NORTE S.A.S., en su condición de Responsable del Tratamiento. Este derecho se podrá ejercer, entre otros frente a Datos Personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
c. Tener acceso a la Política de tratamiento de datos personales.
d. Conocer los fines para los cuales será utilizada y tratada la información que proporcione a Sí18 NORTE S.A.S.
e. Por cualquier medio válido, solicitar prueba de la Autorización otorgada a Sí18 NORTE S.A.S., en su condición de Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012.
f. Recibir información por parte de Sí18 NORTE S.A.S., previa solicitud, respecto del uso que le ha dado a sus Datos Personales.
g. Acudir ante las autoridades competentes, en especial ante la Superintendencia de Industria y Comercio, para presentar quejas por infracciones a lo dispuesto en la normatividad vigente sobre Habeas Data, previo trámite de consulta o requerimiento ante el Responsable del Tratamiento.
h. Modificar y/o revocar la Autorización y/o solicitar la supresión de Datos Personales cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes.
i. Tener conocimiento y acceder en forma gratuita a los Datos Personales de los que es titular y que hayan sido objeto de Tratamiento por parte de SI18 NORTE S.A.S.

5.7. EJERCICIO DE LOS DERECHOS DEL TITULAR DE DATOS PERSONALES

Reclamación directa: Solicitud formal directamente al concesionario por medio del correo pqrs.norte@si18.com.co o físicamente mediante oficio radicado en la dirección Calle 80 # 96 – 91.

Queja ante la Superintendencia de Industria y Comercio: En caso de no recibir respuesta a la reclamación directa, o no quedar conforme con la respuesta recibida, podrá radicar queja ante la Superintendencia de Industria y Comercio.

5.8. AUTORIZACIÓN

Sin perjuicio de las excepciones previstas en la ley, Sí18 NORTE S.A.S. solicitará la Autorización libre, previa, expresa e informada del Titular para la recolección, almacenamiento, uso, circulación o supresión de Datos Personales.

Esta autorización podrá ser obtenida de manera escrita (formato STBNT-FOR-006. Autorización de manejo y uso de Datos Personales) y/o a través de la publicación visible de los Avisos de Privacidad (los cuales permiten concluir a los responsables que el titular de la información otorgó su autorización mediante conductas inequívocas).

La autorización por escrito, podrá ser diligenciada en formatos de autorización bien sea físicos, virtuales, electrónicos, a través de mensaje de datos o por vía telefónica en los que se exprese claramente la voluntad del titular de que se realice Tratamiento de sus Datos Personales por parte de Sí18 NORTE S.A.S. De esta Autorización constará prueba escrita, de voz o virtual en el proceso encargado de Sí18 NORTE S.A.S. sobre el Tratamiento de los Datos Personales, para que, en el momento de ser solicitada por el Titular o la autoridad competente, pueda exteriorizarse oportunamente.

La Autorización podrá ser revocada en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. La revocatoria podrá realizarse mediante los canales habilitados para el ejercicio de los derechos de los Titulares.

La Autorización del Titular no será necesaria cuando se trate de:

a. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales, o por orden judicial.
b. Datos Públicos.
c. Casos de urgencia médica o sanitaria.
Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos, para lo cual suprimirá la identidad del Titular.
d. Datos relacionados con el Registro Civil de las personas.

5.9. IDENTIFICACIÓN DEL OFICIAL DE PROTECCION DE DATOS PERSONALES Y DEBERES.

Sí18 NORTE S.A.S., como responsable del tratamiento de la información designó como titular del cargo de Oficial de Protección de Datos Personales, al (la) abogado (a) de Sí18 NORTE S.A.S., quien será el encargado de: Coordinar, promover y dar eficaz cumplimiento a las acciones e iniciativas tendientes al adecuado cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012 y su decreto Reglamentario.

En caso de que, Sí18 NORTE S.A.S. no cuente con la disponibilidad del cargo de abogado (a) por razones de: Vacaciones, licencia remunerada o no remunerada, suspensiones, incapacidades o retiro, el responsable encargado será el (la) Director (a) de TIC´S y Programación de Sí18 NORTE S.A.S.

Para efectos de cualquier petición, queja, reclamo y sugerencia relacionada con lo reglado en la ley 1581 de 2012 y su decreto reglamentario, tenemos dispuestos los canales que se relacionan en el numeral 4.10. del presente documento.

