MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES

ENERCER S.A. E.S.P

MAYO 2017

Para ENERCER S.A. E.S.P la autenticidad, protección, conservación, confidencialidad e integridad de los datos personales de nuestros clientes, bancos, empleados, proveedores, fondos entre otros, es muy importante, por dicha razón, estamos comprometidos con el manejo y protección adecuada de los mismos, conforme el régimen legal de protección de datos personales aplicable en donde operamos. Para esto hemos diseñado una política de almacenamiento y tratamiento de la información que nuestros, clientes, empleados, proveedores y demás nos suministran a través de los diversos canales de nuestros productos y/o servicios.

Este Manual permite conocer a cada uno de los miembros internos y externos, los derechos y obligaciones que la Ley 1581 de 2012 y las normas complementarias han desarrollado, garantizado y establecido para los titulares de la información de carácter personal.

TABLA DE CONTENIDO

1. DISPOSICIONES GENERALES………………………………………………………………………………….. 5
   • DEFINICIONES……………………………………………………………………………………………… 5
   • OBJETO………………………………………………………………………………………………………. 6
   • PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES……………………….. 6
   • RECOLECCIÓN DE LOS DATOS PERSONALES……………………………………………………….. 7
     • BASE DE DATOS BANCOS…………………………………………………………………………. 7
     • BASE DE DATOS CLIENTES………………………………………………………………………… 8
     • BASE DE DATOS EMPLEADOS……………………………………………………………………. 8
     • BASE DE DATOS PROVEEDORES………………………………………………………………… 8
     • BASE DE DATOS FONDOS………………………………………………………………………… 8
   • VERACIDAD DE LA INFORMACIÓN……………………………………………………………………. 8
   • LEGISLACIÓN APLICABLE………………………………………………………………………………… 9
   • INFORMACIÓN DE NIÑOS Y ADOLESCENTES MENORES DE EDAD……………………………. 9
   • TRATAMIENTO DE DATOS SENSIBLES……………………………………………………………….. 9
   • FINALIDADES DEL TRATAMIENTO DE LOS DATOS PERSONALES……………………………. 10
   • DATOS RECOLECTADOS ANTES DE LA EXPEDICIÓN DEL DECRETO 1377 de 2013……. 11
2. AUTORIZACIÓN DE DATOS………………………………………………………………………………….. 12
   • AUTORIZACIÓN………………………………………………………………………………………….. 12
   • MECANISMOS PARA OTORGAR LA AUTORIZACIÓN……………………………………………. 12
   • PRUEBA DE LA AUTORIZACIÓN……………………………………………………………………… 13
3. DERECHOS Y DEBERES………………………………………………………………………………………… 13
   • DERECHOS DE LOS TITULARES DE LA INFORMACIÓN………………………………………….. 13
   • DEBERES DE ENERCER S.A. E.S.P. EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES 14
4. PROCEDIMIENTOS DE ACCESO, CONSULTA Y RECLAMACIÓN……………………………………… 15
   • DERECHO DE ACCESO………………………………………………………………………………….. 15
   • CONSULTAS………………………………………………………………………………………………. 15
   • RECLAMOS………………………………………………………………………………………………… 1

4.3.1.  IMPLEMENTACIÓN DE PROCEDIMIENTOS PARA GARANTIZAR EL DERECHO A PRESENTAR RECLAMOS       17

4.4.        RECTIFICACIÓN Y ACTUALIZACIÓN DE DATOS…………………………………………………… 18

4.5.        SUPRESIÓN DE DATOS…………………………………………………………………………………. 18

4.6.        REVOCATORIA DE LA AUTORIZACIÓN……………………………………………………………… 19

5.       SEGURIDAD DE LA INFORMACIÓN………………………………………………………………………… 20

5.1.        MEDIDAS DE SEGURIDAD…………………………………………………………………………….. 20

5.2.        IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD…………………………………………. 21

6.       DISPOSICIONES FINALES…………………………………………………………………………………….. 22

6.1.        MODIFICACIONES A LA POLITICA DE PRIVACIDAD……………………………………………… 22

6.2.        VIGENCIA DEL TRATAMIENTO DE LA INFORMACIÓN Y DATOS PERSONALES…………… 22

1.     DISPOSICIONES GENERALES

1.1. DEFINICIONES

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

Dato personal público: Toda información personal que es de conocimiento libre y abierto para el público en general.

