Política de Protección de Datos Personales

PISA FARMACEUTICA DE COLOMBIA S.A.
POLITICA DE PROTECCIÓN DE DATOS PERSONALES
PROCESO DE GERENCIA ADMINISTRATIVA Y FINANCIERA

INTRODUCCIÓN

Pisa Farmacéutica de Colombia S.A., en adelanta PISA, en cumplimiento de lo previsto en la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” y del Decreto 1377 de 2013, en armonía con el cumplimiento de las disposiciones especiales referidas al tratamiento de datos personales de naturaleza financiera, crediticia, comercial y de servicios previstas en la Ley 1266 de 2008, así como en las normas que la reglamenten y modifiquen, que cobijan el origen, mantenimiento, administración y extinción de obligaciones derivadas de relaciones de tal naturaleza. El tratamiento de datos personales previsto en la Ley 1581 de 2012, no resulta aplicable a las bases de datos y archivos que tengan por finalidad la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, así como tampoco resulta aplicable a las bases de datos o archivos expresamente excluidos por la Ley.
Por lo anterior, se publica para su conocimiento el aviso de privacidad y las políticas de tratamiento de información que ha desarrollado:

POLITICAS

DEFINICIONES

Derecho de Habeas Data:

Es el derecho que tiene toda persona de conocer, actualizar, rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

Titular de la información:

Es la persona natural o jurídica a quien se refiere la información que reposa en el banco de datos.

Fuente de información:

Es la persona, entidad u organización que recibe o conoce los datos personales de los titulares de la información, en virtud de una relación comercial o servicio de cualquier índole y que, en razón de autorización legal del titular, suministra esos datos a un usuario final de la información.

Autorización:

Consentimiento previo, expreso e informado del Titular del dato para llevar a cabo el tratamiento de su información personal.
Datos personal sensible:

Información que afecta la intimidad y cuyo uso indebido puede afectar su discriminación, tales como origen racial, étnico, datos biométricos (huellas dactilares, fotos, videos), datos relacionados con su estado de salud, información de menores de edad, entre otros.
Encargado del tratamiento:

Persona que realiza el tratamiento de datos por cuenta del responsable del tratamiento.

Responsable del tratamiento:

Persona que decide sobre la recolección de datos y fines del tratamiento, entre otros.

Tratamiento:

Cualquier operación sobre el banco de datos personales (recolección, almacenamiento, uso, supresión y circulación).

DERECHOS Y DEBERES DE LOS TITULARES DE LA INFORMACION:

1. PISA obtendrá y utilizará los datos personales que en efecto se requieran para el desarrollo de su objeto, para cumplir con sus deberes legales y para atender en debida forma la relación que establezca con el titular del dato; de forma tal que evitará solicitar información ajena a dichos propósitos.
2. PISA utilizará los datos personales conforme a las finalidades con las que tales datos sean obtenidos. Tales datos personales corresponderán a los de sus clientes, colaboradores, proveedores, administradores, aliados, pacientes y en general a los de todas aquellas personas naturales con las que PISA se relaciona para el cumplimiento pleno de su objeto.
3. PISA obtendrá y utilizará datos personales siempre que se encuentre facultada para ello, bien porque la ley así lo dispone, bien porque ello se deriva de la naturaleza de la relación que tiene con el titular de los datos o bien porque el titular del dato la autoriza expresamente para el efecto.
4. Cuando quiera que se precise autorización del titular para el tratamiento de sus datos personales:

a. PISA informará al titular sobre la finalidad de tal tratamiento y obtendrá de él su consentimiento expreso e informado
b. La autorización se obtendrá en forma previa al tratamiento de los datos personales y, en todo caso, a más tardar al momento de la recolección inicial de tal información.
c. La autorización podrá darse a través de cualquier medio que permita su adecuada conservación, así como su consulta posterior.

5. PISA implementará mecanismos que le permitan tener a disposición de los titulares la información de sus datos personales, las finalidades para las que han sido tratados y el tratamiento que se ha dado a los mismos.

