Política de Tratamiento de Datos Personales
1. Introducción
Sitt, una entidad privada constituida en Bogotá, Cundinamarca, ha decidido adoptar de manera voluntaria este documento, que establece las condiciones y procedimientos para el tratamiento y uso de la información de carácter personal. Este documento define las obligaciones de los implicados y intervinientes en el tratamiento de datos personales, así como el régimen de funcionamiento y los procedimientos aplicables.
Como entidad responsable del tratamiento de datos personales, se compromete a cumplir con la legislación vigente en materia de protección de datos personales, en particular con lo establecido en:
– El Artículo 15 de la Constitución Política de Colombia
– El artículo 2.2.2.25.3.1 del Decreto Reglamentario 1074 de 2015, actualizado el 23 de enero de 2023
– La Ley 1581 de 2012, emitida por el Congreso de la República de Colombia
2. Objetivo
La presente política de tratamiento y protección de datos personales tiene como objetivo fundamental garantizar el cumplimiento estricto de las obligaciones legales en materia de protección de datos personales, prevenir cualquier riesgo o sanción por el uso y tratamiento inadecuado de la información y proteger los derechos fundamentales de los titulares de los datos.
3. Alcance
La presente Política de Tratamiento y Protección de Datos Personales aplica a:
– Todas las bases de datos que contengan datos personales y que sean objeto de tratamiento por parte de Sitt, como responsable o encargado del tratamiento de los datos personales.
– Todos los funcionarios, contratistas y terceros que tengan relación con la Entidad y que ejerzan tratamiento sobre las bases de datos personales.
Todos los funcionarios, contratistas y terceros que tengan relación con la Entidad y que ejerzan tratamiento sobre las bases de datos personales, deben cumplir con esta política y los procedimientos establecidos para el tratamiento de los datos personales, garantizando la protección y confidencialidad de la información.
4. Roles y responsabilidades de protección de datos personales
SITT Y CIA S.A.S., actuando en calidad de responsable del Tratamiento de Datos Personales para el desarrollo de su objeto social; así como para el fortalecimiento de sus relaciones con sus grupos de interés, recolecta, almacena, conserva, usa, circula, y suprime Datos Personales correspondientes a personas naturales con quienes tiene o ha tenido relación, tales como; Empleados y familiares de estos, accionistas, Clientes y Proveedores para los siguientes propósitos y finalidades:
4.1 Los responsables
- El responsable del tratamiento de los datos personales en Sitt es el Oficial de Protección de Datos Personales, quien tiene a su cargo la implementación, supervisión y seguimiento del cumplimiento de las políticas internas, así como de la normatividad vigente en materia de protección de datos personales.
- Este funcionario tiene la responsabilidad de garantizar que el tratamiento de la información personal se realice conforme a los principios, deberes y obligaciones establecidos en la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás normas complementarias.
Datos de contacto del responsable:
- Proceso: Gestión Administrativa – AD
- Correo electrónico: oficialdatos@sittycia.com
- Página web: https://sittycia.com/
4.2 Encargados Internos del Tratamiento
Se considera Encargado del Tratamiento a toda persona natural o jurídica, pública o privada, que realice tratamiento de datos personales por cuenta de Sitt, en calidad de responsable.
En el contexto organizacional, los Encargados Internos son los colaboradores de la empresa que, en ejercicio de sus funciones, acceden o realizan algún tipo de tratamiento sobre bases de datos personales. Cada área o proceso que involucre tratamiento de datos debe contar con un encargado designado, quien actuará siempre bajo instrucciones precisas del responsable del Tratamiento .
4.3 Deberes de los Encargados del Tratamiento
Sitt diferencia entre encargados internos (empleados de la organización) y encargados externos (personas naturales o jurídicas contratadas por la empresa para realizar tareas que impliquen el tratamiento de datos personales).
Los encargados, internos y externos, deberán cumplir con los siguientes deberes:
• Tratar los datos personales conforme a las instrucciones del responsable del Tratamiento.