Dato personal privado: Toda información personal que tiene un conocimiento restringido, y en principio privado para el público en general.

Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública, y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.

Tratamiento: Cualquier operación o conjunto de operaciones que ENERCER S.A. ESP realice sobre datos de carácter personal tales como la recolección, procesamiento, publicidad, almacenamiento, uso, circulación o supresión. Lo anterior solo aplicará exclusivamente para personas naturales.

1.2.  OBJETO

El presente documento tiene el propósito de regular los procedimientos de recolección, manejo y tratamiento de los datos de carácter personal que realiza ENERCER S.A. E.S.P, a fin de garantizar y proteger el derecho fundamental de habeas data de sus bancos, clientes, empleados, proveedores y demás en el marco de lo establecido en la ley. Todo lo anterior en cumplimiento a lo previsto en el literal (k) del Artículo 17 de la Ley 1581 de 2012, que regula los deberes que asisten a los responsables del tratamiento de datos personales, dentro de los cuales se encuentra el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

1.3.  PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

Para el Tratamiento de los Datos Personales, ENERCER S.A. E.S.P. aplicará los principios que se mencionan a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, de datos personales:

• Legalidad: El Tratamiento de datos personales se realizará conforme a las disposiciones legales aplicables (Ley Estatutaria 1581 de 2012 y sus decretos reglamentarios).

• Finalidad: Los datos personales recolectados serán utilizados para un propósito específico y explícito el cual debe ser informado al Titular o permitido por la Ley. El Titular será informado de manera clara, suficiente y previa acerca de la finalidad de la información

• Libertad: La recolección de los Datos Personales solo podrá ejercerse con la autorización, previa, expresa e informada del

• Veracidad o Calidad: La información sujeta al Tratamiento de Datos Personales debe ser veraz, completa, exacta, actualizada, comprobable y

• Transparencia: En el Tratamiento de Datos Personales se garantiza el derecho del Titular a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

• Acceso y circulación restringida: El Tratamiento de datos personales solo podrá realizarse por las personas autorizadas por el Titular y/o por las personas previstas en la

• Seguridad: Los Datos Personales sujetos a Tratamiento se manejarán adoptando todas las medidas de seguridad que sean necesarias para evitar su pérdida, adulteración, consulta, uso o acceso no autorizado o

• Confidencialidad: Todos los funcionarios que trabajen y demás personas naturales o jurídicas que presten servicios en o para ENERCER S.A. E.S.P. están obligados a guardar reserva sobre la información personal a la que tengan acceso con ocasión de su trabajo en ENERCER S.A. E.S.P.

1.4.  RECOLECCIÓN DE LOS DATOS PERSONALES

La recolección de los datos personales será aquella registrada en las diferentes bases de datos manejadas por ENERCER S.A. E.S.P., esto es, a las bases de datos de nuestros clientes, empleados, proveedores y demás, quienes nos suministren sus datos para fines comerciales.

La información que se recolecta, puede incluir, en todo o en parte según las necesidades de cada producto y/o servicio, entre otros los siguientes datos según aplique:

1.4.1.      BASE DE DATOS BANCOS

Nombre, Identificación, Dirección, Teléfono, Dirección

1.4.2.      BASE DE DATOS CLIENTES

Nombres, Apellidos, Identificación, Dirección, Teléfono, Celular, Ciudad, Estrato

1.4.3.      BASE DE DATOS EMPLEADOS

Datos de personas mayores de 18 años, Nombres, Apellidos, Identificación, Fecha y lugar de Expedición, Estado Civil, Sexo, Edad, Ciudad, Dirección, Teléfono, Correo Electrónico, Resultados Exámenes de Ingreso, Resultado Exámenes Periódicos, Ingresos Experiencia Laboral, Cargo, Fecha de Ingreso, Fecha de Egreso, Anotaciones, Llamadas de Atención, AFP, EPS, ARL, Antecedentes Judiciales

