MANUAL DE POLÍTICAS DE
TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
DE LA SOCIEDAD CLÍNICA MEDELLÍN S.A.
PREÁMBULO.- Dando cumplimiento a lo dispuesto en la ley estatutaria 1581 de 2012, a su Decreto Reglamentario 1377 de 2013 y lo consignado en el artículo 15 de la Constitución Política, la sociedad CLÍNICA MEDELLÍN S.A. adopta el presente manual para el tratamiento de datos personales. De esta manera, dicha sociedad manifiesta que garantiza los derechos a la privacidad, la intimidad y el buen nombre, en el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, nacionalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
EFECTO RETROACTIVO DEL MANUAL.- Las Bases de Datos de la sociedad CLÍNICA MEDELLÍN S.A. se ajustarán y parametrizarán de manera que se puedan establecer y agrupar con base en el uso de los datos personales, de acuerdo con la extensión de la autorización del tratamiento de los datos personales, y demás aspectos que la normatividad establezca. El presente manual suple y deja sin efecto cualquier otro manual, acuerdo, política o convención expedido por LA CLÍNICA MEDELLÍN S.A. con antelación al mismo.
VIGENCIA DE LA POLÍTICA.- La presente política se establece como la segunda versión de la política de tratamiento de datos personales de la CLÍNICA MEDELLÍN S.A. y tendrá una vigencia de dos meses contados a partir de la fecha de su inscripción en el RNBD; posteriormente de establecerá la tercera versión e la política, la cual contendrá una compilación detallada y minuciosa de todas las destinaciones y usos de las bases de datos de la Clínica.
NATURALEZA DE LA PROTECCIÓN.- El derecho fundamental al habeas data tiene por objeto garantizar a los ciudadanos el poder de decisión y control que tienen sobre la información que son titulares, concretamente sobre el uso y destino que se le dan a sus datos personales. En este sentido, el derecho a la protección de datos personales dota al titular de un abanico de facultades para mantener el control sobre su información personal. Estas opciones van desde el derecho a saber quién conserva los datos personales, los usos a los que se están sometiendo los mismos, hasta la definición de quién tiene la posibilidad de consultarlos. La ley les atribuye incluso el poder de oponerse a esa posesión y utilización. Lo anterior, tiene por objeto la correcta adecuación de las bases de datos a la ley.
La ley 1581 de 2012 desarrolla una serie de garantías e instrumentos diseñados para garantizar la vigencia del referido derecho fundamental. En este contexto, el objeto de este manual consiste en cubrir dichas garantías e instrumentos teniendo en cuenta la condición de LA CLÍNICA MEDELLÍN S.A. como responsable del tratamiento de datos personales a la luz, en especial, de lo previsto en el literal k) del artículo 17 de la referida ley.
OBJETO.- El presente manual se expide para determinar los parámetros bajo los cuales deben tratarse y administrarse todos los datos personales de personas naturales y jurídicas que suministran y constituyen las bases de datos personales de la sociedad CLÍNICA MEDELLÍN S.A., así como las bases de datos de terceros y que son administradas por LA CLÍNICA MEDELLÍN S.A. en desarrollo de su objeto social.
FINALIDAD.- Este manual permite instrumentar los procedimientos de recolección y tratamiento de datos personales a las disposiciones de la ley. El manual pretende generar un esquema organizado para salvaguardar los datos privados, semiprivados, públicos y sensibles de sus titulares.
ÁMBITO DE APLICACIÓN.- El presente manual debe ser conocido y aplicado por todos los funcionarios, empleados y dependencias de LA CLÍNICA MEDELLÍN S.A. , así como por los clientes y contratistas independientes de LA CLÍNICA MEDELLÍN S.A. , especialmente por aquellos que sean Encargados del Tratamiento de los datos personales y administración de las bases de datos de LA CLÍNICA MEDELLÍN S.A.
BASES DE DATOS.- Las políticas y procedimientos contenidos en el presente manual aplican a las bases de datos que maneja LA CLÍNICA MEDELLÍN S.A., y serán registradas de conformidad con lo dispuesto en la ley y tan pronto sea reglamentada la forma y condiciones de registro ante la delegatura de protección de datos personales de la Superintendencia de industria y Comercio.
PRINCIPIOS.- En todo tratamiento de datos per sonales que realice LA CLÍNICA MEDELLÍN S.A. se aplicarán, los prin cipios consagrados en el Régimen General de Protección de Datos Personales Colombiano, en especial los siguientes:
· Principio de legalidad del tratamiento de datos: Para el tratamiento de datos personales realizado por LA CLÍNICA MEDELLÍN S.A. , se aplican las normas del ordenamien to jurídico colombiano relativas al Régimen General de Tratamiento de Datos Personales y las contenidas en la presente política.
· Principio de nacionalidad: El tratamiento dado por la sociedad CLÍNICA MEDELLÍN S.A. a los datos personales que tiene, obede ce a las finalidades establecidas en la presente política, las cuales están en armonía con el ordenamiento jurídico colombiano. En lo no regulado en la presente política se aplicarán las nomas de carácter superior que la reglamenten, adicionen, modifiquen o deroguen.