• Garantizar la seguridad de la información en los términos exigidos por la ley.
• Guardar confidencialidad sobre los datos tratados, incluso después de finalizada la relación con el responsable.
• Permitir el acceso a la información únicamente a quienes cuenten con autorización previa y expresa del responsable.
• Atender los requerimientos del Oficial de Protección de Datos Personales y colaborar con las auditorías y controles dispuestos.
• Implementar medidas de seguridad administrativas, técnicas y jurídicas para prevenir el acceso no autorizado, pérdida, alteración o uso indebido de los datos personales.
• Abstenerse de utilizar los datos personales para fines distintos a los autorizados por el responsable
5. Reglas generales aplicables
Sitt ha establecido un conjunto de reglas generales orientadas a garantizar la protección efectiva de los datos personales, sensibles y de menores de edad, especialmente en lo relacionado con la custodia de bases de datos, ficheros electrónicos e información personal. Estas reglas se enmarcan en los principios de seguridad, legalidad y responsabilidad proactiva. A continuación, se detallan:
• Autenticidad, confidencialidad e integridad: Sitt asegura la autenticidad, confidencialidad e integridad de toda la información personal que se encuentre bajo su custodia o control, adoptando medidas técnicas, humanas y administrativas necesarias para su protección.
• Responsable de cumplimiento: El Oficial de Protección de Datos Personales es el encargado de diseñar, implementar y hacer seguimiento a la estrategia de protección de datos, velando por el cumplimiento del presente documento y la normativa vigente.
• Infraestructura tercerizada: En los casos en que la infraestructura tecnológica esté a cargo de terceros, Sitt se asegurará de que se establezcan mecanismos contractuales y técnicos que garanticen la disponibilidad, confidencialidad y cuidado de los datos personales, incluidos los datos sensibles y de menores.
• Auditoría y control: Se realizarán auditorías y revisiones periódicas, al menos una vez al año, para verificar el cumplimiento de la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás disposiciones aplicables en materia de protección de datos.
• Gestión de incidentes: Es deber de todos los colaboradores de Sitt, así como del Oficial de Protección de Datos, reportar de manera inmediata ante la Superintendencia de Industria y Comercio —Delegatura para la Protección de Datos Personales— cualquier incidente relacionado con:
– Fugas de información
– Daños informáticos
– Violaciones o usos indebidos de datos personales
– Comercialización no autorizada de información
– Suplantación de identidad
– Incidentes de seguridad informática
– Vulneraciones a la intimidad o derechos fundamentales de los titulares
• Seguridad de los sistemas de información: Sitt ha implementado mecanismos técnicos que garantizan la protección de la información, tales como software de seguridad, certificados digitales (SSL), protocolo seguro HTTPS, firmas digitales y demás herramientas que aseguran la confidencialidad, integridad y disponibilidad de sus bases de datos.
• Capacitación y sensibilización: La formación continua de colaboradores, proveedores y contratistas en temas de protección de datos personales es una obligación permanente, que fortalece la cultura de seguridad de la información dentro de la organización.
• Gestión documental y legal: El Oficial de Protección de Datos debe promover e implementar mecanismos para la adecuada recolección y gestión de autorizaciones, publicación de avisos de privacidad, campañas de sensibilización, generación de leyendas de reclamo y demás procedimientos necesarios para garantizar el cumplimiento del marco legal vigente (Ley 1581 de 2012 y Decreto 1074 de 2015).
6. Deberes de sitt en relación con el tratamiento de datos personales
Sitt reconoce que los datos personales son propiedad exclusiva de sus titulares y que solo estos pueden decidir sobre su tratamiento. Por ello, Sitt utilizará dicha información únicamente para los fines autorizados por el titular o por la Ley, y se compromete a cumplir con las disposiciones vigentes en materia de protección de datos personales.