Dentro de los deberes del “Oficial de Protección de Datos Personales” de Sí18 NORTE S.A.S., se encuentran:

a. Garantizar al Titular de los Datos Personales el pleno y efectivo ejercicio del derecho de Hábeas Data.
b. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la autorización otorgada por los Titulares de los Datos Personales.
c. Informar a los Titulares sobre la finalidad del Tratamiento, la necesidad del mismo, los medios para la recolección de Datos Personales, los procedimientos para el ejercicio de sus derechos y sobre sus derechos como Titular.
d. Informar, a solicitud del Titular, sobre el uso dado a sus Datos Personales.
e. Conservar la información otorgada por los Titulares bajo las condiciones de seguridad necesarias para impedir el acceso a quienes no se encuentren autorizados y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
f. Garantizar que la información que se suministre al Encargado del Tratamiento (en caso de ser éste un tercero diferente a Sí18 NORTE S.A.S.) sea veraz, completa, exacta, actualizada, comprobable y comprensible.
g. Actualizar la información y comunicar de forma oportuna al Encargado del Tratamiento (en caso de ser éste un tercero diferente a Sí18 NORTE S.A.S.), todas las novedades respecto de los Datos Personales que previamente le haya suministrado y aportar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
h. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
i. Indicar al Encargado del Tratamiento (en caso de ser éste un tercero diferente a Sí18 NORTE S.A.S.) los fines para los cuales se recolectó inicialmente la información, la autorización y los medios utilizados para dicha recolección. Exigir al Encargado del Tratamiento (en caso de ser un tercero diferente a Sí18
j. NORTE S.A.S.) en todo momento el respeto a las condiciones de seguridad y privacidad de la información del Titular de los Datos Personales.
k. Suministrar al encargado del tratamiento (en caso de ser un tercero diferente a Sí18 NORTE S.A.S.) únicamente los Datos Personales cuyo Tratamiento haya autorizado previamente por el Titular, de acuerdo a lo estipulado en la ley y en esta Política.
l. Tramitar y dar respuesta a las consultas, solicitudes y reclamos formulados por los Titulares de los Datos Personales, así como informar al Encargado del Tratamiento (en caso de ser un tercero diferente a Sí18 NORTE S.A.S.) sobre este tipo de acontecimientos, dentro de los términos previstos por la ley.
m. Adoptar un procedimiento interno para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
n. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
o. Identificar el requerimiento en la Base de Datos con la leyenda “reclamo en trámite”, aquellas PQRSD que aún no hayan sido resueltas, de conformidad con lo establecido en la Ley 1581 de 2012, cuando corresponda.
p. Identificar el requerimiento en la Base de Datos con la leyenda “información en discusión judicial”, una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del Dato Personal.
q. Abstenerse de circular cualquier información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
r. Informar a la Superintendencia de Industria y Comercio en cabeza de la Delegatura de Protección de Datos, cuando se presenten violaciones a los códigos de seguridad y/o existan riesgos en la administración de la información de los Titulares de los Datos Personales.
s. Cumplir con las instrucciones y procedimientos que le imparta la Superintendencia de Industria y Comercio en cabeza de la Delegatura de Protección de Datos.

5.10. PROCESO ENCARGADO

La salvaguarda de toda información contenida en medios virtuales, electrónicos y digitales de Sí18 NORTE S.A.S. estará a cargo del Proceso de TIC´S y Programación.

Toda consulta interna sobre la información contenida en las bases de datos de videos de vigilancia, como parte del desarrollo de las funciones propias de cada proceso, deberán ser solicitadas por medio de los siguientes canales:

Proceso encargado: TIC`S y Programación

Los Profesionales de Soporte e infraestructura de TIC`S y Programación darán atención a las solicitudes que ingresen por la herramienta de soporte implementada por la organización y accesible desde el link: http://soporte.si18.com.co/

Proceso encargado: PQRS y Calidad

Los profesionales de PQRS y Calidad darán gestión a las consultas, solicitudes, quejas, reclamos, sugerencias y denuncias en materia de Datos Personales presentadas por los titulares de la información, las cuales deberán ser allegadas por medio de los siguientes canales:

1. Correo electrónico: pqrs.norte@si18.com.co
2. Página web: “www.si18.com.co”
3. Dirección de Correspondencia: Calle 80 # 96 – 91.

Las solicitudes que provengan de la Interventoría, TRANSMILENIO S.A. y/o autoridades competentes se reciben únicamente vía Oficio (físico y/o Digital) o correo electrónico.

5.11. COLABORADORES AUTORIZADOS

A continuación, se relacionan los colaboradores que por la naturaleza de las funciones de su cargo requieren acceso a bases de datos de información personal y/o videos de seguridad, deberán firmar el acuerdo de confidencialidad y seguir los protocolos de seguridad para el manejo de la información: no grabar, no compartir por correos, whatsapp u otros canales no autorizados.

 Gerentes de Producción
 Director de Operaciones
 Director de Mantenimiento
 Director de Gestión Humana
 Coordinador del Centro de Control
 Profesional de soporte e infraestructura TI
 Profesional de PQRS y Calidad
 Facilitador troncal
 Facilitador de operaciones
 Instructor
 Analista SST

5.12. REGISTRO DE BASES DE DATOS

Sí18 NORTE S.A.S. realizó el registro de las bases de datos ante el Registro Nacional de Bases de Datos (RNBD) que administra la Superintendencia de Industria y Comercio, cumpliendo los términos definidos para ello y como garantía de la transparencia del ejercicio de aplicación de su Política de Tratamiento de Datos Personales.