· Principio de libertad. El tratamiento que realice LA CLÍNICA MEDELLÍN S.A. a los datos personales, lo hace de acuerdo a la autorización previa, expresa y consentida del titular de los datos personales.
· Principio de veracidad o calidad. La información sujeta a tratamiento por parte de LA CLÍNICA MEDELLÍN S.A. debe ser ve raz, completa, actualizada, comprobable y comprensible.
· Principio de transparencia. LA CLÍNICA MEDELLÍN S.A. garantiza que el titular de los datos personales puede obtener información sobre sus datos en cualquier momento y sin restricciones de acuerdo a los procedimientos descritos en el presente manual.
· Principio de acceso y circulación restringida. LA CLÍNICA MEDELLÍN S.A. garantiza que el tratamiento de datos personales dado a las bases de datos de las que es responsable, se realiza por personas autorizadas por el titular y/o las demás personas permitidas por la ley.
· Principio de seguridad. LA CLÍNICA MEDELLÍN S.A. implementará todas las medidas técnicas, humanas y administrativas necesarias para proteger los datos personales tratados en sus bases de datos evitando el uso, la adulter ación, la perdida y la consulta no autorizada o no deseada.
· Principio de confidencialidad. El tratamiento dado a los datos personales de bases de datos de la Organización se realizará con estricta confidencialidad y reserva, de acuerdo a las finalidades descritas en la presente política.
CONSULTA DE LA POLÍTICA.- Esta política debe ser presentada y dispuesta en un acceso visible en los sitios oficiales de LA CLÍNICA MEDELLÍN S.A. y en la página web principal para su fácil consulta y acceso por parte del público en general.
CATEGORÍA DE DATOS.- LA CLÍNICA MEDELLÍN S.A. en desarrollo del principio de autonomía privada, y de acuerdo con los datos tratados, ha elaborado la siguiente clasificación de datos adecuándose a la legislación vigente:
· Dato Personal: Conjunto de información susceptible de relacionarse a una o más personas naturales.
· Dato público: Es dato público todo aquel contenido en documentos públicos, relativo al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Son datos públicos, por ejemplo, los contenidos en la cédula de ciudadanía, en registros públicos, en sentencias judiciales debidamente ejecutoriadas y no sometidas a reserva. Por lo anterior, será también dato público el que no es semiprivado, privado o sensible.
· Dato semiprivado: Es aquel cuyo conocimiento o divul gación interesa a su titular y a un determinado grupo de personas o sector social. Por ejemplo, la actividad comercial o profesional.
· Dato privado: Es aquel cuyo conocimiento o divulgación, por tener naturaleza íntima y reservada, interesa sólo a su titular.
· D ato reservado: Es aquel que posee una naturaleza confidencial o un alto valor comercial por sí mismo.
· Dato sensible: Es aquel que afecta la intimidad de su titu lar o que su uso indebido puede generar discriminación. Por ejemplo, aquellos relativos a la orientación sexual, la orientación política, el origen étnico o racial, las convicciones religiosas o filosóficas, la participación en grupos sindicales, de Derechos Humanos o sociales, entre otros.
DEFINICIONES.- Para efectos de la presente política, a continuación se define cómo deberán entenderse las siguientes palabras:
· Base de datos: Conjunto organizado de datos personales sometidos a tratamiento por parte del responsable o encargado del tratamiento.
· Titular de los datos personales: Cada una de las personas naturales con las que se relacionan los datos personales.
· Tratamiento de datos personales: Conjunto de actividades a las que se someten los datos personales. Por ejemplo, la recolección, el almacenamiento y el uso que se hace de dichos datos.
· Autorización: Permiso otorgado por el titular para efectuar el tratamiento de sus datos personales. La autorización debe caracterizarse por ser expresa, previa al tratamiento y consultable con posterioridad a su concesión por parte del titular. La autorización puede otorgarse por cualquier medio conocido o por conocerse siempre que cumpla con las características establecidas.
· Responsable del Tratamiento: Es la persona natural o jurídica, de naturaleza pública o privada, legitimada para decidir sobre el tratamiento de datos personales o la base de datos.
· Encargado del Tratamiento: Es la persona natural o jurídica, de naturaleza pública o privada, que realiza el tratamiento de datos personales bajo el amparo del responsable del tratamiento.
· Aviso de Privacidad: Es una comunicación del Responsable del tratamiento al titular de los datos personales en la que se informa la existencia de las Políticas de Tratamiento de Información a las que son sometidas los datos personales por parte del responsable, la forma de consultarlas y las finalidades del tratamiento de los datos personales.
· Transmisión: Tratamiento dado por el encargado de los datos personales para comunicarlos dentro o fuera de Colombia por cuenta del responsable.
