Habla con
un ingeniero de nuestro equipo

1. Propósito

El presente manual tiene como propósito establecer los parámetros generales para la gestión, manejo, uso y protección de los datos de carácter personal registrados en cualquier base de datos de EHR que hubieren sido recolectados, tratados o almacenados en virtud del desarrollo de su objeto social, bien sea como responsable del tratamiento o encargado del mismo.

EHR cumple con la normativa vigente en materia de derechos, libertades y garantías consagradas en el artículo 15 de la Constitución Política de Colombia y las demás disposiciones legales que lo reglamentan y desarrollan.

Esta política estará dispuesta para acceso ágil y fácil por parte del público en todos los sitios de EHR.

2. Alcance

Las disposiciones contenidas en el presente manual aplican al tratamiento de datos personales efectuado por EHR en el territorio colombiano o fuera de este, cuando EHR como responsable o encargado del tratamiento de datos, le sea aplicable la legislación colombiana de acuerdo con normas y tratados internacionales o estipulación contractual que así lo establezca.

Cualquier actividad o proceso que implique el tratamiento de datos personales por parte de EHR en desarrollo de su objeto social deberá dar cumplimiento a las directrices de este manual.

3. Ámbito de aplicación

En consideración a la disposición constitucional del derecho a la intimidad, al habeas data, y a la información, la presente directriz aplica a empleados, clientes, proveedores, accionistas, contratistas y subcontratistas de EHR, que se encuentren vinculados bajo cualquier modalidad o tengan una relación directa o indirecta con EHR. Así mismo, a las personas con las cuales exista una relación legal, de orden estatutario, contractual, que traten o tengan acceso a bases de datos personales y a todas las personas públicas y privadas que sean titulares de datos personales registrados en EHR.

4. Responsable del tratamiento

5. Definiciones

Para los efectos del presente manual, se tendrán en cuenta las definiciones señaladas en la Ley 1581 de 2013 y el Decreto 1377 de 2013 y principalmente las siguientes:

• Dato personal: Es cualquier información vinculada o que pueda asociarse a cualquier persona natural determinada o determinable, que pueda utilizarse para la identificación y/o localización de una persona natural determinada.
• Encargado del tratamiento: Es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otras personas realiza el tratamiento de los datos personales, por cuenta o encargo del Responsable del tratamiento.
• Responsable del tratamiento: Es aquella persona natural o jurídica, pública o privada que por sí misma o por interpuesta persona realiza el tratamiento de los datos personales. El responsable es a quien el titular autoriza el tratamiento sus datos personales.
• Titular del dato personal o de la información: Es la persona natural cuyos datos personales son objeto del tratamiento.
• Tratamiento: Es cualquier operación, proceso y/o procedimiento que se establece sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.
• Base de datos: Es el conjunto organizado de los datos personales objeto del tratamiento.
• Autorización: Es el consentimiento previo, expreso e informado del Titular para llevar a cabo del tratamiento de los datos personales.
• Dato personal público: Es toda información personal que es de conocimiento libre y abierto para el público en general.
• Dato público: Es todo aquel que no es privado o sensible. Son considerados públicos aquellos que se encuentren en un documento público, tales como registros civiles, gacetas, boletines oficiales, sentencias judiciales debidamente ejecutoriadas, etc.
• Dato sensible: Son aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como los que revelen el origen racial, étnico, orientación religiosa o política, los datos relativos a la salud, vida sexual, la pertenencia a sindicatos, organizaciones sociales, etc.
• Dato privado: Es toda información personal que no es de dominio público y que se encuentra restringida para el público en general.
• Dato semiprivado: Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento interesa tanto a su titular como a cierto sector o grupo de personas en general.
• Transferencia de datos: Es cuando el responsable y/o encargado del tratamiento de datos personales, que se encuentra ubicado en Colombia, envía la información o los datos personales a un receptor, el cual a su vez es el responsable del tratamiento y se encuentra dentro o fuera del país.
• Transmisión de datos: Es cuando la comunicación de los datos personales se realiza dentro o fuera del territorio colombiano y tiene por objeto la realización del tratamiento por el encargado, por cuenta del responsable del tratamiento.
• Aviso de privacidad: Comunicación (verbal o escrita) generada por el responsable, dirigida al titular de la información para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
• Oficial de protección de datos: Es la persona designada por EHR, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales.