1.4.4.      BASE DE DATOS PROVEEDORES

Datos de personas mayores de 18 años, Nombre, Apellido, Identificación, Dirección, Teléfono, Correo electrónico, Celular, Ciudad, Datos financieros – crediticios

1.4.5.      BASE DE DATOS FONDOS

Nombre, Identificación, Dirección, Teléfono, Correo electrónico, Celular, Ciudad

Estos datos son almacenados en el servidor propio de la empresa, en la sala de sistemas de la sede administrativa de Garagoa (Boyacá), ubicada en la Carrera 10 # 8 – 26. Lo cual es autorizado por nuestros clientes, empleados, proveedores y demás personas naturales o jurídicas al aceptar esta Política de Privacidad.

1.5.  VERACIDAD DE LA INFORMACIÓN

Nuestros bancos, clientes, empleados, proveedores, fondos y demás, deben suministrar información veraz sobre sus datos personales bajo cuya condición aceptan entregar la información requerida a ENERCER S.A. E.S.P.

ENERCER S.A. E.S.P. presume la veracidad de la información suministrada y no verifica, ni asume la obligación de verificar, la identidad de clientes, empleados, proveedores y demás personas naturales o jurídicas que suministren información, por lo cual no asume responsabilidad por daños y/o perjuicios de toda naturaleza que pudieran tener origen en la falta de veracidad, vigencia, suficiencia o autenticidad de la información, incluyendo daños y perjuicios que puedan deberse a la homonimia o a la suplantación de la identidad.

1.6. LEGISLACIÓN APLICABLE

Este manual fue elaborado teniendo en cuenta la siguiente legislación:

• Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”.
• Decreto número 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”.
• Constitución Política, artículo

1.7.  INFORMACIÓN DE NIÑOS Y ADOLESCENTES MENORES DE EDAD

ENERCER S.A. E.S.P. velará por el uso adecuado de los datos personales de los niños, niñas y adolescentes menores de edad, garantizando que en el tratamiento de sus datos se respete el interés superior de ellos, y sus derechos fundamentales y en lo posible, teniendo en cuenta su opinión, como titulares de sus datos personales.

Cumplidos los anteriores requisitos, ENERCER S.A. E.S.P. exigirá al representante legal o tutor del niño, niña o adolescente, la autorización del menor, previo a que el menor de su opinión frente al tratamiento que se le dará a sus datos, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, tal como lo indica la Ley.

ENERCER S.A. E.S.P. y cualquier persona involucrada en el tratamiento de los datos personales de niños, niñas y adolescentes, velaran por el uso adecuado de los mismos. En cumplimiento de lo anterior, se aplican y desarrollan los principios y obligaciones establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

1.8.  TRATAMIENTO DE DATOS SENSIBLES

ENERCER S.A. E.S.P. sólo trata datos personales sensibles para lo estrictamente necesario, solicitando consentimiento previo y expreso a los titulares (representantes legales, apoderados, causahabientes) e informándoles sobre la finalidad exclusiva para su tratamiento.

Serán utilizados los datos catalogados como sensibles, cuando:

• El tratamiento haya sido autorizado expresamente por el titular de los datos sensibles, salvo en los casos que, por Ley, no se requiera el otorgamiento de dicha autorización.
• El Tratamiento sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar la autorización.
• El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso
• El Tratamiento tenga una finalidad histórica, estadística o científica o, dentro del marco de procesos de mejoramiento; este último, siempre y cuando se adopten  las medidas conducentes a la supresión de identidad de los Titulares o el dato este disociado, es decir, el dato sensible sea separado de la identidad del titular y no sea identificable o no se logre identificar a la persona titular del dato o datos sensibles.

De acuerdo a lo anterior, ENERCER S.A. E.S.P. cumple con las siguientes obligaciones:

1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su
2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de Tratamiento son de carácter sensible y la finalidad del tratamiento, y obtener el consentimiento expreso.
3. No condicionar ninguna actividad a que el titular suministre datos personales sensibles (salvo que exista una causa legal o contractual para hacerlo).