5.13. ROLES Y RESPONSABILIDADES EN LA PROTECCIÓN DE DATOS PERSONALES

En el marco del ejercicio de la protección de datos, Sí18 NORTE S.A.S. ha definido los siguientes roles para dar cumplimiento a la normatividad aplicable y a las disposiciones enmarcadas en el presente documento.

5.13.1. Oficial de Protección de Datos Personales: Es la persona encargada de garantizar el cumplimiento de la Política de Tratamiento de Datos Personales, así como del presente procedimiento.

Sí18 NORTE S.A.S. designó como Oficial de Protección de Datos Personales”, a la actual abogada de la organización, quien será la encargada de: Coordinar, promover y dar eficaz cumplimiento a las acciones e iniciativas tendientes al adecuado cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012 y su decreto Reglamentario.

Sus funciones se encuentran expresamente señaladas en el documento de designación y asignación de funciones y competencias, las cuales se relacionan a continuación.

“1. Controlar y actualizar el inventario de información personal continuamente para identificar y evaluar nuevas recolecciones, usos y divulgaciones.

2. Revisar las políticas siguiendo los resultados de las evaluaciones o auditorías.

3. Mantener como documentos históricos las evaluaciones de impacto y las amenazas a la seguridad, y riesgos.

4. Revisar y modificar la formación y la educación en forma periódica como consecuencia de evaluaciones continuas; así como comunicar los cambios realizados a los controles del Programa Integral de Protección de Datos Personales.

5. Revisar y adaptar los protocolos de respuesta en el manejo de violaciones e incidentes para implementar las mejores prácticas o recomendaciones y lecciones aprendidas de revisiones posteriores a dichos incidentes.

6. Revisar y, en si es el caso, modificar los requisitos establecidos en los contratos suscritos con los encargados del tratamiento de datos personales.

7. Actualizar y aclarar las comunicaciones externas para explicar la política de tratamiento de datos.

8. Reportar semestralmente a la alta dirección, la evolución del riesgo, controles implementados, monitoreo y evaluación de la eficacia de los mismos.

9. Inscribir y/o actualizar en el Registro Nacional de Bases de Datos, la información relativa a las bases de datos sujetas a tratamiento, y sobre las cuales aplica la Ley 1581 de 2012.

10. Dar respuesta a los requerimientos que las autoridades competentes realicen en el marco de la Ley 1581 de 2012 y los decretos reglamentarios.

11. Supervisar y monitorear las acciones de salvaguarda de la seguridad de las bases de datos que contengan datos personales.

12. Atender los requerimientos de los titulares de información de datos personales, relacionados con el uso y tratamiento de los mismos (autorización, revocatoria, actualización, etc.).

13. Vigilar e implementar las buenas prácticas de gestión de datos personales, para lo cual, deberá: estructurar, diseñar y administrar el programa que permita a la organización cumplir las normas sobre protección de datos personales, contenidas en la Ley 1581 de 2012.

14. Como consecuencia del numeral anterior, deberá establecer los controles de dicho programa, su evaluación y revisión permanente; para lo cual deberá:

• Establecer e implementar los controles del Programa Integral de Gestión de Datos Personales.

• Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal de dicho programa.

• Promover una cultura de protección de datos dentro de la organización.

• Mantener un inventario de las bases de datos personales en poder de la organización y clasificarlas según su tipo.

• Obtener las declaraciones de conformidad de la Superintendencia de Industria y Comercio – “SIC” cuando sea requerido.

• Redactar y validar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con no residentes en Colombia. (Si aplica)

• Analizar las responsabilidades de cada cargo de la organización, para diseñar un programa de entrenamiento general en protección de datos para todos los colaboradores de la organización.

• Garantizar que los nuevos colaboradores reciban el entrenamiento necesario cuando las condiciones de su empleo generen acceso a datos personales gestionados por la organización.

• Integrar la política de protección de datos al modelo de operación por procesos de la organización y sus áreas involucradas.”

5.13.2. Delegados de Protección de Datos Personales: Son las personas encargadas de las bases de datos identificadas y reportadas ante el Registro Nacional de Bases de Datos, quienes tienen el deber de reportar actualizaciones o cambios sustanciales en la información de la base de datos que deba ser reportada ante la Superintendencia de Industria y Comercio.

También son responsables de informar sobre cambios en el tratamiento de datos personales, o puntos de captura adicionales que requieran coberturas.

5.13.3. Comité de Habeas Data: Cuerpo colegiado o escenario de control en donde se revisan, discuten, validan y aprueban directrices enfocadas a implementar, consolidar y mejorar continuamente las actividades que hacen parte de la Política y procedimiento de tratamiento de datos personales. Está integrado por, el Oficial de Protección de Datos Personales y Gerencias de Procesos.

6. DESCRIPCIÓN DEL PROCEDIMIENTO