6. Principios

Para la gestión del tratamiento de los datos personales, EHR tendrá en consideración los siguientes principios:

• Libertad: Todas las actividades de registro y divulgación de los datos personales sólo pueden ejercerse con el consentimiento libre, previo y expreso del titular de esa información.
• Legalidad: El tratamiento de datos personales en Colombia es una actividad reglada y por ende todos los procesos de EHR deben sujetarse a la Ley 1581 de 2012, así como a la normativa que la desarrolle.
• Necesidad: La información personal concernida debe ser aquella estrictamente necesaria para el cumplimiento de los fines de la base de datos.
• Veracidad: Todos los datos personales deben corresponder a situaciones reales, lo que impone la prohibición de recopilar, procesar y circular información falsa, parcial, incompleta o fraccionada o que induzca al error.
• Finalidad: Todas las actividades de acopio, procesamiento y divulgación de la información personal deben obedecer a un fin acorde con la Constitución Política y la Ley, definido de forma clara, suficiente y previa.
• Utilidad: Todas las actividades de acopio, procesamiento e información de datos personales deben cumplir una función determinada, acorde con el ejercicio legítimo de la administración de los mismos.
• Acceso y circulación restringida: Los datos personales almacenados por EHR no podrán estar disponibles en internet o en cualquier otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro.
• Transparencia: En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
• Seguridad: Se procurarán las medidas de seguridad previstas en la ley y normas técnicas internacionales con el propósito de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a las bases de datos personales.
• Confidencialidad: Todas las personas que intervengan en el tratamiento de datos de carácter personal tienen la obligación profesional de guardar y mantener la reserva de tales datos a perpetuidad, cesando únicamente dicha obligación en virtud de la Ley u orden de autoridad competente.

7. Derechos de los titulares de datos personales

Con arreglo a la Constitución Política y la Ley, los titulares de datos de carácter personal tienen los siguientes derechos:

• De Acceso: EHR facilitará a los titulares de la información el acceso gratuito a sus datos personales que hayan sido objeto de Tratamiento, mediante mecanismos ágiles y sencillos, dispuestos en forma permanente.
• De actualización, rectificación y supresión: Al titular de datos le asiste el derecho a conocer, actualizar y rectificar sus datos personales conforme a las variaciones que se vayan suscitando.
• Autorización para el tratamiento de datos: El titular de los datos personales conferirá autorización previa e informada a EHR para el tratamiento de sus datos personales. La autorización no será necesaria cuando se trate de:
  1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
  2. Datos de naturaleza pública.
  3. Casos de urgencia médica o sanitaria.
  4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  5. Datos relacionados con el Registro Civil de las Personas.
• De información: El titular de datos personales tiene derecho a ser informado respecto del tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
• Presentar quejas y reclamaciones: El titular puede presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en el régimen legal de protección de datos personales.
• De Oposición: El titular podrá revocar la autorización y solicitar la supresión del dato cuando no se respeten los principios, derechos y garantías constitucionales y legales.
• Los demás que establezca la ley.