1.9.  FINALIDADES DEL TRATAMIENTO DE LOS DATOS PERSONALES

La información recolectada es utilizada para procesar, confirmar, cumplir y proveer los servicios adquiridos, directamente y/o con la participación de terceros proveedores de servicios, así como para promocionar y publicitar nuestras actividades, servicios, realizar transacciones, efectuar reportes a las distintas autoridades administrativas de control y vigilancia nacionales o internacionales, autoridades de policía o autoridades judiciales, entidades bancarias y/o compañías aseguradoras, para fines administrativos internos y/o comerciales tales como, investigación de mercados, auditorías, reportes contables, análisis estadísticos, facturación, y ofrecimiento y/o reconocimiento de beneficios propios de nuestros programas de lealtad.

Al aceptar esta Política de Privacidad y Tratamiento, nuestros clientes, empleados, proveedores, fondos y demás personas naturales o jurídicas que suministren su información, en su calidad de titulares de los datos recolectados, autorizan que ENERCER S.A. E.S.P. realice el tratamiento de los mismos, de forma parcial o total, incluyendo la recolección, almacenamiento, grabación, uso, circulación, procesamiento, supresión, para la ejecución de las actividades relacionadas con los servicios adquiridos, tales como:

• Lograr una eficiente comunicación relacionada con los productos y servicios de la Compañía, y facilitar el acceso general a la información de los productos y
• Proveer y promocionar los productos y servicios de la Compañía.
• Informar sobre nuevos productos o servicios que estén relacionados con el o los contratados o adquiridos a la Compañía.
• Dar cumplimiento a obligaciones contraídas con nuestros clientes, proveedores y empleados.
• Informar sobre cambios de los productos o servicios de la Compañía.
• Evaluar la calidad de los servicios prestados por la Compañía.
• Realizar estudios internos y externos sobre hábitos de Compartir los datos personales con sus sociedades matrices dentro o fuera del territorio nacional, así como entregarlas a contratistas y proveedores de servicios de la Compañía, sólo para los fines descritos en los numerales anteriores y con la observancia de todas las medidas para proteger la información en ellas Lo anterior, sin perjuicio de otras finalidades que hayan sido informadas en este documento y en los términos y condiciones de cada uno de los servicios propios de cada una de nuestras unidades de negocio.

Advertimos que en estas actividades pueden estar involucrados terceros proveedores (tales como contratistas, profesionales, entidades bancarias, aseguradoras).

1.10.                DATOS RECOLECTADOS ANTES DE LA EXPEDICIÓN DEL DECRETO 1377 de 2013

• Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus

• Se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de

• Si los mecanismos citados en el numeral (a) imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.

• Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno de comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto

• A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o

• Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales (a), (b) y (c), el Titular no ha contactado a ENERCER S.A. E.S.P. para solicitar la supresión de sus datos personales en los términos del presente decreto, ENERCER S.A. E.S.P. podrá continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del

2.     AUTORIZACIÓN DE DATOS

2.1.  AUTORIZACIÓN

La recolección almacenamiento, uso, circulación o supresión de datos personales por parte de ENERCER S.A. E.S.P. requiere del consentimiento libre, previo, expreso e informado del titular de los mismos. ENERCER S.A. E.S.P. en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

Con la mencionada autorización, el cliente acepta las políticas y condiciones que se establecen en el presente documento.

2.2.  MECANISMOS PARA OTORGAR LA AUTORIZACIÓN

La autorización del titular de la información constará en cada uno de los canales y mecanismos de recolección de datos de ENERCER S.A. E.S.P.

Así, podrá constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta. La autorización será emitida por el titular previo al tratamiento de sus datos personales, de conformidad con lo dispuesto en la Ley 1581 de 2102.

Con el procedimiento de autorización consentida se garantiza que se ha puesto en conocimiento del titular de los datos personales, tanto el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de conocer cualquier alternación a los mismos y el uso específico que de ellos se ha dado. Lo anterior con el fin de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal.

