1. OBJETIVO
2. DATOS DEL ENCARGADO DEL TRATAMIENTO DE LOS DATOS.
3. BASE LEGAL Y ÁMBITO DE APLICACIÓN.
4. DEFINICIONES.
4.1. CLASIFICACIÓN DE LA INFORMACIÓN.
5. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES.
5.1. Principios Relacionados con la Recolección de Datos Personales.
5.2. Principios Relacionados con el Uso de Datos Personales
5.3. Principios Relacionados con la Calidad de la Información.
5.4. Principios Relacionados con la Protección, el Acceso y Circulación de Datos Personales.
6. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y LA FINALIDAD DEL MISMO.
7. DERECHOS DE LOS TITULARES DE LOS DATOS.
8. Deberes de EDU TEC S.A.S. cuando obra como responsable del tratamiento de datos personales.
9. Deberes de EDU TEC S.A.S. cuando obra como encargado del tratamiento de datos personales.
10. DE LA AUTORIZACIÓN.
10.1. Autorización para Tratamiento de Datos.
10.2. Autorización para tratamiento de datos sensibles.
11. PROCEDIMIENTOS PARA QUE LOS TITULARES PUEDAN EJERCER SUS DERECHOS.
12. CUMPLIMIENTO Y ACTUALIZACIÓN.
13. MEDIDAS DE SEGURIDAD.
14. FUNCIONES Y OBLIGACIONES DEL PERSONAL.
15. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENCIAS.
16. MEDIDAS PARA EL TRANSPORTE, DESTRUCCIÓN Y REUTILIZACIÓN DE DOCUMENTOS Y SOPORTES.
17. FECHA DE ENTRADA EN VIGENCIA DE LA PRESENTE POLÍTICA.
La presente Política de Privacidad y Protección de Datos Personales tiene como propósito establecer los lineamientos que garantizan la protección, seguridad y transparencia en el tratamiento de los datos personales recolectados y gestionados por EDU TEC S.A.S., en el desarrollo de sus actividades propias. EDU TEC S.A.S. reconoce la importancia de salvaguardar la información personal y se compromete a cumplir con las disposiciones legales aplicables, promoviendo la integridad, confidencialidad y acceso restringido a dicha información.
Razón social: EDU TEC S.A.S.
Correo Electrónico: contacto@edutecstartup.co
Teléfono: +57 300 5316363
Dirección: Sincelejo, Sucre, Colombia
Esta política está fundamentada en la Ley 1581 de 2012 y el Decreto 1377 de 2013, que regulan la protección de datos personales en Colombia. Aplica a todas las actividades de tratamiento de datos realizadas por EDU TEC S.A.S., incluyendo recolección, almacenamiento, uso, circulación y supresión de datos personales, tanto en sistemas digitales como en soportes físicos. También abarca a los empleados, contratistas y terceros vinculados que acceden a los sistemas de información de la empresa.
Establecidas en el artículo 3 de la Ley 1581 de 2012 y en el artículo 2.2.2.25.1.3 Decreto 1074 de 2015 (artículo 3 del Decreto 1377 de 2013).
Acceso autorizado: Autorización concedida a un usuario para el uso de determinados recursos. En dispositivos automatizados es el resultado de una autentificación correcta, generalmente mediante el ingreso de usuario y contraseña.
Autenticación: Procedimiento de verificación de la identidad de un usuario.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
Contraseña: Secreta que permite el acceso a dispositivos, información o bases de datos antes inaccesibles. Se utiliza en la autentificación de usuarios que permite el acceso autorizado.
Control de acceso: Mecanismo que permite acceder a sitios, dispositivos, información o bases de datos mediante la autentificación.
Copia de respaldo: Copia de los datos de una base de datos en un soporte que permita su recuperación.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento, que para los efectos de las políticas aquí planteadas corresponde a EDU TEC S.A.S.
Identificación: Proceso de reconocimiento de la identidad de los usuarios.
Incidencia: Cualquier anomalía que afecte o pueda afectar a la seguridad de los datos, constituyendo un riesgo para la confidencialidad, disponibilidad o integridad de las bases de datos o de los datos personales que contienen.
Información: Representación de conocimiento mediante datos digitales, escritos en cualquier medio, ya sea magnético, papel, visual u otro que genere (nombre empresa).
Perfil de usuario: Grupo de usuarios a los que se da acceso.
Recurso protegido: Cualquier componente del sistema de información, como bases de datos, programas, soportes o equipos, empleados para el almacenamiento y tratamiento de datos personales.
Responsable de administrar base de datos: Una o varias personas designadas por FÁCILADMIN S.A.S, como Responsable del Tratamiento, para el control y la coordinación de las medidas de seguridad.