· Transferencia: Tratamiento dado por el responsable o encargado del tratamiento mediante el envío de información o de datos personales a un responsable de tratamiento, distinto de quien envía, localizado dentro o fuera de Colombia.
· Normatividad: Conjunto de normas, leyes y decretos que regulan una materia específica. Para el presente caso siempre se hará referencia a la regulación de datos personales.
· Menor de edad: Es todo niño, niña o adolescente (púber o impúber) cuya edad sea inferior a 18 años.
MARCO NORMATIVO Y LEGAL.- El conjunto de normas que regula el tratamiento de datos personales es el siguiente:
ALMACENAMIENTO DE LAS BASES DE DATOS.- Se informa a los titulares que las bases de datos de LA CLÍNICA MEDELLÍN S.A. se almacenan automatizadamente en computadores y/o servidores propios de la empresa. Igualmente existen algunas bases de datos que se almacenarán físicamente. En la respectiva inscripción de cada base de datos en el RNBD se establecerán con total claridad el tipo de almacenamiento de cada una de las bases de datos.
DERECHOS DEL TITULAR DE LOS DATOS.- De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales:
Estos derechos podrán ser ejercidos por:
RESPONSABLE DEL TRATAMIENTO.- Para efectos del presente manual, LA CLÍNICA MEDELLÍN S.A. representada legalmente por JORGE ALBERTO HENAO MONTOYA, con sede principal en la Carrera 65B No. 30 – 95 Medellín - Antioquia, Tel (57-4) 4028353, correo electrónico alusuario@clinicamedellin.com , será el responsable del tratamiento de los datos personales y las bases de datos.
El Tratamiento de los Datos personales se deberá hacer en los términos y alcances de la autorización entregada por el titular o en aplicación de las normas especiales cuando proceda alguna excepción legal para hacerlo. Cualquier tipo de solicitud producto del ejercicio de los deberes y derechos consagrados en este manual podrá dirigirse a los siguientes canales de atención a títulos de los datos personales: Carrera 65 B No. 30 – 95 Medellín - Antioquia, Tel (57-4) 4028353, correo electrónico alusuario@clinicamedellin.com
ENCARGADO DEL TRATAMIENTO.- Para efectos del presente manual, serán encargados del tratamiento de datos personales bajo el compromiso de la sociedad CLÍNICA MEDELLÍN S.A., cada uno de los responsables según el caso, de cada una de las áreas y dependencias administrativas de la que provenga institucionalmente la solicitud de tratamiento de datos personales o de la base de datos contentiva de los datos personales de los que se pregonan el ejercicio del deber, derecho o acción consagrada en este manual. En representación de todas las áreas se encuéntrala señora GLORIA CLEMENCIA MEJÍA quien será la encargada del tratamiento de datos personales y oficial de protección de datos. Los canales de comunicación para que los titulares de los datos contacten a la encargada del tratamiento serán los siguientes: Dirección: Carrera 65B No. 30 – 95 Medellín - Antioquia, Tel (57-4) 4028353, correo electrónico alusuario@clinicamedellin.com
Todos los trabajadores de la sociedad CLÍNICA MEDELLÍN S.A. se obligan a aceptar la política y las instrucciones y procedimientos que se impartan para su adecuado cumplimiento, garantizando como mínimo lo señalado en la Ley 1581 de 2012 y las normas complementarias o que la regulan. Se exigirá al personal vinculado el conocimiento de los deberes que deben cumplir.
Dentro de las funciones del encargado del tratamiento de los datos está el nombramiento de una persona al interior de la empresa que cumpla con las siguientes funciones:
EVALUACIÓN Y REVISIÓN CONTINUA POR PARTE DEL ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES.- El Encargado del tratamiento de datos personales de la empresa, como protector y garante de los derechos de los titulares de los datos y custodio de los datos suministrados frente a su leal y correcto tratamiento, llevará a cabo las siguientes acciones de evaluación y revisión:
INSCRIPCIÓN EN EL REGISTRO DE BASES DE DATOS DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO.- S.A.S. acatará y cumplirá las obligaciones que la normatividad le imponga en relación con el registro e informes que deba entregar a las autoridades competentes. La inscripción de las bases de datos en el RNBD se enmarcará dentro los parámetros dados en la Circular 03 del 3 de noviembre de 2015.
Para efectos del registro de las bases de datos, LA CLÍNICA MEDELLÍN S.A. realizará un inventario teniendo en cuenta los siguientes parámetros:
PROGRAMA DE GESTIÓN INTEGRAL DE DATOS PERSONALES .- LA CLÍNICA MEDELLÍN S.A. implementará un programa para la gestión integral de datos personales a partir de las guias establecidas por la Superintendencia de Industria y Comercio a partir del principio de responsabilidad demostrada.