En su calidad de responsable o encargada del tratamiento, Sitt asume los deberes establecidos en el artículo 17 de la Ley 1581 de 2012 y demás normativas complementarias o modificatorias, incluyendo los siguientes:
a) Garantizar al titular el pleno y efectivo ejercicio del derecho de hábeas data.
b) Solicitar y conservar, conforme a la ley, la autorización otorgada por el titular.
c) Informar al titular la finalidad del tratamiento y los derechos que le asisten.
d) Conservar los datos bajo condiciones de seguridad adecuadas que eviten su adulteración, pérdida, acceso no autorizado o uso fraudulento.
e) Hay que asegurar que la información entregada a los encargados del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar oportunamente los datos e informar las novedades correspondientes al encargado del tratamiento.
g) Rectificar la información inexacta y notificarlo al encargado.
h) Suministrar únicamente datos previamente autorizados conforme a la ley.
i) Exigir al encargado del tratamiento el cumplimiento de las condiciones de seguridad y confidencialidad de la información.
j) Atender y resolver consultas y reclamos conforme a los procedimientos
legales.
k) Adoptar un Manual Interno de Políticas y Procedimientos para el cumplimiento de la ley y la atención de solicitudes.
l) Informar al encargado cuando un dato se encuentre en discusión por parte del titular, hasta tanto se resuelva la reclamación.
m) Responder, a solicitud del titular, por el uso dado a sus datos.
n) Notificar a la SIC sobre incidentes de seguridad que puedan comprometer la información de los titulares.
o) Cumplir con las instrucciones y requerimientos emitidos por la SIC en ejercicio de sus funciones.
6.1 Deber de Secreto y Confidencialidad
Sitt garantiza que todas las personas que intervengan en cualquier fase del tratamiento de datos personales incluidos datos sensibles, privados o de menores de edad están sujetas al deber de confidencialidad y secreto profesional, incluso después de terminada su relación contractual con la organización.
El incumplimiento de este deber será sancionado conforme a lo dispuesto en el Manual Interno de Trabajo y en la normativa laboral y legal vigente.
7. Políticas de tratamiento de los datos
7.1 Generalidades sobre la autorización
Cuando el tratamiento de datos personales se refiera a información de naturaleza diferente a la pública según lo definido en el numeral 2 del artículo 2.2.2.25.1.3 del Decreto 1074 de 2015, Sitt solicitará previamente la autorización del titular por cualquier medio que permita su conservación como prueba.
Dicha autorización podrá integrarse en un documento específico o formar parte de un documento más amplio, como un contrato, formulario, otrosí o formatos, según corresponda.
En los casos que involucren datos personales de carácter privado pertenecientes a personas naturales, Sitt informará al titular dentro del mismo documento de autorización o en un anexo lo siguiente:
• La finalidad específica del tratamiento de sus datos personales.
• El tipo de tratamiento al que serán sometidos.
• Los derechos que le asisten como titular, conforme a lo establecido en la Ley 1581 de 2012.
• Los canales dispuestos para la atención de consultas o reclamos,
incluyendo dirección electrónica y página web oficial.
7.2 Derecho de acceso
Sitt garantiza el derecho de acceso a los datos personales, conforme a lo dispuesto en la Ley 1581 de 2012, únicamente a los titulares de información de carácter privado que correspondan a personas naturales. Este derecho podrá ser ejercido previa verificación de la identidad del titular, de su legitimación, o de la representación debidamente acreditada.
El acceso se otorgará de manera gratuita y detallada, a través de cualquier medio de comunicación, incluidos medios electrónicos que permitan el acceso directo del titular a su información personal.
Este derecho se ejercerá dentro de los límites establecidos en el artículo 21 del Decreto Único 1074 de 2015.
7.3 Derecho de consulta
Los titulares de datos personales tienen derecho a consultar la información que sobre ellos se encuentre almacenada en las bases de datos administradas por la empresa. En este sentido, Sitt garantiza el derecho de consulta, conforme a lo establecido en la Ley 1581 de 2012, exclusivamente respecto de los datos personales privados, sensibles y de menores de edad, siempre que correspondan a personas naturales.