Oficial de protección de Datos: Es la persona natural que asume la función de coordinar la implementación del marco legal en protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los mismos; por tanto, para todos los efectos de las políticas aquí planteadas, el Responsable directo del tratamiento de los datos es el Administrador de la copropiedad.
Sistema de información: Conjunto de bases de datos, programas, soportes y/o equipos empleados para el tratamiento de datos personales.
Soporte: Material en cuya superficie se registra información o sobre el cual se pueden guardar o recuperar datos, como el papel, la cinta de video, el CD, el DVD, el disco duro, las memorias USB, etc.
Usuario: Sujeto autorizado para acceder a los datos o recursos, o proceso que accede a los datos o recursos sin identificación de un sujeto.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
• Publica: Información que puede ser conocida por todos los miembros enmarcados en el alcance y el público en general. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Son públicos los datos personales existentes en el registro mercantil de las Cámaras de Comercio (Artículo 26 del C.Co.). Asimismo, son datos públicos, los que, en virtud de una decisión del titular o de un mandato legal, se encuentren en archivos de libre acceso y consulta. Estos datos pueden ser obtenidos y ofrecidos sin reserva alguna y sin importar si hacen alusión a información general, privada o personal.
• Interna: Información que requiere la organización para la ejecución de su objeto social y puede ser accedida por el personal de FÁCILADMIN S.A.S., para el cumplimiento de las actividades diarias, alineadas a las funciones y responsabilidades del cargo o de la prestación de servicios de terceros y su conocimiento es de carácter general. Su disponibilidad a terceros es únicamente mediante un acuerdo contractual que exprese la necesidad de su uso para efectos del cumplimiento del mismo y para lo cual se debe comprometer a no divulgarla.
• Confidencial: Información propia que solo está disponible para los colaboradores de FÁCILADMIN S.A.S., en función de sus labores y que no puede ser conocida por otros empleados o terceros sin autorización del Responsable de administrar la base de datos. También se refiere a un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización previa, informada y expresa. Bases de datos que contengan datos como Números telefónicos y correos electrónicos personales; datos laborales, sobre infracciones administrativas o penales, administrados por administraciones tributarias, entidades financieras y entidades gestoras y servicios comunes de la Seguridad Social, bases de datos sobre solvencia patrimonial o de crédito, bases de datos con información suficiente para evaluar la personalidad del titular, bases de datos de los responsables de operadores que presten servicios de comunicación electrónica.
• Reservada: Información que solo debe tener acceso personal específico y la revelación al público puede causar daño a la reputación, marca o estrategias de organización. También, hace referencia a aquellos datos privados que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
El tratamiento de datos personales debe realizarse respetando las normas generales y especiales sobre la materia y para actividades permitidas por la ley. En el desarrollo, interpretación y aplicación de la presente política, se aplicarán de manera armónica e integral los siguientes principios:
Principio de Libertad: Salvo norma legal en contrario, la recolección de los datos sólo puede ejercerse con la autorización previa, expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin el previo consentimiento del titular, o en ausencia de mandato legal o judicial que releve el consentimiento.
Se deberá informar al titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y, por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos.
El principio de libertad debe observarse tanto para el caso de los datos que se recolectan a través de formatos como los que hacen parte de los anexos o documentos que entregan los titulares de los datos a FÁCILADMIN.
Principio de Limitación de la Recolección: Sólo deben recolectarse los datos personales que sean estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, de tal forma que se encuentra prohibido el registro y divulgación de la información que no guarde estrecha relación con el objetivo del tratamiento. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Es decir, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.
Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. Se deberá informar al titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y, por tanto, no podrán recopilarse datos sin una finalidad específica.
Principio de Temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir con la finalidad del tratamiento y las exigencias legales o instrucciones de las autoridades de vigilancia y control u otras autoridades competentes. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Para determinar el término del tratamiento se considerarán las normas aplicables a cada finalidad y los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
Principio de Veracidad o Calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan al error. Se deberán adoptar medidas razonables para asegurar que los datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando EDU TEC S.A.S. lo determine, sean actualizados, rectificados o suprimidos cuando sea procedente.
Principio de Seguridad: Cada persona vinculada con EDU TEC S.A.S., deberá cumplir las medidas técnicas, humanas y administrativas que establezca la entidad para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso, acceso no autorizado o fraudulento.
Principio de Transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
Principio de Acceso Restringido: Sólo se permitirá acceso a los datos personales a las siguientes personas:
1. Al titular del dato.
2. A las personas autorizadas por el titular del dato.
3. A las personas que por mandato legal u orden judicial sean autorizadas para conocer de la información del titular del dato.