8. Deberes del responsable del tratamiento de los datos personales

EHR reconoce y garantiza los derechos de los titulares de los datos personales. Por lo tanto, atenderá los deberes consagrados para los Responsables y Encargados del tratamiento, comprendidos en el artículo 17 y siguientes de la Ley 1581 de 2012 y demás normas que la regulen o modifiquen, a saber:

• Garantizar al titular de la información en todo momento, el ejercicio pleno de su derecho de hábeas data.
• Solicitar y almacenar copia de la autorización del tratamiento de datos personales otorgada por el titular de la información.
• Informar oportunamente al titular sobre la finalidad de la recolección de los datos y los derechos que le asisten.
• Conservar la información de los datos personales bajo condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Actualizar oportunamente la información sujeta a tratamiento y comunicarla al encargado del tratamiento.
• Adoptar las medidas de seguridad necesarias para salvaguardar la información de habeas data.
• Rectificar la información cuando sea necesaria y comunicarla al encargado del Tratamiento.
• Suministrar al encargado del tratamiento únicamente los datos cuyo tratamiento esté previamente autorizado.
• Exigir al encargado del tratamiento que cumpla con condiciones de seguridad y privacidad adecuadas para el tratamiento de la información del titular.
• Tramitar las consultas y reclamos formulados por los titulares de la información en los términos señalados en el presente manual y en las disposiciones legales vigentes.
• Adoptar un manual de políticas y procedimientos en materia de protección de datos personales, para así garantizar el cumplimiento de la ley.
• Atender oportunamente todas las consultas y reclamos en los términos y plazos establecidos por la ley.
• Cumplir con todas las disposiciones, instrucciones y requerimientos que establezca la ley colombiana y la Superintendencia de Industria y Comercio.

9. Tratamiento de datos personales — Categorías especiales de datos

Datos sensibles

EHR limitará el tratamiento de los datos sensibles a lo estrictamente necesario y autorizado por la Ley 1581 de 2012 y solicitará consentimiento previo y expreso a los titulares, informando sobre la finalidad de su tratamiento. EHR informará al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.

Datos de niños, niñas y adolescentes

El tratamiento de estos datos está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la ley 1581 de 2012, y cuando dicho tratamiento cumpla con los siguientes parámetros:

• Que responda y respete el interés superior de los niños, niñas y adolescentes.
• Que se asegure el respeto de sus derechos fundamentales.

Cumplido lo anterior, el representante legal o tutor otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

10. Bases de datos

• EHR informa que no vende ni alquila a terceros las bases de datos personales que obtiene en desarrollo de su objeto social. Esta información solo será tratada para los fines autorizados por los titulares, garantizando mantenerla con un alto grado de privacidad, seguridad y confidencialidad.
• EHR está implementando un programa de Seguridad de la Información, mediante el cual se busca que los riesgos de seguridad sean identificados, valorados y tratados mediante controles documentales, físicos y técnicos.
• La información contenida en las bases de datos de EHR no podrá ser suministrada a terceros. EHR solo permitirá el acceso a la misma mediante el consentimiento expreso, previo y escrito del titular y/o en virtud de orden de autoridad competente.

10.1. Canales de recolección y atención al usuario

EHR S.A.S. podrá recolectar y tratar datos personales a través de los diferentes canales de comunicación y atención habilitados por la compañía, entre los cuales se incluyen:

• Formularios de contacto disponibles en el sitio web.
• Solicitudes de información y cotización.
• Correo electrónico corporativo.
• Atención telefónica.
• Canales de mensajería instantánea, incluido WhatsApp.
• Reuniones, visitas técnicas y demás interacciones relacionadas con los servicios ofrecidos por la compañía.

Los datos personales suministrados a través de estos canales serán utilizados exclusivamente para atender solicitudes comerciales, técnicas, administrativas y contractuales relacionadas con la actividad desarrollada por EHR S.A.S.

El tratamiento de estos datos se realizará conforme a la presente Política de Tratamiento de Datos Personales y a la normativa colombiana vigente en materia de protección de datos personales.