ESTÁNDAR DE LA POLÍTICA.- La empresa incorporará en la política de tratamiento de la información reglas sobre los siguientes puntos, entre otros:
MONITOREO DE LAS MEDIDAS DE IMPLEMENTACIÓN.- Para el efecto, la empresa llevará a cabo las siguientes acciones:
AUTORIZACIÓN PARA USO DE DATOS PERSONALES.- La sociedad CLÍNICA MEDELLÍN S.A. solicitará a los titulares de la información su autorización para el tratamiento de sus datos personales. Para ello se tendrá en cuenta, que:
El Titular de los Datos personales tiene derecho a revocar la autorización, salvo que exista una obligación legal o contractual que establezca lo contrario. En el caso de los contratos con LA CLÍNICA MEDELLÍN S.A. , es necesario contar con los datos personales del Titular para los efectos relacionados con la prestación de los servicios contratados, y se utilizarán para estos fines. El tratamiento de los datos se hará con base en la autorización del usuario y teniendo en cuenta su necesidad, tanto en relación con la finalidad como con en el tiempo.
CONFIDENCIALIDAD Y SEGURIDAD DE LAS BASES DE DATOS.- LA CLÍNICA MEDELLÍN S.A. aplicará las mejores prácticas para la seguridad, discreción y confidencialidad de los datos personales de los titulares. Verificará cuando corresponda, la procedencia de las excepciones legales para entregar los datos personales a las autoridades y en los casos pertinentes.
Los datos de naturaleza reservada podrán ser proporcionados de manera escrita, oral, por medios electrónicos, magnéticos o digitales, o bien, por virtud de revisión de libros, expedientes o documentos.
Además de los datos que posean un clara y evidente naturaleza confidencial, será información reservada o confidencial toda aquella que utilice cualquiera de las siguientes denominaciones: “Confidencial”, “Reservado”, “Secreto”, “Privado”, “Privilegiado”, “Especial” o “Exclusivo”.
La protección de la información de naturaleza reservada, confidencial o privilegiada a cargo de LA CLÍNICA MEDELLÍN S.A. se desarrollará mediante los protocolos de seguridad de la información y los acuerdos marcos de confidencialidad establecidos por la empresa para proteger dicha información, por lo que su divulgación o revelación estará estrictamente supeditada a las estipulaciones establecidas en estos instrumentos legales. En consecuencia de lo anterior, será un deber de LA CLÍNICA MEDELLÍN S.A. velar por el cumplimiento de las estipulaciones confidenciales y reservadas frente a terceros y por lo tanto guardará absoluta reserva sobre los datos que deban ser protegidos por estas disposiciones.
Bajo ninguna circunstancia se revelarán datos que hagan parte de un secreto industrial o comercial.
SEGURIDAD DE LA INFORMACIÓN.- LA CLÍNICA MEDELLÍN S.A. manifiesta que cuenta con distintas medidas de seguridad de la información dentro de las cuales se encuentran las siguientes:
AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR.- LA CLÍNICA MEDELLÍN S.A. requiere del consentimiento libre, previo, expreso e informado del titular de los datos personales para el tratamiento de los mismos, exceptos en los casos expresamente autorizados en la ley, a saber:
MEDIOS PARA OTORGAR LA AUTORIZACIÓN.- LA CLÍNICA MEDELLÍN S.A. obtendrá la autorización mediante diferentes medios, entre ellos el documento físico, electrónico, mensaje de datos, Internet, Sitios Web, o en cualquier otro formato que en todo caso permita la obtención del consentimiento mediante conductas inequívocas a través de las cuales se concluya que de no haberse surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la base de datos. La autorización será solicitada por LA CLÍNICA MEDELLÍN S.A. de manera previa al tratamiento de los datos personales.
REVOCATORIA DE LA AUTORIZACIÓN.- Los titulares de los datos personales pueden en cualquier momento revocar la autorización otorgada a la sociedad CLÍNICA MEDELLÍN S.A. para el tratamiento de sus datos personales o solicitar la supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual. LA CLÍNICA MEDELLÍN S.A. establecerá mecanismos sencillos y gratuitos que permitan al titular revocar su autorización o solicitar la supresión de sus datos personales, al menos por el mismo medio por el que lo otorgó.
Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse, por una parte, de manera total en relación con las finalidades autorizadas, y por lo tanto LA CLÍNICA MEDELLÍN S.A. deberá cesar cualquier actividad de tratamiento de los datos; y por la otra de manera parcial en relación con ciertos tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento.
GARANTÍAS DEL DERECHO DE ACCESO.- Para garantizar el derecho de acceso del titular de los datos, la sociedad CLÍNICA MEDELLÍN S.A. pondrá a disposición de éste, previa acreditación de su identidad, legitimidad, o personalidad de su representante, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales a través de todo tipo de medios, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos.
TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y FINALIDAD DEL MISMO.- El tratamiento de los datos de los titulares con los cuales CLÍNICA MEDELLÍN S.A. tuviere establecida o estableciera una relación, permanente u ocasional, lo realizará en el marco legal que regula la materia, y serán todos los necesarios para el cumplimiento de su objeto social. En todo caso, los datos personales podrán ser recolectados y tratados para:
Destinación de la base de datos de contratistas y/o proveedores:
• Mantener una comunicación con los titulares de los datos personales, relativa al desarrollo de las actividades propias de la clínica de acuerdo a los perfiles de cada tipo de base de datos que posea la empresa.