Principio de Circulación Restringida: Sólo se puede enviar o suministrar los datos personales a las siguientes personas:
1. Al titular del dato
2. A las personas autorizadas por el titular del dato.
3. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
Principio de Confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de datos públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales si fuera el caso, cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
Todo nuevo proyecto al interior de la Empresa, que implique el Tratamiento de Datos Personales deberá ser consultado con El OFICIAL DE SEGURIDAD DE LA INFORMACIÓN, que es la persona y dependencia encargada de la función de protección de datos para asegurar el cumplimiento de la política y de las médicas necesarias para mantener la confidencialidad del Dato Personal.
EDU TEC S.A.S. realiza el tratamiento de datos personales para:
Cumplir con los procesos administrativos y académicos de las instituciones educativas.
Gestionar comunicaciones entre estudiantes, padres, docentes y administrativos.
Conocer, almacenar y procesar toda la información suministrada por los titulares de datos en una o varias bases de datos, en el formato que estimen más conveniente. realizar todas las gestiones de orden tributario, contable, fiscal y de facturación.
Realizar actividades de facturación, cobro y auditoría.
Implementar estrategias de mejoramiento y oferta de servicios.
Garantizar el cumplimiento de obligaciones legales y contractuales.
Los titulares de la información tienen derecho de acuerdo a la ley a:
1. Acceder a toda su información personal que haya sido tratada, rectificar sus datos, cancelar el servicio y oponerse al tratamiento de su información, ya sea por parte del Responsable o del Encargado del tratamiento, que para este caso es EDU TEC el que ostenta esta última calidad.
2. Conocer, actualizar y rectificar sus datos personales. Para el efecto es necesario establecer previamente la identificación de la persona para evitar que terceros no autorizados accedan a la información del titular.
3. Obtener copia de la autorización del tratamiento de sus datos que para el caso deberá ser solicitada directamente al Responsable del tratamiento de la información.
4. Obtener información sobre el uso que FÁCILADMIN ha dado como encargado de los datos personales del titular.
5. Dar trámite a las consultas y reclamos siguiendo las pautas establecidas en la ley y en la POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES.
6. Acceder a la solicitud de revocatoria de la autorización y/o supresión del dato personal cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento por parte de FÁCILADMIN se haya incurrido en conductas contrarias a la Ley 1581 de 2012 o a la Constitución.
7. El Titular del derecho también podrá revocar la autorización aquí realizada y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la base de datos o archivo del Responsable del tratamiento o del Encargado. La solicitud de supresión de la información y la revocatoria de la autorización no procederá cuando el titular tenga un deber legal o contractual de permanecer en la base de datos del responsable o del Encargado del tratamiento.
8. El titular del dato podrá acceder en forma gratuita a todos sus datos personales.
9. La información solicitada por parte del titular podrá ser suministrada al mismo, de la manera usual establecida o en cualquier medio físico normal o por medios electrónicos.
Todos los obligados a cumplir esta política deben tener presente que FÁCILADMIN S.A.S., está obligado a cumplir con los deberes impuestos por la ley. Por ende, deben obrar de tal forma que cumplan con las siguientes obligaciones:
8.1. Deberes de EDU TEC S.A.S. cuando obra como responsable del dato, respecto del titular.
8.1.1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir: conocer, actualizar o rectificar sus datos personales.
8.1.2. Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular.
8.1.3. Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
8.1.4. Informar a solicitud del titular del dato, sobre el uso que se le da a su información.
8.1.5. Tramitar las consultas, peticiones, quejas o reclamos formulados de acuerdo a la ley y en los términos señalados en la presente política.
8.2. Deberes de EDU TEC S.A.S., respecto de la calidad, seguridad y confidencialidad de los datos personales.
8.2.1. Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en esta política.
8.2.2. Conservar toda la información bajo las condiciones de seguridad necesarias, que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
8.2.3. Actualizar la información cuando sea necesario.
8.2.4. Rectificar los datos personales cuando ello sea procedente.
8.3. Deberes de EDU TEC S.A.S., cuando realiza el tratamiento a través de un encargado.
8.3.1. Suministrar al encargado del tratamiento, únicamente los datos personales de cuyo tratamiento esté previamente autorizado.
8.3.2. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
8.3.3. Comunicar de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le hayan suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
8.3.4. Informar de manera oportuna al encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes.
8.3.5. Exigir al encargado del tratamiento en todo momento y lugar; el correspondiente respeto a la ley y a las condiciones de seguridad y privacidad de la información del Titular de los datos.
