VIGENCIA DE LA POLÍTICA.- La presente política se establece como la segunda versión de la política de tratamiento de datos personales de la CLÍNICA MEDELLÍN S.A. y tendrá una vigencia de dos meses contados a partir de la fecha de su inscripción en el RNBD; posteriormente de establecerá la tercera versión e la política, la cual contendrá una compilación detallada y minuciosa de todas las destinaciones y usos de las bases de datos de la Clínica.
NATURALEZA DE LA PROTECCIÓN.- El derecho fundamental al habeas data tiene por objeto garantizar a los ciudadanos el poder de decisión y control que tienen sobre la información que son titulares, concretamente sobre el uso y destino que se le dan a sus datos personales. En este sentido, el derecho a la protección de datos personales dota al titular de un abanico de facultades para mantener el control sobre su información personal. Estas opciones van desde el derecho a saber quién conserva los datos personales, los usos a los que se están sometiendo los mismos, hasta la definición de quién tiene la posibilidad de consultarlos. La ley les atribuye incluso el poder de oponerse a esa posesión y utilización. Lo anterior, tiene por objeto la correcta adecuación de las bases de datos a la ley.
La ley 1581 de 2012 desarrolla una serie de garantías e instrumentos diseñados para garantizar la vigencia del referido derecho fundamental. En este contexto, el objeto de este manual consiste en cubrir dichas garantías e instrumentos teniendo en cuenta la condición de LA CLÍNICA MEDELLÍN S.A. como responsable del tratamiento de datos personales a la luz, en especial, de lo previsto en el literal k) del artículo 17 de la referida ley.
OBJETO.- El presente manual se expide para determinar los parámetros bajo los cuales deben tratarse y administrarse todos los datos personales de personas naturales y jurídicas que suministran y constituyen las bases de datos personales de la sociedad CLÍNICA MEDELLÍN S.A., así como las bases de datos de terceros y que son administradas por LA CLÍNICA MEDELLÍN S.A. en desarrollo de su objeto social.
4. DEFINICIONES.- Para efectos de la presente política, a continuación se define cómo deberán entenderse las siguientes palabras:
• Base de datos: Conjunto organizado de datos personales sometidos a tratamiento por parte del responsable o encargado del tratamiento.
• Titular de los datos personales: Cada una de las personas naturales con las que se relacionan los datos personales.
• Tratamiento de datos personales: Conjunto de actividades a las que se someten los datos personales. Por ejemplo, la recolección, el almacenamiento y el uso que se hace de dichos datos.
• Autorización: Permiso otorgado por el titular para efectuar el tratamiento de sus datos personales. La autorización debe caracterizarse por ser expresa, previa al tratamiento y consultable con posterioridad a su concesión por parte del titular. La autorización puede otorgarse por cualquier medio conocido o por conocerse siempre que cumpla con las características establecidas.
• Responsable del Tratamiento: Es la persona natural o jurídica, de naturaleza pública o privada, legitimada para decidir sobre el tratamiento de datos personales o la base de datos.
• Encargado del Tratamiento: Es la persona natural o jurídica, de naturaleza pública o privada, que realiza el tratamiento de datos personales bajo el amparo del responsable del tratamiento.
• Aviso de Privacidad: Es una comunicación del Responsable del tratamiento al titular de los datos personales en la que se informa la existencia de las Políticas de Tratamiento de Información a las que son sometidas los datos personales por parte del responsable, la forma de consultarlas y las finalidades del tratamiento de los datos personales.
• Transmisión: Tratamiento dado por el encargado de los datos personales para comunicarlos dentro o fuera de Colombia por cuenta del responsable.
• Tansferencia: Tratamiento dado por el responsable o encargado del tratamiento mediante el envío de información o de datos personales a un responsable de tratamiento, distinto de quien envía, localizado dentro o fuera de Colombia.
• Normatividad: Conjunto de normas, leyes y decretos que regulan una materia específica. Para el presente caso siempre se hará referencia a la regulación de datos personales.
• Menor de edad: Es todo niño, niña o adolescente (púber o impúber) cuya edad sea inferior a 18 años.
MARCO NORMATIVO Y LEGAL.- El conjunto de normas que regula el tratamiento de datos personales es el siguiente:
• Constitución Política, artículo 15.
• Ley 1266 de 2008.
• Ley 1581 de 2012.
• Decretos Reglamentario 1727 de 2009
• Decretos Reglamentario 2952 de 2010.
• Decreto Reglamentario 1377 de 2013.
• Sentencias C-1011 de 2008, y C-748 del 2011 de la Corte Constitucional.
• Circular 03 del 3 de noviembre de 2015
ESTÁNDAR DE LA POLÍTICA.- La empresa incorporará en la política de tratamiento de la información reglas sobre los siguientes puntos, entre otros:
• La recolección, almacenamiento, uso, circulación y supresión o disposición final de la información personal, incluyendo los requisitos para obtener la autorización de los Titulares.
• El acceso y corrección de datos personales.
• La conservación y eliminación de información personal.
• El uso responsable de la información, incluyendo controles de seguridad administrativos, físicos y tecnológicos.
• Inclusión en todos los medios contractuales de la empresa de una cláusula de confidencialidad y de manejo de información, donde se afirme que se conoce a suficiencia la política de la empresa, se acepta, y se permite a la compañía utilizar dicha información deforma responsable.
• Presentación de quejas, denuncias y reclamos
• MONITOREO DE LAS MEDIDAS DE IMPLEMENTACIÓN.- Para el efecto, la empresa llevará a cabo las siguientes acciones:
• Contemplar un proceso de seguimiento efectivo que facilite la rápida
detección y corrección de las deficiencias en la administración de los riesgos
identificados.
• Establecer indicadores que evidencien la efectividad del sistema de administración de riesgos adoptado.
• Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.
• Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos.
• Llevar un registro de incidentes que contemple: Base de datos y datos comprometidos, titulares, fecha del incidente y de descubrimiento, acciones correctivas realizadas y responsables.
• Los sujetos obligados deben evaluar sus riesgos periódicamente e implementar estas evaluaciones en toda la organización dentro de cada nuevo proyecto que involucre datos personales
• Es necesario desarrollar procedimientos para efectuar dichas evaluaciones y tener un proceso de revisión y aprobación que involucre tratamiento a la persona o área que tiene a cargo la función de protección de datos personales en el diseño de nuevas iniciativas, servicios o programas.
• AUTORIZACIÓN PARA USO DE DATOS PERSONALES.- La sociedad CLÍNICA MEDELLÍN S.A. solicitará a los
titulares de la información su autorización para el tratamiento de sus datos personales. Para ello se
tendrá en cuenta, que:
• El titular tiene la potestad de autorizar su tratamiento,
• Su autorización debe ser previa, expresa y libre de vicios en el consentimiento,
• La sociedad CLÍNICA MEDELLÍN S.A. informará al Titular de los Datos
el uso o finalidad y este será el uso que LA CLÍNICA MEDELLÍN S.A. como responsable del Tratamiento
podrá hacer de los datos personales, y en el mismo sentido los Encargados del mismo.