• Realizar labores y gestiones de mercadeo informativo para efectos de mejorar los servicios prestados por la empresa y mejorar el conocimiento del cliente.
• Mantener un consolidado de los usuarios del dominio web y la realización de estadísticas y demás actividades tendientes a la consecución de indicadores o información relevante para el cumplimiento del objeto social.
• Cumplir con las obligaciones legales y contractuales en las que se requiera recaudar información personal mediante la elaboración de Bases de Datos para efectos de control, supervisión y auditorias, y proyectos llevados a cabo por la empresa.
• Evaluar la calidad de los servicios ofrecidos por LA CLÍNICA MEDELLÍN S.A.
• Desarrollar el objeto social de LA CLÍNICA MEDELLÍN S.A. conforme a sus estatutos sociales.
• Ofrecer los servicios informativos de LA CLÍNICA MEDELLÍN S.A. mediante el envío de correos electrónicos.
• Cumplir con el almacenamiento de la información fiscal, contable, financiera y tributaria para la realización de pagos y consignaciones a proveedores y/o contratistas.
Destinación de la base de datos de empleados y ex empleados:
• Cumplir lo dispuesto por el ordenamiento jurídico colombiano en materia laboral y de seguridad social, entre otras, aplicables a empleados, ex empleados, empleados en misión, empleados temporales, empleados actuales y candidatos a futuro empleo.
• Almacenar la información concerniente a la hoja de vida de cada uno de los empleados y ex empleados.
Destinación de la base de datos de usuarios y pacientes:
• Preservar y conservar los datos clínicos y médicos por el tiempo que ordene la ley o por mandato de autoridad competente.
• Almacenar los datos contenidos en la historia clínica del paciente para el cumplimiento de los servicios médicos y hospitalarios.
• Obtener datos fundamentales para la investigación médica, clínica y epidemiológica; al igual que la identificación de avances clínicos, científicos y tecnológicos.
• Ofrecer información sobre campañas educativas y programas especiales relacionados con la promoción y prevención en salud.
• Mantener una comunicación con los titulares de los datos personales, relativa al desarrollo de las actividades propias de la clínica.
Destinación de la base de datos de aliados estratégicos:
• Mantener una comunicación con los titulares de los datos personales.
• Desarrollar el objeto social de LA CLÍNICA MEDELLÍN S.A. conforme a sus estatutos sociales.
PARÁGRAFO.- Sin perjuicio de las destinaciones mencionadas, LA CLÍNICA MEDELLÍN podrá publicar en su sitio web un consolidado de todas las destinaciones específica de sus bases de datos, la cual podrá ser consultada libremente por los titulares de los datos para indagar por cada una de las destinaciones y usos puntuales de los datos tratados por LA CLÍNICA MEDELLÍN S.A.
ACTUALIZACIÓN DE LAS BASES DE DATOS.- Se deberá actualizar la información conforme se van obteniendo los datos, de conformidad con lo señalado en la ley 1581 de 2012 y de acuerdo con lo establecido en la medida provisional del presente manual.
PRUEBA DE LA AUTORIZACIÓN.- CLÍNICA MEDELLÍN S.A. conservará la prueba de la autorización otorgada por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos disponibles a su alcance en la actualidad al igual que adoptará las acciones necesarias para mantener el registro de la forma y fecha y en la que obtuvo ésta. En consecuencia CLÍNICA MEDELLÍN S.A. podrá establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
TRATAMIENTO DE DATOS DE NIÑOS Y ADOLESCENTES.- CLÍNICA MEDELLÍN S.A. tratará datos de menores bajo los siguientes parámetros: En el tratamiento de datos personales se asegurará el respeto a los derechos prevalentes de los menores (niños, niñas, púberes, impúberes y adolescentes). En caso de recaudarlos debe darse cumplimiento a lo señalado en el artículo 7 de la ley 1581 de 2012. Queda proscrito el tratamiento de datos personales de menores, salvo aquellos datos que sean de naturaleza pública, y en este caso el tratamiento deberá cumplir con los siguientes parámetros:
PARÁGRAFO.- En todo momento LA CLÍNICA MEDELLÍN S.A. solicitará la autorización del tratamiento de los datos de los menores a sus padres o representantes legales.
INSCRIPCIÓN EN EL REGISTRO DE BASES DE DATOS DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO.- CLÍNICA MEDELLÍN S.A. acatará y cumplirá las obligaciones que la normatividad le imponga en relación con el registro e informes que deba entregar a las autoridades competentes.
VIGENCIA DE LA POLÍTICA.- La presente política rige a partir de la fecha de su publicación y deja sin efectos las demás disposiciones institucionales que le sean contrarias. Lo no previsto en el presente manual se reglamentará de acuerdo al Régimen General de Protección de Datos Personales vigente en Colombia.