8.3.6. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
8.4. Deberes de EDU TEC S.A.S., respecto de la Superintendencia de Industria y Comercio.
8.4.1. Informarle cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares de los datos.
8.4.2. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
EDU TEC S.A.S., en este caso realiza en calidad de Encargado el tratamiento de los datos personales en nombre de otra entidad, propiedad horizontal, conjunto cerrado, administración o copropiedad etc (quienes son los directos Responsables del Tratamiento de los datos), EDU TEC S.A.S. entonces, deberá cumplir con los siguientes deberes:
1. Garantizar al titular de lo datos, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Conservar la información bajo las condiciones óptimas de seguridad necesarias, para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos.
4. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas, peticiones, quejas o reclamos formulados por los titulares en los términos señalados en la presente política.
6. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
7. Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto.
8. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
9. Cumplir con las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
10.1. Autorización para Tratamiento de Datos; Los obligados con el cumplimiento de esta política, deberán obtener de parte del titular de la información, su autorización previa, expresa e informada para recolectar y tratar sus datos personales. Esta obligación no es necesaria cuando se trate de datos de naturaleza pública.
Previo a obtener la autorización se deberá informar de forma clara y expresa lo siguiente:
1. El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;
2. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
3. Los derechos que le asisten, como titular de los datos y demás previstos en el Artículo 8 de la Ley 1581 de 2012;
4. La identificación, dirección física o electrónica de EDU TEC S.A.S.
En segundo lugar, la empresa EDU TEC obtendrá el consentimiento del titular a través de cualquier medio que pueda ser objeto de consulta posterior, tal como la página web, formularios, formatos, actividades de uso efectivo de la app por parte del titular, concursos, presenciales o en redes sociales, PQR, mensajes de datos o Apps.
Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento. La autorización también podrá obtenerse a partir de conductas inequívocas del Titular del Dato que permitan concluir de manera razonable que éste otorgó su consentimiento de forma tácita, para el tratamiento de su información. Dicha (s) conducta (s) debe (n) ser muy clara (s) de manera que no admita (n) duda o equivocación sobre la voluntad de autorizar el tratamiento.
10.2. Autorización para tratamiento de datos sensibles; Cuando se trate de la recolección de datos sensibles se deben cumplir los siguientes requisitos:
1. La autorización debe ser explícita.
2. Se debe informar al Titular que no está obligado a autorizar el tratamiento de dicha información.
3. Se debe informar de forma explícita y previa al Titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.
A continuación, se detallan los procedimientos para que los titulares de los datos puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información o a revocar la autorización.
Los derechos de los Titulares, podrán ejercerse por las siguientes personas legitimadas de conformidad con el Artículo 20 del Decreto 1377 de 2013:
1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición EDU TEC S.A.S.
2. Por sus causahabientes, quienes deberán acreditar tal calidad.
3. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
4. Por estipulación a favor de otro o para otro. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
Que para el ejercicio pleno y efectivo de los derechos que le asisten a los titulares de los datos EDU TEC S.A.S., ha dispuesto el siguiente medio a través del cual se podrán presentar todas sus consultas, quejas y/o reclamos : contacto@edutecstartup.co
Una vez verificada la identidad del titular y legitimación en la causa, se le suministrarán los datos requeridos si a ello diere lugar y la respuesta a la consulta, petición queja o reclamo, se comunicará al peticionario en el término legal establecido por las normas colombianas.
Dependiendo del tipo de solicitud el tiempo de respuesta será contado a partir de la fecha de recibo efectivo de la petición con el lleno de los requisitos que para el efecto consagra la ley. Cuando no fuere posible atender la PQRS, se informará al interesado, expresando los motivos que lo impiden y de ser el caso subsanados se atenderá el requerimiento conforme a la ley.
Para atender en forma adecuada las PQRS, será necesario contar con la titularidad de derechos e identificación de quien de conformidad con la ley está legitimado para su conocimiento, consulta y/o reclamo sobre los datos personales.
Cualquier tipo de PQRS, se debe presentar de forma escrita, dirigida a la empresa EDU TEC S.A.S. y contener en el escrito la siguiente información:
1. Nombre e identificación del titular del dato o persona legitimada para entablar la PQRS.
2. Descripción precisa y completa de los hechos que dan lugar a la PQRS.
3. Dirección física o electrónica para remitir la respuesta e informar sobre el estado del trámite.
4. Documentos y demás pruebas pertinentes que quiera hacer valer: Si la PQRS resulta incompleta o confusa, se requerirá al interesado dentro del término legal establecido a la recepción del escrito, para que sea subsanado por el peticionario, pero si transcurridos más de dos (2) meses, desde la fecha del requerimiento al usuario, sin que el solicitante presente la información requerida para dar trámite a su PQRS, se entenderá entonces que ha desistido de la misma.