6. En los eventos en que PISA requiera utilizar datos personales para una finalidad distinta a la inicialmente informada a su titular y autorizada por éste o diferente a la señalada en la Ley o ajena a la naturaleza de la relación que lo vincula con PISA, se deberá obtener del titular de los datos una nueva autorización. PISA no tendrá que solicitar una nueva autorización al titular cuando, conforme al ordenamiento jurídico, el nuevo uso sea razonablemente previsible por parte el titular del dato al momento de consentir en su utilización, en el marco de su relación con PISA.

7. PISA ha previsto que siempre que los datos personales sean suministrados por un tercero, ese tercero debe contar con la autorización del titular que le permita compartir la información con PISA o estar amparado en la ley para ello.

8. En los casos en los que PISA contacte al titular del dato a partir de los Datos Públicos que haya obtenido, entendidos éstos como aquellos para cuyo tratamiento no se requería la autorización previa del mismo, PISA deberá contar con autorización, bien dada por la ley o como consecuencia de la naturaleza de la relación con el titular o bien por solicitar del titular su autorización, para obtener datos adicionales, caso en el cual le informará acerca de las finalidades para las que serán tratados los nuevos datos que le sean suministrados.

9. En el tratamiento de datos de menores de edad, PISA tendrá en cuenta el interés superior de los mismos, así como la prevalencia de sus derechos. Adicionalmente, en los eventos en que los derechos de tales menores sean ejercidos por un tercero, PISA verificará que ese tercero esté autorizado conforme a la ley para ello.

10. En el evento en que la información recopilada corresponda a Datos Sensibles, entendidos éstos como aquellos que afectan su intimidad o cuyo uso indebido puede generar su discriminación, PISA debe informar al titular de la misma acerca del carácter de sensible de los datos que suministra y acerca de la posibilidad que tiene de suministrar o no dicha información.

11. PISA no condicionará la existencia y el mantenimiento de su relación con el titular al suministro de Datos Sensibles por parte de éste, a menos que tales datos en efecto deban obtenerse por ser indispensables para la existencia y/o mantenimiento adecuado de la relación o para el cumplimiento de los deberes a cargo de PISA y/o del titular.

PISA velará porque los datos personales que se encuentran en sus archivos y bases de datos sean almacenados y administrados en razonables condiciones de seguridad y confidencialidad.

Son confidenciales los datos personales, excepto aquellos que tienen el carácter de públicos. La información clasificada como confidencial debe ser conocida y manejada exclusivamente por los funcionarios autorizados por PISA para ello.

Es responsabilidad de todos los colaboradores de PISA velar por la confidencialidad y seguridad de dicha información y velar porque los terceros que acceden a la misma (proveedores o contratistas) también se responsabilicen de ella. El deber de reserva de los colaboradores frente a los datos personales a los que tengan acceso se extiende después de finalizada la actividad realizada por éste en relación con el tratamiento.

PISA informará a las autoridades competentes en los términos que señala la Ley las situaciones relevantes relativas a la administración de los datos personales que son objeto de tratamiento por parte de ella.

PISA conservará los archivos o bases de datos que contengan datos personales por el período que la normatividad vigente así se lo exija o lo permita y la vigencia de las bases de datos estará atada al ejercicio del objeto social de PISA. Sin perjuicio de lo anterior, el período mínimo de conservación de los datos personales del titular corresponderá al término de duración de su relación legal o contractual con ésta o a aquel que sea requerido para que PISA cumpla con sus obligaciones o aquel necesario para que se puedan ejercer los derechos por parte del titular del dato en el marco de la naturaleza de la relación que los vincula.

PISA velará porque se registren en los términos de la normatividad vigente, las bases de datos que contengan datos personales objeto de tratamiento por su parte.

Conocer, actualizar y rectificar datos personales, para efecto es necesario adelantar previamente la identificación de la persona para evitar que terceros no autorizados accedan a los datos del titular del dato.

PISA velará porque los datos personales que se encuentran en sus archivos y bases de datos sean almacenados y administrados en razonables condiciones de seguridad y confidencialidad.

Son confidenciales los datos personales, excepto aquellos que tienen el carácter de públicos. La información clasificada como confidencial debe ser conocida y manejada exclusivamente por los funcionarios autorizados por PISA para ello.