10.2. Finalidades del tratamiento de los datos personales

EHR S.A.S. podrá tratar los datos personales para las siguientes finalidades:

• Atender solicitudes de contacto, consultas y requerimientos.
• Gestionar solicitudes comerciales y de cotización.
• Establecer comunicación con clientes, proveedores y potenciales clientes.
• Coordinar reuniones, visitas técnicas y actividades relacionadas con los servicios ofrecidos por la compañía.
• Dar respuesta a las solicitudes realizadas a través del sitio web, correo electrónico, teléfono o WhatsApp.
• Gestionar la relación comercial y contractual con clientes y proveedores.
• Mantener registros internos asociados a la operación de la compañía.
• Dar cumplimiento a obligaciones legales, contractuales, administrativas y regulatorias aplicables.

11. Autorización / Revocatoria de la autorización de los datos personales

• La autorización para la recolección de los datos personales deberá realizarla el titular de los mismos, ya sea manifestando de forma verbal o escrita su consentimiento. El encargado del tratamiento tiene como deber informar al titular la finalidad de las políticas de tratamiento en el momento de la recolección de los datos.
• Se entenderá efectuada la autorización cuando se realice: por escrito, de forma oral o mediante conductas inequívocas del Titular. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
• EHR informa que trata sin previa autorización los datos personales que son de naturaleza pública, adoptando las medidas necesarias para garantizar el cumplimiento de la Ley 1581 de 2012.
• No se necesitará autorización en los siguientes casos:
  1. Información requerida por una entidad pública, judicial o administrativa en ejercicio de sus funciones legales o por orden judicial.
  2. Datos de naturaleza pública.
  3. Casos de urgencia médica o sanitaria.
  4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  5. Datos relacionados con el Registro Civil de las Personas.
• Cuando EHR modifique las políticas de tratamiento, deberá informar inmediatamente al titular los cambios realizados.
• En todo momento, los titulares podrán solicitar la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos.

12. Procedimiento para el ejercicio de los derechos de los titulares

• EHR cuenta con un Oficial de Protección de Datos personales, quien es el responsable de la recepción de las peticiones, quejas, reclamos y consultas de todo tipo relacionadas con datos personales.
• EHR ha diseñado diversos procedimientos internos que permiten dar cumplimiento al presente manual, involucrando a todos los niveles de su organización.
• Todas las consultas, solicitudes, quejas y reclamos en materia de datos personales podrán ser presentadas a través de:

  Correo electrónico: ehromero.datos@ehr.com.co

  Punto de atención: Calle 98A No. 71A-83, Bogotá, Colombia

Consultas

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha del recibo. En el evento de no poder ser atendida en ese plazo, así se informará al interesado, con un término adicional no superior a cinco (5) días hábiles.

Los titulares, apoderados o causahabientes deberán indicar en su solicitud: nombre e identificación con copia de cédula o poder notarial, descripción de los hechos, dirección para notificaciones y documentos de soporte si aplica.

Reclamos

Los reclamos serán resueltos en un término máximo de quince (15) días hábiles desde su recibo. Si no pudiere resolverse en ese plazo, se informará al interesado, con un término adicional no superior a ocho (8) días hábiles.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes para que subsane las fallas. Transcurridos dos (2) meses sin aportar la información requerida, se entenderá desistido el reclamo.

Para elevar una queja ante la Superintendencia de Industria y Comercio, es necesario agotar previamente el trámite de consulta o reclamo ante EHR.

13. Transferencia y transmisión internacional de datos

De conformidad con el régimen legal vigente en materia de protección de datos personales, EHR no efectuará transferencia de datos personales a países que no proporcionen niveles adecuados de protección, salvo las excepciones de Ley.

14. Vigencia

• El presente manual entra en vigencia a partir del 01 de julio de 2017.
• El periodo de vigencia de las bases de datos se regirá por las disposiciones que rigen la materia conforme a los principios de finalidad y temporalidad de la información.
• EHR podrá modificar los términos y condiciones del presente documento para actualizar cualquier cambio en sus procedimientos u operaciones. Las actualizaciones serán publicadas en www.ehr.com.co.