TRATAMIENTO DE DATOS SENSIBLES.- El tratamiento de los datos de los titulares con los cuales LA CLÍNICA MEDELLÍN S.A. tuviere establecida o estableciera una relación, permanente u ocasional, lo realizará en el marco legal que regula la materia, y serán todos los necesarios para el cumplimiento de su objeto social. En todo caso, los datos personales podrán ser recolectados y tratados para:
TRATAMIENTO DE DATOS FINANCIEROS Y COMERCIALES.- LA CLÍNICA MEDELLÍN S.A. podrá tratar datos comerciales e información financiera que sea necesaria para el cumplimiento de su objeto social y para la celebración de contratos con terceros. Los datos serán tratados con completa coherencia con la ley estatutaria de habeas data financiero. Dicho tratamiento se limitará a las actividades del giro ordinario de sus negocios y no se obtendrá un provecho con su empleo.
TRATAMIENTO DE DATOS DE EMPLEADOS DIRECTOS DE LA EMPRESA.- Los datos suministrados por el empleado serán compilados, almacenados, consultados, usados, compartidos, intercambiados, transmitidos y transferidos por LA CLÍNICA MEDELLÍN S.A. para dar cumplimiento a las obligaciones derivadas de la relación laboral y al ejercicio de los derechos de esta compañía como EMPLEADOR. Dentro de tal finalidad se mencionan de forma meramente enunciativa las siguientes: contrataciones, administración del personal activo, generación, revisión y pago de nómina y otros pagos de naturaleza laboral, afiliaciones al sistema integral de seguridad social, a la caja de compensación familiar, afiliación al seguro de vida colectivo, si se tiene, manejo de embargos judiciales a través de nómina, descuentos por fondos de empleados, cooperativas, bancos o convenios de libranza, administrar salarios, vacaciones, recargos, prestaciones sociales, beneficios extralegales, indemnizaciones, bonificaciones conciliatorias o de retiro, dirigir y sancionar a los empleados, llevar a cabo evaluaciones de los empleados, coordinar el desarrollo profesional de los empleados, permitir el acceso de los empleados a los recursos informáticos de la Compañía y prestarles asistencia en su utilización, planificar actividades empresariales y en general para que la Compañía pueda cumplir con las obligaciones legales como empleador, procedimientos de baja ante las autoridades laborales y de seguridad social competentes. Toda la información relativa al empleado o ex empleado de LA CLÍNICA MEDELLÍN S.A. será conservada con el fin de que LA CLÍNICA MEDELLÍN S.A. pueda cumplir sus obligaciones como empleador y ejercer los derechos que en esa misma condición le corresponden de acuerdo con la legislación laboral colombiana.
DATOS SENSIBLES DEL EMPLEADO.- El titular de la Información manifiesta que conoce, acepta y autoriza de manera libre y espontánea que el tratamiento de la información relativa a pertenencia a organizaciones sociales, a la salud, estilo de vida, aptitudes intelectual, entre otras; se realizará para los fines establecidos en esta política y para el cumplimiento de obligaciones legales y contractuales. El empleado podrá contactar directamente a su empleador para efectos de cambiar, suprimir, actualizar o ratificar alguno de los datos sensibles que sean tratados por la empresa.
TRANSFERENCIAS DE DATOS PARA TRATAMIENTO POR TERCEROS NACIONALES E INTERNACIONALES.- La aceptación de la presente política implica para el titular de los datos personales la aceptación de la posibilidad que tiene LA CLÍNICA MEDELLÍN S.A., respetando en todo momento las disposiciones legales que regulan la materia, para transmitir o transferir la totalidad de los datos del titular a terceros en el país o en el exterior.
A su vez, LA CLÍNICA MEDELLÍN S.A. podrá realizar la transferencia y transmisión, incluso internacional, de la totalidad de los datos personales, siempre y cuando se cumplan los requerimientos legales aplicables; y en consecuencia los titulares con la aceptación de la presente política, autorizan expresamente para transferir y transmitir, incluso a nivel internacional, los datos personales. Los datos serán transferidos, para todas las relaciones que puedan establecerse con la compañía.
Para la transferencia internacional de datos personales de los titulares, LA CLÍNICA MEDELLÍN S.A. tomará las medidas necesarias para que los terceros conozcan y se comprometan a observar la presente política, bajo el entendido que la información personal que reciban, únicamente podrá ser utilizada para asuntos directamente relacionados con LA CLÍNICA MEDELLÍN S.A. y solamente mientras ésta dure y no podrá ser usada o destinada para propósito o fin diferente. Para la transferencia internacional de datos personales se observará lo previsto en el artículo 26 de la Ley 1581 de 2012.