Las Políticas de Privacidad y de Tratamiento de Datos; son un documento interno de obligatorio cumplimiento de todo el personal asociado con los servicios de EDU TEC S.A.S., con acceso a los sistemas de información que contengan las bases de datos, en especial las que contienen información de personas.
Este documento es sometido a permanente revisión y actualización siempre que se produzcan cambios estructurales en los sistemas de información, al sistema de tratamiento de los datos, a la organización o el contenido de la información, que puedan afectar las medidas de seguridad implementadas. Asimismo, se adaptará en todo momento a la normativa legal vigente en materia de seguridad de datos personales.
El personal de EDU TEC S.A.S., debe acceder exclusivamente a aquellos datos y recursos necesarios para el desarrollo de sus funciones y sobre los cuales se encuentren autorizados previamente por el Responsable de administrar la base de información y por el titular de los mismos.
EDU TEC S.A.S., como encargado del tratamiento de los datos, se ocupa del almacenamiento actualizado de los usuarios, perfiles y accesos autorizados para cada uno de ellos, además de contar con mecanismos tecnológicos para evitar el acceso a la información o con derechos distintos de los previamente autorizados.
En el caso de los soportes informáticos, asignación de contraseñas, entrega de llaves o mecanismos de apertura de dispositivos de almacenamiento donde se archive la documentación si es del caso, se observará en todo momento y lugar el cumplimiento estricto a la ley de privacidad de datos personales y de nuestra política de cero papel.
La modificación sobre algún dato o información, así como la concesión, alteración, inclusión o anulación de los accesos autorizados de los usuarios, corresponde de manera exclusiva al personal autorizado por EDU TEC.
Cualquier personal ajeno o tercero contratista a la organización EDU TEC S.A.S., que, de forma autorizada y legal, tenga acceso a los recursos protegidos, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de la empresa.
Bases de datos temporales, copias y reproducciones: Las bases de datos temporales o copias de documentos creadas para trabajos temporales o auxiliares deben cumplir con el mismo nivel de seguridad que corresponde a las bases o documentos originales. Una vez que dejan de ser necesarias, estas bases de datos temporales o copias serán borradas o destruidas, impidiendo así el acceso o recuperación de la información que contienen.
Responsable de administrar las bases de datos: EDU TEC S.A.S., ha designado personal capacitado, responsable en la seguridad, coordinación y control de las medidas de seguridad contenidas en la presente Política de privacidad y Tratamiento de los Datos.
De acuerdo con la normativa sobre protección de datos, la designación del personal encargado en los temas de seguridad de la información, no exonera de la responsabilidad correspondiente según corresponda y de acuerdo con la ley al Responsable directo del tratamiento de los datos o al encargado del tratamiento de los mismos.
Por lo anterior, la empresa implementa una serie de medidas de seguridad técnicas, administrativas y físicas para proteger la información personal de sus usuarios frente a accesos no autorizados, alteraciones, divulgación o destrucción. Estas medidas incluyen, pero no se limitan a:
1. Cifrado de Datos: Utilizamos protocolos de cifrado (como SSL/TLS) para proteger la transmisión de datos personales a través de la aplicación y garantizar así la confidencialidad de la información intercambiada.
2. Control de Acceso: El acceso a la información personal de los clientes está completamente restringida a todos los empleados, contratistas y demás agentes de la empresa, por lo anterior, si por alguna razón extraordinaria se llegare a necesitar conocer estos datos, en este hipotético caso, sería entonces con el único fin del desempeño propio de las funciones exclusivas del servicio prestado. Por lo cual, todos nuestros empleados están sujetos a las estrictas obligaciones y normas de confidencialidad consagradas en los contratos, de las cuales su incumplimiento puede acarrear las sanciones correspondientes conforme lo dicte la ley.
3. Autenticación y contraseñas: Requerimos métodos de autenticación robustos, como contraseñas complejas y autenticación de dos factores, para acceder a la aplicación y a la información personal.
4. Auditorías y Monitoreo: Realizamos auditorías periódicas de nuestros sistemas de seguridad para identificar y corregir vulnerabilidades, así mejoramos la seguridad general de nuestros servicios, monitoreando continuamente los sistemas para detectar y prevenir posibles actividades sospechosas.
5. Almacenamiento Seguro: Los datos personales se almacenan en servidores seguros y protegidos por firewalls, controles de acceso y otras tecnologías avanzadas.
6. Gestión de Vulnerabilidades: Implementamos prácticas de gestión de vulnerabilidades que incluyen pruebas de seguridad, actualizaciones de software regulares y mecanismos de respuesta rápida ante incidentes de seguridad.
Auditorías
Las bases de datos que contengan datos personales, objeto de tratamiento por parte de EDU TEC S.A.S., clasificadas con nivel de seguridad sensible o privado, se han de someter, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad contenidas en esta política. Igualmente serán objeto de auditoría tanto los sistemas de información como las instalaciones de almacenamiento y tratamiento de datos.