Es responsabilidad de todos los colaboradores de PISA velar por la confidencialidad y seguridad de dicha información y velar porque los terceros que acceden a la misma (proveedores o contratistas) también se responsabilicen de ella. El deber de reserva de los colaboradores frente a los datos personales a los que tengan acceso se extiende después de finalizada la actividad realizada por éste en relación con el tratamiento.

PISA informará a las autoridades competentes en los términos que señala la Ley las situaciones relevantes relativas a la administración de los datos personales que son objeto de tratamiento por parte de ella.

PISA conservará los archivos o bases de datos que contengan datos personales por el período que la normatividad vigente así se lo exija o lo permita y la vigencia de las bases de datos estará atada al ejercicio del objeto social de PISA. Sin perjuicio de lo anterior, el período mínimo de conservación de los datos personales del titular corresponderá al término de duración de su relación legal o contractual con ésta o a aquel que sea requerido para que PISA cumpla con sus obligaciones o aquel necesario para que se puedan ejercer los derechos por parte del titular del dato en el marco de la naturaleza de la relación que los vincula.

PISA velará porque se registren en los términos de la normatividad vigente, las bases de datos que contengan datos personales objeto de tratamiento por su parte.

Conocer, actualizar y rectificar datos personales, para efecto es necesario adelantar previamente la identificación de la persona para evitar que terceros no autorizados accedan a los datos del titular del dato.

PISA velará porque los datos personales que se encuentran en sus archivos y bases de datos sean almacenados y administrados en razonables condiciones de seguridad y confidencialidad.

Son confidenciales los datos personales, excepto aquellos que tienen el carácter de públicos. La información clasificada como confidencial debe ser conocida y manejada exclusivamente por los funcionarios autorizados por PISA para ello.

Es responsabilidad de todos los colaboradores de PISA velar por la confidencialidad y seguridad de dicha información y velar porque los terceros que acceden a la misma (proveedores o contratistas) también se responsabilicen de ella. El deber de reserva de los colaboradores frente a los datos personales a los que tengan acceso se extiende después de finalizada la actividad realizada por éste en relación con el tratamiento.

PISA informará a las autoridades competentes en los términos que señala la Ley las situaciones relevantes relativas a la administración de los datos personales que son objeto de tratamiento por parte de ella.

PISA conservará los archivos o bases de datos que contengan datos personales por el período que la normatividad vigente así se lo exija o lo permita y la vigencia de las bases de datos estará atada al ejercicio del objeto social de PISA. Sin perjuicio de lo anterior, el período mínimo de conservación de los datos personales del titular corresponderá al término de duración de su relación legal o contractual con ésta o a aquel que sea requerido para que PISA cumpla con sus obligaciones o aquel necesario para que se puedan ejercer los derechos por parte del titular del dato en el marco de la naturaleza de la relación que los vincula.

PISA velará porque se registren en los términos de la normatividad vigente, las bases de datos que contengan datos personales objeto de tratamiento por su parte.

Conocer, actualizar y rectificar datos personales, para efecto es necesario adelantar previamente la identificación de la persona para evitar que terceros no autorizados accedan a los datos del titular del dato.

PISA velará porque los datos personales que se encuentran en sus archivos y bases de datos sean almacenados y administrados en razonables condiciones de seguridad y confidencialidad.

Son confidenciales los datos personales, excepto aquellos que tienen el carácter de públicos. La información clasificada como confidencial debe ser conocida y manejada exclusivamente por los funcionarios autorizados por PISA para ello.

Es responsabilidad de todos los colaboradores de PISA velar por la confidencialidad y seguridad de dicha información y velar porque los terceros que acceden a la misma (proveedores o contratistas) también se responsabilicen de ella. El deber de reserva de los colaboradores frente a los datos personales a los que tengan acceso se extiende después de finalizada la actividad realizada por éste en relación con el tratamiento.

PISA informará a las autoridades competentes en los términos que señala la Ley las situaciones relevantes relativas a la administración de los datos personales que son objeto de tratamiento por parte de ella.