Las transmisiones de datos personales que efectúe LA CLÍNICA MEDELLÍN S.A., no requerirán ser informadas al titular ni contar con su consentimiento cuando medie un contrato de transmisión de datos personales de conformidad al artículo 25 del Decreto 1377 de 2013. LA CLÍNICA MEDELLÍN S.A., también podrá intercambiar información personal con autoridades gubernamentales o públicas de otro tipo (incluidas, entre otras autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria y fiscal), y terceros participantes en procedimientos legales civiles y sus contadores, auditores, abogados y otros asesores y representantes, porque es necesario o apropiado:
PARÁGRAFO PRIMERO.- LA CLÍNICA MEDELLÍN S.A. solo hará transmisión internacional de datos médicos cuando el paciente sea residente o domiciliado permanente en otro país y sea necesario transmitir sus datos médicos o clínicos para efectos corroboración son su respectiva aseguradora en salud.
PARÁGRAFO SEGUNDO.- LA CLÍNICA MEDELLÍN S.A. no cederá sus bases de datos a terceros y tampoco las enajenará a ningún título. Para evitar esto, LA CLÍNICA MEDELLÍN S.A. dispondrá de todos los medios necesarios para evitar un tratamiento indebido de sus bases de datos.
PARÁGRAFO TERCERO.- LA CLÍNICA MEDELLÍN S.A. transmitirá sus datos a EPS, laboratorios clínicos y bancos de sangre para efectos de tratar integralmente los datos del paciente. Con todos ellos suscribirá el respectivo contrato de transmisión, tratamiento y protección de datos personales. En dicho contrato se establecerán las obligaciones de reserva, custodia y protección de datos que debe asumir cada encargado del tratamiento siendo LA CLÍNICA MEDELLÍN S.A. la responsable del tratamiento de datos en estos casos.
PROCEDIMIENTOS PARA EL EJERCICIO DE DERECHO DE LOS TITULARES DE LOS DATOS PERSONALES.- Los procedimientos que se describen a continuación sólo pueden ser ejercidos por el titular, sus causahabientes, representantes o agentes oficiosos siempre que se acredite previamente la identidad o la representación.
En todos los procedimientos el titular o sus representantes deberán indicar por lo menos, su nombre completo, su cédula de ciudadanía, sus datos de contacto los cuales deben incluir: una dirección de correo electrónico, una dirección para envío de la correspondencia, un teléfono o celular de contacto y la indicación de estar obrando en nombre propio o la acreditación de estar obrando en representación de otro, cuando sea el caso, mediante poder debidamente otorgado. A su vez, deben indicar los datos personales sobre los que versa la solicitud y deben aportar los documentos o demás elementos que responden o apoyen la misma. Por último, en cualquiera de las solicitudes el titular o su representante deberán indicar el medio, el evento o cualquier otra información que permita establecer la base de datos que contiene los datos objeto de la solicitud.
CONSULTAS SOBRE EL TRATAMIENTO DE DATOS POR SUS TITULARES.- Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en LA CLÍNICA MEDELLÍN S.A., quien suministrará toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Con respecto a la atención de solicitudes de consulta de datos personales LA CLÍNICA MEDELLÍN S.A. garantiza:
PROCEDIMIENTO PARA CONOCER LOS DATOS PERSONALES TRATADOS POR CLÍNICA MEDELLÍN S.A. - El titular de los datos personales o sus representantes pueden elevar solicitud a LA CLÍNICA MEDELLÍN S.A. y/o al encargado del tratamiento de datos para que le permita conocer los datos personales que la compañía ha recolectado, almacenado o usado.
El titular debe enviar solicitud escrita al correo elec trónico alusuario@clinicamedellin.com , indicando puntualmente el objeto de su solicitud y un breve motivo de la misma. A su vez, debe indicar su nombre completo, su cédula de ciudadanía, sus datos de contacto los cuales deben incluir, por lo menos, una dirección de correo electrónico, una dirección para envío de correspondencia, un teléfono o celular de contacto y la indicación de estar obrando en nombre o la acreditación de estar obrando en representación de otro, cuando sea el caso, mediante poder debidamente otorgado.
Si no se cumplen con los requisitos enunciados para solicitar el reclamo, el responsable o encargado requerirá al interesado, dentro de los cinco (5) días siguientes a la fecha de recepción del reclamo, para que dicho interesado subsane los requisitos. Si transcurre un (1) mes calendario contado a partir de la fecha en que se le solicita al interesado que cumpla los requisitos establecidos, sin que éste los subsane, dicha actitud se asimilará al desistimiento de la solicitud o reclamo.
La sociedad CLÍNICA MEDELLÍN S.A., a través de la persona encargada para ello, remitirá la solicitud al Responsable y/o encargado del tratamiento para que en un término máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de la solicitud, la misma sea atendida.
Si el responsable y/o encargado del tratamiento no puede atender la solicitud dentro de los 15 días hábiles, se le noti ficará al titular de los datos la razón por la cual la solicitud no puede ser atendida dentro de ese término y la fecha en la que será atendida su solicitud, que en ningún caso podrá ser superior a un término de 5 días hábiles contados a partir del vencimiento del primer término.