Sitt se compromete a proporcionar al titular la información contenida en las respectivas bases de datos bajo su control, garantizando que esta sea veraz, completa y actualizada.
Para ello, la empresa implementará mecanismos de autenticación segura que permitan verificar la identidad del solicitante, protegiendo así la confidencialidad e integridad de los datos, descritos en el PR-AD-007 procedimiento de atención de novedades.
Las consultas serán atendidas en un plazo máximo de diez (10) días hábiles, contados a partir de la fecha de recepción de la solicitud. Si no fuera posible atender la consulta dentro de este término, Sitt informará al interesado antes de su vencimiento las razones de la demora, indicando la fecha en que se dará respuesta, la cual no podrá exceder de cinco (5) días hábiles adicionales.
7.4 Derecho de reclamar
El titular de datos personales de carácter privado, que corresponda a una persona natural, podrá presentar una reclamación cuando considere que la información contenida en una base de datos debe ser corregida, actualizada o suprimida, o cuando identifique un presunto incumplimiento de los principios, deberes y disposiciones establecidos en la normativa vigente sobre protección de datos personales.
Sitt cuenta con mecanismos de autenticación que permiten identificar de manera segura al titular que interpone la reclamación, descritos en el PR-AD-007 procedimiento de atención de novedades.
La reclamación deberá presentarse conforme a los requisitos establecidos en el artículo 15 de la Ley 1581 de 2012.
Si la reclamación resulta incompleta, Sitt solicitará al titular que subsane las deficiencias dentro de los cinco (5) días hábiles siguientes a la recepción del requerimiento. Si transcurren dos (2) meses desde la fecha de solicitud sin que el titular presente la información requerida, se entenderá que ha desistido del reclamo.
En los casos en que Sitt no sea competente para atender la reclamación, dará traslado a la entidad correspondiente en un plazo máximo de dos (2) días hábiles e informará de dicha situación al interesado.
Una vez se reciba la reclamación completa, Sitt incluirá en la base de datos una leyenda que indique “reclamo en trámite” junto con el motivo de este, en un plazo no mayor a dos (2) días hábiles. Esta leyenda se mantendrá hasta que la reclamación sea resuelta.
El término máximo para dar respuesta a la reclamación será de quince (15) días hábiles, contados a partir del día siguiente a su recepción. En caso de no ser posible atender el reclamo dentro de dicho plazo, Sitt informará al titular los motivos de la demora y la nueva fecha de respuesta, la cual no podrá exceder de ocho (8) días hábiles adicionales.
7.5 Derecho a la rectificación y actualización de datos
Sitt se compromete a rectificar y actualizar, a solicitud del titular, los datos personales de personas naturales que resulten incompletos, inexactos o desactualizados, conforme con los procedimientos y términos establecidos en la normativa vigente y en esta política.
Para ejercer este derecho, se tendrán en cuenta las siguientes disposiciones:
• El titular deberá indicar de forma clara las correcciones que solicita e incluir los documentos que respalden su petición.
• Sitt podrá habilitar mecanismos que faciliten el ejercicio de este derecho, siempre que resulten seguros, eficaces y beneficiosos para el titular. Entre estos, podrán implementarse medios electrónicos, físicos o mixtos, de acuerdo con los criterios establecidos.
• Asimismo, Sitt podrá establecer formularios, formatos, sistemas o herramientas específicas, los cuales serán comunicados en el Aviso de Privacidad y estarán disponibles a través de la página web o en sus oficinas físicas.
7.6 Derecho a la supresión de datos
El titular de datos personales tiene derecho a solicitar en cualquier momento a Sitt la supresión (eliminación) de su información personal, siempre que se cumpla alguna de las siguientes condiciones:
• Cuando los datos no estén siendo tratados conforme a los principios, deberes y obligaciones establecidos en la normatividad vigente sobre protección de datos personales.