2.3.  PRUEBA DE LA AUTORIZACIÓN

ENERCER S.A. E.S.P. deberá conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

3.     DERECHOS Y DEBERES

3.1. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN

De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 el titular de los datos personales tiene los siguientes derechos:

1. Conocer, actualizar y rectificar sus datos frente a ENERCER S.A. E.S.P. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada salvo las excepciones dadas por la ley: i) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, ii) datos de naturaleza pública, iii) casos de urgencia médica o sanitaria, iv) tratamiento de información autorizado por ley para fines históricos, estadísticos, científicos, v) datos relacionados con registro civil de
3. Ser informado por ENERCER A. E.S.P. previa solicitud, respecto del uso que le ha dado a sus datos personales.
4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Los datos suministrados no son, según la ley, datos sensibles, tampoco manejamos datos de niñas, niños y adolescentes, sin embargo el Titular puede contactarse con nosotros al correo suministrado en el aviso de privacidad, para ser atendidas sus preguntas respecto a datos sensibles o datos de niñas, niños y

3.2. DEBERES DE ENERCER S.A. E.S.P. EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES

ENERCER S.A. E.S.P. tendrá presente, en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso la Ley 1581 de 2012 sobre protección de datos personales.

De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012 ENERCER S.A.

E.S.P. se compromete a cumplir en forma permanente con los siguientes deberes:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
5. Garantizar que la información que se suministre a ENERCER A. E.S.P. sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna a ENERCER S.A. E.S.P., todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Tramitar las consultas y reclamos formulados en los términos señalados en la presente
8. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente
9. Informar a solicitud del Titular sobre el uso dado a sus
10. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los
11. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

4.     PROCEDIMIENTOS DE ACCESO, CONSULTA Y RECLAMACIÓN

4.1. DERECHO DE ACCESO

El poder de disposición o decisión que tiene el titular sobre la información que le concierne, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento.

• El titular tiene derecho a solicitar su rectificación en caso de ser inexactos o incompletos y a cancelarlos cuando no estén siendo utilizados conforme a finalidades y términos legales o contractuales o según las finalidades y términos contemplados en esta Política de Privacidad.

• ENERCER A. E.S.P. garantizará el derecho de acceso cuando, previa acreditación de la identidad del titular o de su representante o apoderado lo solicite según lo previsto en la Ley 1581 de 2012.

• Los bancos, clientes, empleados, proveedores, fondos y demás personas naturales y jurídicas que suministren datos personales, pueden ejercer sus derechos de conocer, actualizar, rectificar y suprimir sus datos personales enviando su solicitud al correo electrónico: Enercer@Enercer.com.co, en la Sede Administrativa en Garagoa (Boyacá), Carrera 10 No. 8-26. O a la línea de atención al cliente 018000940026 a nivel departamental o al 7500271 en la ciudad de Garagoa

Debe incluir en la solicitud los siguientes datos: Nombres y apellidos.

Tipo de documento. Número de documento. Teléfono.

Correo electrónico. Asunto.

4.2.  CONSULTAS

Los titulares de los datos personales podrán consultar la información de carácter personal que repose en la base de datos ENERCER S.A. E.SP., en consecuencia, ENERCER S.A. E.SP. garantiza el derecho de consulta conforme a lo dispuesto en la Ley 1581 de 2012 exclusivamente sobre los datos personales privados, sensibles y de menores correspondientes a personas naturales, suministrando a los Titulares de estos datos personales la información contenida en cada una de las bases de datos correspondientes y que estén bajo el control de ENERCER S.A. E.S.P. ENERCER S.A. E.S.P., solicitará el documento de identificación, que permite identificar de manera segura al titular de los datos personales que realiza la consulta o petición

Los clientes, empleados, proveedores, fondos y demás personas naturales o jurídicas que suministren datos, pueden ejercer sus derechos de conocer, consultar, actualizar, rectificar y suprimir sus datos personales enviando su solicitud al correo electrónico: Enercer@Enercer.com.co  en la Sede Administrativa en Garagoa (Boyacá), Call2 12 No. 10-49.  a la línea de atención al cliente 3114424759 a nivel departamental o al 7500271 en la ciudad de Garagoa

Debe incluir en la solicitud los siguientes datos: Nombres y apellidos.

Tipo de documento. Número de documento. Teléfono.

Correo electrónico. Asunto.