PROCEDIMIENTO PARA CORREGIR, ACTUALIZAR, RECTIFICAR O SUPRIMIR LOS DATOS.- El titular de los datos personales o sus representantes pu eden elevar solicitud a LA CLÍNICA MEDELLÍN S.A. y/o al encargado del tratamiento de datos para que sus datos personales tratados por la institución, sean corregidos, actualizados o suprimidos si lo desean o si consideran que existe un incumplimiento a cualquiera de los deberes contenidos en el Régimen General de Protección de Datos Personales o en las presentes políticas, efectuando el siguiente procedimiento:
El titular o su representante, deberá elevar su solicitud dirigida al responsable o encargado del tratamiento indicando:
Nombre del titular de los datos |
La identificación del Titular (cédula de ciudadanía) |
La descripción de los hechos que dan lugar al reclamo |
La dirección y demás datos de contacto del titular |
La descripción del procedimiento que desea realizar (corrección, actualización o supresión) |
La aclaración de si está actuando a nombre propio o a nombre de un tercero |
los documentos corroboren la solicitud (opcional) |
Si no se cumplen con los requisitos enunciados para solicitar el reclamo, el responsable o encargado requerirá al interesado, dentro de los cinco (5) días siguientes a la fecha de recepción del reclamo, para que dicho interesado subsane los requisitos. Si transcurre un (1) mes contado a partir de la fecha en que se le solicita al interesado que cumpla los requisitos establecidos, sin que éste los subsane, dicha actitud se asimilará al desistimiento de la solicitud o reclamo.
Una vez recibida la solicitud, y en un término no mayor a dos (2) días hábiles contados desde la feche de recepción de la solicitud, se incluirá en la base de datos la frase "rec lamo en trámite" y el motivo de la misma, la cual se man tendrá en la base de datos hasta que se haya decidido la solicitud. Asimismo, se tendrán dos (2) días hábiles para dar traslado al competente para atender la solicitud, si quien la recibe no está legitimado para responderla.
El responsable o encargado del tratamiento dispondrá de quince (15) días hábiles contados a partir del día siguiente de la fecha de recepción de la solicitud para atenderla.
Si no fuere posible atender la solicitud dentro del término señalado, LA CLÍNICA MEDELLÍN S.A. informará de ello al interesado, indicando los motivos que impiden atender su solicitud e informándole de la fecha en la que será resuelta su solicitud. En ningún caso, la nueva fecha podrá superar ocho (8) días hábiles siguientes al vencimiento del término inicial.
El procedimiento al interior de la empresa será el siguiente:
PROCEDIMIENTO |
TÉRMINO |
Análisis preliminar de la solicitud |
5 días |
(posibilidad de subsanar defectos) –Esta término es para el titular de los datos- |
30 días |
Reclamo en trámite |
2 días |
Cumplimento de la solicitud y envío de la constancia al titular |
8 días |
Independientemente de la solicitud, ésta debe ser resuelta dentro de los 15 días hábiles siguientes a su presentación. |
PARÁGRAFO. No podrá concederse la supresión de los datos personales por solicitud realizada por el titular o su representante, cuando exista un deber legal o contractual para que los datos personales permanezcan en la respectiva base de datos.
PROCEDIMIENTO PARA REVOCAR LA AUTORIZACIÓN DADA A LA CLÍNICA MEDELLÍN S.A. PARA TRATAR LOS DATOS PERSONALES.- El titular de los datos personales o su representante, pueden revocar la autorización dada a LA CLÍNICA MEDELLÍN S.A. para el tratamiento de sus datos personales, elevando una solicitud dirigida al responsable del tratamiento o al encargado del mismo, en la que puntualice el objeto de su solicitud. Para dar trámite a la misma se seguirá el procedimiento consagrado en el procedimiento para corregir, actualizar, rectificar o suprimir los datos personales tratados por LA CLÍNICA MEDELLÍN S.A.
GARANTÍAS DEL DERECHO DE ACCESO.- Para garantizar el derecho de acceso del titular de los datos, LA CLÍNICA MEDELLÍN S.A. pondrá a disposición de éste, previa acreditación de su identidad, legitimidad, o personalidad de su representante, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales a través de todo tipo de medio, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos. Dicho acceso deberá ofrecerse sin límite alguno y le deben permitir al titular la posibilidad de conocerlos y actualizarlos en línea.
ACTUALIZACIÓN.- La Presenta Política para el Tratamiento de datos personales de LA CLÍNICA MEDELLÍN S.A. fue actualizada el día 12 de octubre de 2016 para efectos de dar cumplimiento a las disposiciones contenidas en la Circular 03 del 3 de noviembre de 2015.
Se actualiza el 24 de mayo de 2019 con el efecto de retroalimentación del manual y las funciones del encargado de Tratamiento de Datos.
Se actualiza por última vez el 30 de junio de 2020 para incluir los datos del representante Legal.
------------------------------------------------------------------------------------------------------------