EDU TEC S.A.S., realizará una auditoría extraordinaria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan afectar el cumplimiento de las medidas de seguridad, con el fin de verificar la adaptación, adecuación y eficacia de las mismas.
Las auditorías concluirán con un informe que contendrá:
- Dictamen sobre la adecuación y controles a la normativa sobre protección de datos.
- Identificación de deficiencias, hallazgos sugerencias y correcciones.
- Descripción de los datos, hechos y observaciones en que se basen los dictámenes y las recomendaciones propuestas.
El Oficial de Protección de Datos estudiará el informe y trasladará las conclusiones o hallazgos al Responsable, para que implemente las medidas correspondientes.
Medidas de seguridad para bases de datos no automatizadas o en papel
EDU TEC S.A.S., fija los criterios y procedimientos de actuación que se deben utilizar para el archivo de documentos que contengan datos personales conforme a la Ley. Los criterios de archivo garantizan la conservación, localización y consulta que hacen posible los derechos y reclamo de los titulares.
Los documentos deben ser archivados considerando, entre otros, criterios como el grado de consulta de los usuarios con acceso autorizado a los mismos, la actualidad de su gestión y/o tratamiento y la diferenciación entre bases de datos históricas y de administración o gestión de la empresa.
Cuando los documentos que contienen datos personales se encuentren en proceso de revisión o tramitación y por tanto fuera de los dispositivos de almacenamiento o custodia, ya sea antes o después de su archivo, la persona que se encuentre a cargo de los mismos, debe custodiar e impedir en todo caso que personas no autorizadas puedan acceder a ellos sin los permisos correspondientes. La destrucción de documentos o archivos se debe hacer mediante mecanismos que realicen un corte adecuado del papel, que garantice que el documento no se pueda restaurar.
Acceso a los documentos
El acceso a los documentos ha de realizarse exclusivamente por el personal autorizado, siguiendo los mecanismos y procedimientos definidos, estos últimos deben identificar y conservar los accesos realizados a la documentación clasificada como Sensible, tanto por usuarios autorizados como por personas no autorizadas de manera permanente, tal y como se refleja en el numeral referido anteriormente.
El procedimiento de acceso a los documentos que contienen datos clasificados como sensibles implica el registro de accesos a la documentación, la identidad de quien accede, el momento en que se produce el acceso y los documentos a los que se han accedido. El acceso a documentos con este tipo de datos se realiza por personal autorizado; si se realiza por personas no autorizadas deberá supervisarse por algún usuario autorizado o por el Responsable de administrar la base de datos.
Medidas de seguridad para bases de datos automatizadas
EDU TEC S.A.S. identifica y autentica de forma correcta a los usuarios de los sistemas de información, con el fin de garantizar que solo el personal autorizado pueda acceder a las bases de datos.
También establece mecanismos que permiten la identificación personalizada e inequívoca de todo usuario que intente acceder al sistema de información y verifica en todo momento que si está autorizado. La identificación se realiza mediante un sistema único para cada usuario que accede a la información teniendo en cuenta el nombre de usuario, identificación de empleado, el nombre del departamento, etc.
Teniendo en cuenta que el sistema de autenticación está basado en la introducción de contraseñas, se implementa un procedimiento de asignación, distribución y almacenamiento de las mismas.
Para garantizar la integridad y confidencialidad de estas contraseñas, se recomienda que, estas deben tener un mínimo de nueve caracteres y contener mayúsculas, minúsculas, números y letras, también recomienda que las contraseñas sean cambiadas de forma periódica.
EDU TEC S.A.S. También garantiza el almacenamiento automatizado, interno y cifrado, de las contraseñas, y adoptará mecanismos para limitar los intentos de accesos no autorizados y bloquear el acceso tras tres intentos.
Entrada y salida de documentos o soportes
La entrada de documentos o soportes debe registrarse indicando el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen según la clasificación de la información, la forma de envío y la persona responsable de la recepción. La salida o envío de documentos o soportes, debidamente autorizada, ha de registrarse indicando el tipo de documento o soporte, la fecha y hora, el receptor, el número de documento o soporte incluido en el envío, el tipo de información que contienen según el nivel de seguridad, la forma de envío y la persona responsable del mismo.
Copias de respaldo y recuperación de datos
EDU TEC S.A.S. debe llevar a cabo los procedimientos de actualización necesarios para realizar copias de respaldo, excepto cuando no se haya producido ninguna actualización de los datos durante ese periodo. Todas las bases de datos deben tener copia de respaldo a partir de las cuales se puedan recuperar los datos.