En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

4.3.  RECLAMOS

De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante el ENERCER S.A. E.S.P., el cual será tramitado bajo las siguientes reglas:

1. El reclamo lo podrá presentar el Titular en los formatos que al efecto dispone ENERCER

S.A. E.S.P. Si el reclamo recibido no cuenta con información completa que permita darle trámite, esto es, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer, se requerirá al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Si por alguna circunstancia la Compañía recibe un reclamo que en realidad no debería ir dirigido contra él, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

2. Una vez recibido el reclamo completo, se incluirá en la base de datos que mantiene ENERCER A. E.S.P. una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su Cuando no fuere posible atenderlo dentro de dicho término se informará al interesado antes del vencimiento del referido plazo los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

4.3.1. IMPLEMENTACIÓN DE PROCEDIMIENTOS PARA GARANTIZAR EL DERECHO A PRESENTAR RECLAMOS

En cualquier momento y de manera gratuita el titular o su representante podrán solicitar a ENERCER S.A. E.S.P. la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad. Los derechos de rectificación, actualización o supresión únicamente se podrán ejercer por:

• El titular o sus causahabientes, previa acreditación de su identidad, o a través de instrumentos electrónicos que le permitan
• Su representante, previa acreditación de la representación.

Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada.

La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por ENERCER S.A. E.S.P. señalados en el aviso de privacidad y contener, como mínimo, la siguiente información:

• El nombre y domicilio del titular o cualquier otro medio para recibir la
• Los documentos que acrediten la identidad o la personalidad de su
• La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los

• En caso dado otros elementos o documentos que faciliten la localización de los datos

4.4.  RECTIFICACIÓN Y ACTUALIZACIÓN DE DATOS

ENERCER S.A. E.S.P. tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente: En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.

ENERCER S.A. E.S.P. tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes.

ENERCER S.A. E.S.P. podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados en la www.enercer.com

ENERCER S.A. E.S.P. utilizará los servicios de atención o servicio al cliente que tiene en operación, siempre y cuando los plazos de respuesta no sean mayores a los señalados por el artículo 15 de la Ley 1581 de 2012. (Reclamos).

Cada vez que ENERCER S.A. E.S.P. ponga a disposición una herramienta nueva para facilitar el ejercicio de sus derechos por parte de los titulares de información o modifique las existentes, lo informará a través de su www.Enercer.com

4.5.  SUPRESIÓN DE DATOS

El titular tiene el derecho, en todo momento, a solicitar a ENERCER S.A. E.S.P. la supresión (eliminación) de sus datos personales cuando:

2012. Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de
2013. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual
2014. Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados.

Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por

ENERCER S.A. E.S.P. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio del mismo cuando:

• La solicitud de supresión de la información no procederá cuando el titular tenga un deber legal o contractual de permanecer en la base de
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el

Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal. Para ello, deberán comunicarse con ENERCER S.A. E.S.P., mediante correo electrónico: Enercer@Enercer.com.co y a través de la Sede Administrativa en Garagoa (Boyacá), Carrera 10 No. 8-26.

En caso de resultar procedente la cancelación de los datos personales, ENERCER S.A. E.S.P. debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.

4.6.  REVOCATORIA DE LA AUTORIZACIÓN

Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal. Para ello, deberán comunicarse con ENERCER S.A. E.S.P., mediante correo electrónico: Enercer@Enercer.com.co, en la Sede Administrativa en Garagoa (Boyacá), Carrera 10 No. 8-26. O a la línea de atención al cliente 3114424759 a nivel departamental o al 7500271 en la ciudad de Garagoa

Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse:

La primera, puede ser sobre la totalidad de las finalidades consentidas, esto es, que ENERCER

S.A. E.S.P. deba dejar de tratar por completo los datos del titular.

La segunda, puede ocurrir sobre tipos de tratamiento determinados, como por ejemplo para fines publicitarios o de estudios de mercado. Con la segunda modalidad, esto es, la revocación parcial del consentimiento, se mantienen a salvo otros fines del tratamientos que el responsable, de

conformidad con la autorización otorgada puede llevar a cabo y con los que el titular está de acuerdo.