• Cuando los datos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
• Cuando haya expirado el plazo necesario para el cumplimiento del propósito para el cual fueron recolectados o tratados.
La supresión implica la eliminación segura, total o parcial, de los datos personales almacenados en los registros, archivos, bases de datos o sistemas de tratamiento de Sitt, de acuerdo con lo solicitado por el titular.
7.6.1 Limitaciones al Derecho de Supresión
Este derecho no es absoluto. Sitt, en su calidad de responsable del tratamiento, podrá negar o restringir la supresión de los datos personales en los siguientes
casos:
• Cuando el titular tenga una obligación legal o contractual que justifique su permanencia en la base de datos.
• Cuando la eliminación de los datos obstaculice procesos judiciales o administrativos, investigaciones penales, obligaciones fiscales o la actualización de sanciones administrativas.
• Cuando los datos resulten necesarios para salvaguardar intereses jurídicamente protegidos del titular, actuar en función del interés público, o dar cumplimiento a obligaciones legales del titular.
• Cuando los datos correspondan a información de naturaleza pública contenida en registros públicos, los cuales tienen como finalidad su difusión.
7.7 Derecho a revocar la autorización
Todo titular de datos personales que correspondan a personas naturales tiene derecho a revocar en cualquier momento el consentimiento otorgado para su tratamiento, siempre que no exista una disposición legal o contractual que lo impida.
Para ello, Sitt ha dispuesto mecanismos gratuitos, claros y accesibles que permiten al titular ejercer este derecho de forma efectiva.
7.7.1 Modalidades de revocatoria:
La revocación podrá ejercerse bajo dos modalidades, según lo solicite el titular:
• Revocatoria total: Aplica cuando el titular solicita que Sitt cese completamente el tratamiento de sus datos personales, eliminando su uso para todas las finalidades previamente autorizadas.
• Revocatoria parcial: Procede cuando el titular desea revocar el tratamiento únicamente respecto de ciertas finalidades específicas, como por ejemplo actividades de mercadeo, publicidad o encuestas. En este caso, Sitt suspenderá únicamente dichas finalidades, manteniéndose el tratamiento para otros usos autorizados por el titular.
7.7.2 Limitaciones al derecho de revocatoria:
El derecho a revocar la autorización no es absoluto. Sitt podrá negarlo o limitarlo en los siguientes casos:
• Cuando el titular tenga un deber legal o contractual que exija la permanencia de sus datos en la base de datos.
• Cuando la revocatoria obstaculice procesos judiciales o administrativos, investigaciones fiscales o penales, o la actualización de sanciones administrativas.
• Cuando los datos sean necesarios para proteger intereses jurídicamente tutelados del titular, realizar una acción en función del interés público o cumplir obligaciones legales asumidas por el titular.
• Cuando se trate de datos de carácter público contenidos en registros públicos, cuya finalidad es la publicidad de la información.
8. Finalidades generales del tratamiento de datos personales
Sitt, en su calidad de responsable del tratamiento de datos personales, recolecta, almacena, usa, circula y, en caso necesario, suprime datos personales de personas naturales en el marco de sus actividades empresariales, con las siguientes finalidades generales:
1. Gestionar los procesos de selección, vinculación, contratación, administración y terminación de relaciones laborales o contractuales con empleados, contratistas, proveedores y demás terceros relacionados.
2. Atender y responder consultas, peticiones, quejas y reclamos (PQR) presentados por los titulares de los datos o por entidades de control, así como cumplir con los deberes legales de reporte y colaboración ante autoridades competentes.
3. Controlar el ingreso y permanencia en las instalaciones físicas de Sitt mediante sistemas de registro, control de acceso y videovigilancia, con el objetivo de salvaguardar la seguridad de las personas, los bienes y la información de la organización.
4. Establecer comunicación con personas naturales vinculadas o relacionadas con la compañía (empleados, familiares, excolaboradores, accionistas, clientes, proveedores, entre otros), por medios físicos o electrónicos, para efectos administrativos, contractuales, operativos, informativos o legales.