De igual modo, se deben establecer los procedimientos para la recuperación de los datos con el objetivo de garantizar en todo momento la reconstrucción al estado en el que éstos se encontraban antes de su pérdida o destrucción. Cuando la pérdida o destrucción afecte bases de datos parcialmente automatizadas se grabarán o complementaran manualmente los datos.
EDU TEC S.A.S., se encargará de controlar el correcto funcionamiento y aplicación de los procedimientos que realicen copias de respaldo y recuperación de los datos.
EDU TEC S.A.S., debe conservar copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar distinto a aquel en el que se encuentren los equipos donde se lleva a cabo su tratamiento. Este lugar deberá cumplir en todo caso las mismas medidas de seguridad exigidas para los datos originales.
Registro de acceso
De los intentos de acceso a los sistemas de información EDU TEC S.A.S., guarda, como mínimo, la identificación del usuario, la fecha y hora en que se lleva a cabo, la base de datos a la que se accede, el tipo de acceso y si ese acceso ha sido autorizado o no. En caso de que el registro haya sido autorizado, se guarda la información que permita identificar el registro consultado.
Los Responsables de administrar las bases de datos automatizadas se encargan de controlar los mecanismos que permiten el registro de acceso, revisar periódicamente la información de control registrada y elaborar informes de las revisiones realizadas, hallazgos u observaciones.
Los datos que contiene el registro del acceso deben conservarse, al menos, durante dos años.
Todas las personas que intervienen en el almacenamiento, tratamiento, consulta o cualquier otra actividad relacionada con los datos personales y sistemas de información de EDU TEC S.A.S., deben actuar de conformidad a las funciones y obligaciones recogidas en el presente apartado.
EDU TEC S.A.S., informa y capacita en todo momento a su personal de servicio, sobre las medidas y normas de seguridad que les compete en el marco del desarrollo propio de sus funciones, así como de las consecuencias legales de su incumplimiento. De igual modo, pone a disposición del personal el presente documento y en función del cargo que ocupan suscribe los correspondientes acuerdos de confidencialidad y deber de secreto sobre las bases de datos y sistemas de información.
Las funciones y obligaciones de los usuarios de las bases de datos personales bajo responsabilidad de EDU TEC S.A.S., son las siguientes:
Deber de secreto: Aplica a todas las personas que, en el desarrollo de su profesión o trabajo, acceden a las bases de datos y vincula tanto a usuarios como a prestadores de servicios contratados; en cumplimiento de este deber, los usuarios de EDU TEC S.A.S. no pueden comunicar o revelar a terceras personas, datos que manejen o de los que tengan conocimiento en el desempeño de sus funciones y deben velar por la confidencialidad e integridad de los mismos.
Funciones de control y autorizaciones delegadas:
EDU TEC S.A.S., puede delegar el tratamiento de datos a terceros, para que actúe como encargado del tratamiento, mediante un contrato de transmisión de datos.
Obligaciones relacionadas con las medidas de seguridad implantadas:
* Acceder a las bases de datos solamente con la debida autorización del titular del dato y cuando sea necesario para el ejercicio de sus funciones.
* No revelar información a terceras personas ni a usuarios no autorizados.
* Observar las normas de seguridad y trabajar para mejorarlas.
* No realizar acciones que supongan un peligro para la seguridad de la información.
* No sacar o extraer ningún tipo de información o datos sin la debida autorización.
Obligación de notificar incidencias: Los usuarios tienen la obligación de notificar las incidencias o hallazgos de las que tenga conocimiento a los Responsables de administrar las bases y al Oficial de protección de datos, quienes se encargarán de su gestión y resolución.
Algunos ejemplos de incidencias son: la caída de los sistemas de información o módulos que permitan el acceso a los datos a personas no autorizadas, el intento no autorizado de salida de un documento, dato o soporte, la pérdida de información o la destrucción total o parcial de soportes, el cambio de ubicación física de bases de datos, el conocimiento por terceras personas de contraseñas, la modificación de datos por personal no autorizado, entre otros.
Deber de custodia de los soportes utilizados: Obliga al usuario autorizado a vigilar y controlar que personas no autorizadas accedan a la información contenida en los soportes. Los soportes que contienen bases de datos deben identificar el tipo de información que contienen mediante un sistema de etiquetado y ser inventariados.
Uso limitado de Internet y correo electrónico: El envío de información por vía electrónica y el uso de Internet por parte del personal está limitado al desempeño de las actividades propias de EDU TEC S.A.S.
Salvaguarda y protección de contraseñas: Las contraseñas proporcionadas a los usuarios son personales e intransferibles, por lo que se prohíbe su divulgación o comunicación a personas no autorizadas. Cuando el usuario accede por primera vez con la contraseña asignada es necesario que la cambie. Cuando sea necesario restaurar o recuperar la contraseña, el usuario debe comunicarlo al administrador del sistema.