Por lo anterior, será necesario que el titular al momento elevar la solicitud de revocatoria consentimiento a ENERCER S.A. E.S.P., indique en ésta si la revocación que pretende realizar es total o parcial. En la segunda hipótesis se deberá indicar con cuál tratamiento el titular no está conforme. Habrá casos en que el consentimiento, por su carácter necesario en la relación entre titular y responsable por el cumplimiento de un contrato, por disposición legal no podrá ser revocado. Los mecanismos o procedimientos que ENERCER S.A. E.S.P. establezca para atender las solicitudes de revocatoria del consentimiento no podrán exceder los plazos previstos para atender las reclamaciones conforme se señala en el artículo 15 de la Ley 1581 de 2012.

5.     SEGURIDAD DE LA INFORMACIÓN

• MEDIDAS DE SEGURIDAD

En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, ENERCER S.A.

E.S.P. ha adoptado las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

No obstante lo anterior el cliente asume los riesgos que se derivan de entregar esta información en un medio como internet, el cual está sometido a diversas variables – ataques de terceros, fallas técnicas o tecnológicas, entre otras. ENERCER S.A. E.S.P. hará su mejor esfuerzo tecnológico para garantizar la seguridad de la información personal de todas las personas naturales y jurídicas que la hayan suministrado, empleando métodos razonables y actualizados de seguridad para impedir el acceso no autorizado, para mantener la exactitud de los datos y garantizar la correcta utilización de la información. (Ver documento Seguridad Bases de Datos).

En ENERCER S.A. E.S.P. se utilizan salas cerradas de acceso restringido para el hardware de servidor de base de datos y los dispositivos de red, así mismo existen Backups que reposan en el área de Sistemas.

Las bases de datos las contiene el aplicativo financiero World Office. En éste aplicativo, las personas autorizadas para alimentar y para modificar las bases de datos son:

Periódicamente el software genera un archivo de copia de seguridad que se guarda en un disco duro distinto al de ubicación de la base de datos.

Dentro de los contratos laborales y de prestación de servicios se incluye una cláusula para la protección de datos personales y de confidencialidad, que garantiza que todo el personal y demás personas naturales o jurídicas que prestan servicios en o para ENERCER S.A. ESP, conocen y son responsables del debido uso y protección de los datos personales que se manejan en la compañía.

5.2.  IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD

ENERCER S.A. E.S.P. mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información. El procedimiento deberá considerar, como mínimo, los siguientes aspectos:

1. Los terceros contratados por ENERCER S.A. E.S.P., estarán obligados a adherirse y dar cumplimiento a las políticas y manuales de seguridad de la información, así como a los protocolos de seguridad que aplicamos a todos nuestros
2. Todo contrato de ENERCER S.A. E.S.P. con terceros (proveedores, consultores externos, colaboradores temporales, ) que involucre el tratamiento de información y datos personales, incluirá un acuerdo de confidencialidad que detalla sus compromisos para la protección, cuidado, seguridad y preservación de la confidencialidad, integridad y privacidad de la misma.
3. Ámbito de aplicación del procedimiento con especificación detallada de los recursos

2012. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de
2013. Funciones y obligaciones del
2014. Estructura de las bases de datos de carácter personal y descripción de los sistemas de información que los
2015. Procedimiento de notificación, gestión y respuesta ante las
2016. Procedimientos de realización de copias de respaldo y de recuperación de los
2017. Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se
2018. Medidas a adoptar cuando un soporte o documento vaya a ser transportado, desechado o reutilizado.
2019. El procedimiento deberá mantenerse actualizado en todo momento y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del
2020. El contenido del procedimiento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos

6.     DISPOSICIONES FINALES

• MODIFICACIONES A LA POLITICA DE PRIVACIDAD

ENERCER S.A. E.S.P. se reserva el derecho de efectuar en cualquier momento modificaciones o actualizaciones a esta Política de Protección de Datos Personales, para la atención de novedades legislativas, políticas internas o nuevos requerimientos para la prestación u ofrecimiento de sus servicios y/o productos, las cuales siempre se realizarán con sujeción a la Ley

6.2.  VIGENCIA DEL TRATAMIENTO DE LA INFORMACIÓN Y DATOS PERSONALES

La información suministrada por los clientes y usuarios permanecerá almacenada hasta por el término de quince (15) años contados a partir de la fecha del último tratamiento, para permitirnos el cumplimiento de las obligaciones legales y/o contractuales a su cargo especialmente en materia contable, fiscal y tributaria.