5. Transferir o transmitir datos personales, cuando sea pertinente, a las distintas áreas internas de la organización y a sus empresas vinculadas, con el fin de apoyar actividades contables, financieras, jurídicas, comerciales, logísticas, tecnológicas o de soporte administrativo.
6. Registrar y mantener actualizada la información en las bases de datos contables, financieras, operativas y administrativas de la empresa.
7. Aplicar encuestas, estudios de percepción, investigaciones internas o externas que permitan evaluar la calidad de los productos y servicios ofrecidos por Sitt y mejorar la experiencia de los usuarios o grupos de interés.
8. Dar respuesta a requerimientos judiciales o administrativos y atender mandatos de carácter legal, reglamentario o jurisprudencial.
9. Ejecutar cualquier otra actividad legítima que sea complementaria o conexa con las anteriores y que esté relacionada con el desarrollo del objeto social de Sitt.
10.Capturar, tratar y conservar imágenes, fotografías, grabaciones de audio y video de colaboradores, visitantes, proveedores u otras personas que interactúen con la organización, con fines comerciales, empresariales e informativos en diferentes escenarios y plataformas de Sitt.
Estos contenidos podrán ser utilizados en medios internos y externos, tales como boletines, redes sociales, página web, informes de gestión, piezas gráficas, campañas comunicacionales y eventos empresariales.
8.1 Finalidades del tratamiento de datos personales sensibles
Sitt realiza el tratamiento de datos personales sensibles únicamente cuando ello resulte necesario, proporcional y pertinente, y siempre con sujeción a una finalidad legítima que justifique su recolección y uso. En particular, las finalidades son las siguientes:
8.1.1. Datos Financieros y Patrimoniales
Los datos sensibles relacionados con aspectos financieros o patrimoniales, tales como ingresos, cuentas bancarias, historial crediticio, nivel de endeudamiento u otra información afín, serán tratados exclusivamente para:
• Evaluar la capacidad económica en procesos de contratación de proveedores o ejecución de alianzas comerciales.
• Cumplir con obligaciones de tipo contractual, contable, fiscal, laboral o legal.
• Realizar análisis de riesgo financiero o evaluaciones crediticias.
• Dar cumplimiento a requerimientos o reportes exigidos por entidades de control y vigilancia.
8.1.2. Datos de Menores de Edad
Sitt solo trata datos personales de menores de edad cuando estos sean estrictamente necesarios y estén autorizados por sus representantes legales.
Las finalidades asociadas incluyen:
• Cumplir con obligaciones laborales relacionadas con empleados que registran a sus hijos menores como beneficiarios.
• Gestionar afiliaciones al sistema de seguridad social, cajas de compensación y servicios complementarios.
• Coordinar la participación de menores en actividades recreativas, educativas o de bienestar promovidas por Sitt.
8.1.3. Imágenes, Fotografías y Grabaciones
Sitt podrá capturar, almacenar y utilizar imágenes, fotografías, grabaciones de voz o video de personas naturales (empleados, contratistas, visitantes y terceros) para:
• Controlar y garantizar la seguridad en las instalaciones de la empresa mediante sistemas de videovigilancia.
• Documentar y promover eventos corporativos, actividades corporativas y campañas internas o externas.
• Elaborar contenido informativo o promocional para los canales oficiales de comunicación de Sitt, incluyendo redes sociales, sitio web, informes de gestión, boletines o piezas gráficas.
• Cumplir con procesos de identificación y control de acceso en áreas restringidas.
Nota Importante:
El tratamiento de datos personales sensibles estará sujeto a autorización previa, expresa e informada del titular o, en el caso de menores de edad, de su representante legal. En todo caso, Sitt aplicará medidas técnicas, humanas y administrativas adecuadas para proteger la confidencialidad, integridad y disponibilidad de la información, garantizando en todo momento el respeto por la intimidad y la dignidad de los titulares.
Simón Franco Medina
Gerente General – Representante Legal