Copias de respaldo y recuperación de los datos: Para ello deben realizarse copias periódicas de seguridad de toda la información de las bases de datos y de la empresa.
Deber de archivo y gestión de documentos y soportes: Los documentos y soportes deben de ser debidamente archivados con las medidas de seguridad establecidas en la presente política.
EDU TEC S.A.S. identifica al Oficial de Protección de Datos, cuando exista contrato de transmisión de datos, los encargados del tratamiento se identificarán en un anexo sobre transmisión de los datos.
EDU TEC S.A.S., establece un procedimiento de notificación, gestión y respuesta ante incidencias con el fin de garantizar la confidencialidad, disponibilidad e integridad de la información contenida en las bases de datos que están bajo su responsabilidad.
Todos usuarios, responsables de procedimientos, así como cualquier persona que tenga relación con el almacenamiento, tratamiento o consulta de bases de datos recogidas en este documento, deben conocer el procedimiento para actuar en caso de incidencia.
El procedimiento de notificación, gestión y respuesta ante incidencias es el siguiente:
Cuando una persona tenga conocimiento de una incidencia (pérdida, hurto y/o acceso no autorizado) que afecte o pueda afectar la confidencialidad, disponibilidad e integridad de la información protegida de la empresa o alguno de los Encargados deberá comunicarlo, de manera inmediata, al correo electrónico : contacto@edutecstartup.co , dirigido al Oficial de Protección de Datos, describiendo detalladamente el tipo de incidencia producida, e indicando las personas que hayan podido tener relación con la incidencia, la fecha y hora en que se ha producido el error, la persona que notifica la incidencia, la persona a quién se le comunica y los efectos que ha producido.
Una vez comunicada la incidencia ha de solicitar al Oficial de Protección de Datos un acuse de recibo en el que conste la notificación de la incidencia con todos los requisitos enumerados anteriormente.
EDU TEC S.A.S., crea un registro de incidencias que debe contener: el tipo de incidencia (fraude Interno o externo, daños a activos físicos, fallas tecnológicas, de ejecución y administración de procesos), fecha y hora de la misma, persona que la notifica, persona a la que se le comunica, efectos de la incidencia y medidas correctoras cuando corresponda. Este registro es gestionado por el Oficial de Protección de Datos, en un documento denominado: Registro de incidencias y plan de acción.
Asimismo, se debe implementar los procedimientos para la recuperación de los datos cuando aplica, indicando quien ejecuta el proceso, los datos restaurados y, en su caso, los datos que han requerido ser grabados manualmente en el proceso de recuperación.
Adicional a ello, el Oficial de Protección de Datos debe informar a la Superintendencia de Industria y Comercio, mediante un documento dentro del término legal establecido, el haber sido detectada dicha incidencia.
Finalmente, EDU TEC S.A.S. notificará del incidente a los Titulares, cuando se identifique que puedan verse afectados de manera significativa.
Cuando corresponda desechar cualquier tipo de documento (original, copia o reproducción), soporte de información que contenga datos personales debe procederse a su destrucción o borrado, a través de la implementación de medidas orientadas a evitar el acceso o recuperación de la información contenida en dicho documento o soporte.
Cuando se lleve a cabo el traslado físico de documentos o soportes, se deben acatar las medidas necesarias para impedir el acceso indebido, la manipulación, la sustracción o la pérdida de la información. El traslado de soportes que contengan datos personales se realizará cifrando la información, o utilizando cualquier otro mecanismo que garantice que no se manipule ni se acceda a la misma.
Los datos contenidos en dispositivos portátiles estarán cifrados siempre y en el hipotético caso de que no sea posible dicho cifrado, se deberá evitar el tratamiento de los datos, mediante este tipo de dispositivos; sin embargo, se podrá proceder al tratamiento cuando sea estrictamente necesario, adoptando para ello medidas de seguridad que tengan en cuenta los riesgos asociados a la actividad.
Esta política fue aprobada luego de la expedición de la Ley 1581 de 2012 y modificada para incorporar algunos aspectos que establece el Decreto 1377 del 27 de junio de 2013, por lo cual se encuentra vigente a partir del primero de enero de 2023.
La vigencia de la base de datos será por el tiempo razonable y necesario para cumplir con las finalidades propias del tratamiento de los datos, teniendo en cuenta lo dispuesto en el Artículo 11 del Decreto 1377 de 2013.
Con miras a mantener la vigencia y actualización de la POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES, EDU TEC S.A.S., puede ajustar y modificarla de acuerdo a la ley vigente en Colombia.