PISA conservará los archivos o bases de datos que contengan datos personales por el período que la normatividad vigente así se lo exija o lo permita y la vigencia de las bases de datos estará atada al ejercicio del objeto social de PISA. Sin perjuicio de lo anterior, el período mínimo de conservación de los datos personales del titular corresponderá al término de duración de su relación legal o contractual con ésta o a aquel que sea requerido para que PISA cumpla con sus obligaciones o aquel necesario para que se puedan ejercer los derechos por parte del titular del dato en el marco de la naturaleza de la relación que los vincula.

PISA velará porque se registren en los términos de la normatividad vigente, las bases de datos que contengan datos personales objeto de tratamiento por su parte.

Conocer, actualizar y rectificar datos personales, para efecto es necesario adelantar previamente la identificación de la persona para evitar que terceros no autorizados accedan a los datos del titular del dato.

El Titular podrá consultar sus datos personales y hacer reclamos para asegurar su derecho a la protección de datos personales siguiendo el procedimiento establecido en la ley y en la presente.

política. PISA implementará medidas de seguridad para evitar daño, pérdida, hurto, o destrucción de los datos personales, alteración, hurto, previendo su uso, restringiendo su acceso o tratamiento no autorizado sobre los mismos.

En ningún caso el titular del dato podrá revocar la autorización y solicitar la supresión del dato, cuando exista un deber legal o contractual que lo exija el deber de permanecer en la base de datos del Responsable y/o Encargado.

Cámaras de seguridad: PISA utiliza diversos medios de video vigilancia instalados en diferentes sitios internos y externos de sus instalaciones (almacén y oficinas), informando sobre las existencias de estos mecanismos mediante la difusión en sitios visibles de anuncios de video vigilancia. La información utilizada se utilizara para fines de seguridad de los bienes, instalaciones y personas que se encuentren en estas. Esta información puede ser utilizada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad. Las imágenes solo serán tratadas cuando sean adecuadas y pertinente en relación con el ámbito y finalidades determinadas, legítimas y explicitas.
Datos biométricos: Pisa utiliza mecanismos de utilización de datos biométricos, cuya finalidad se limitara a realizar labores de autenticación, ejecutar controles de suplantación y controlar el acceso a las instalaciones de PISA:
Es responsabilidad de la Administración la implementación de estas políticas.

SANCIONES

El incumplimiento de las políticas y procedimientos adoptados en materia de protección de datos personales por parte de los colaboradores de PISA se considera falta grave y como tal será sancionado de conformidad con lo establecido en el Reglamento Interno de Trabajo de PISA, al margen de las sanciones que puedan darse por violación de normas de carácter penal o administrativo sancionatorio.

Las presentes políticas entran en vigencia a partir de los diecisiete (17) días del mes de Mayo del año 2016. Art 9 1581 2012 Autorización del Titular

Se requerirá autorización previa e informada del Titular, la cual puede ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. “Consentimiento libre, previo y expreso del Titular”.
Autorización de trabajadores:
• Autorización de datos de menores de edad.
• Video vigilancia
• Datos sensibles

Deberes de los Responsables y Encargados del tratamiento:

Garantizar al titular en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data “derecho a su intimidad personal y familiar y a su buen nombre”.
Solicitar y conservar, en las condiciones previstas en la ley 1581 del 2012, copia de la respectiva autorización otorgada por el Titular.
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
Actualizar la información, comunicando en forma oportuna al Encargado del tratamiento.
Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
7. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente Ley y en especial para la atención de consultas y reclamos.

8. Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
9. Informar a solicitud del titular sobre el uso dado a sus datos.
10. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
11. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Deberes de los encargados del Tratamiento:

Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data “derecho a su intimidad personal y familiar y a su buen nombre”.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
Realizar oportunamente la actualización, rectificación, o supresión de datos en los términos de la presente ley.
Actualizar la información reportada por los Responsables del tratamiento dentro de los (5) días hábiles contados a partir de su recibo.
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley, y en especial para la atención de consultas y reclamos por parte de los Titulares.

Abstenerse de circular información que este siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio,
Permitir el acceso a la información únicamente a las personas que puedan tener acceso a ella.
Informar a la superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
“derecho a su intimidad personal y familiar y a su buen nombre”.