Plan de seguridad y confidencialidad de la información

INTRODUCCIÓN

La COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., reconoce la importancia de la administración adecuada de la información como uno de los activos más importantes y críticos para el desarrollo de sus actividades. En la gestión de los procesos estratégicos, misionales y de apoyo, continuamente se está procesando, gestionando, almacenando, custodiando, transfiriendo e intercambiando información valiosa que no deben ser divulgar a personal no autorizado. La POLITICA DE SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACION Es de importancia para COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., la protección y uso adecuado de la información confidencial, así como los derechos de propiedad de sus clientes. Para esto se compromete a:
  • Proteger la información entregada, mediante el control del acceso a información del cliente.
  • Implementar medidas de seguridad.
  • Prohibir uso de información confidencial para propósitos ajenos.
  • Generar datos y resultados competentes y confiables.
Por lo anterior la compañía cuenta con Normas de Conducta y un Compromiso de Confidencialidad, documentos que son divulgados y firmados por el personal vinculado. La política es la declaración general que representa la posición de la COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERIA S.A.S. con respecto a la protección de los activos de información (los trabajadores, contratistas, terceros, la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la Empresa y apoyan el Sistema de Gestión de Integrado, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información. A continuación se establecen las políticas que soportan el Plan de Seguridad y Confidencialidad de la información de COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERIA S.A.S. protege la información creada, procesada, transmitida o resguardada por sus procesos de la empresa, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., protege su información de las amenazas originadas por parte del personal. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., protege las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., controla la operación de sus procesos de la empresa garantizando la seguridad de los recursos tecnológicos y las redes de datos. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., implementa controles de acceso a la información, sistemas y recursos de red. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., garantiza que la seguridad sea parte integral del ciclo de vida de los sistemas de información. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., garantiza a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., garantiza la disponibilidad de sus procesos de la empresa y la continuidad de su operación basada en el impacto que pueden generar los eventos. COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas. El incumplimiento a la Política de Seguridad y Confidencialidad de la Información, traerá consigo, las consecuencias legales que apliquen a la normativa de la Empresa, incluyendo lo establecido en las normas que competen al Gobierno Nacional y Territorial en cuanto a Seguridad y Privacidad de la Información se refiere.

MARCO NORMATIVO

A continuación, se menciona la normatividad relacionada con la Protección de Datos Personales:
  • Ley 1266 de 2008
  • Ley 1581 de 2012
  • Decreto 1377 de 2013
  • Decreto 1074 del 26 de mayo de 2015 (Reglamentación Parcial de la Ley 1581).
  • Circular 02 del 3 de noviembre de 2015 de (Adición al Capítulo 2, Título V de la Circular Única de la SIC.
  • Decreto 886 de 2014 – Reglamentación del Artículo 25 de la Ley 1581: Registro Nacional de Bases de Datos.

DEFINICIONES

Actores del tratamiento de Datos Personales: Son las empresas o personas que llevan a cabo el suministro, recolección y el tratamiento de datos personales, éstos son:
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento de Datos Personales.
  • Operador de información: Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios. El operador, en cuanto tiene acceso a información personal de terceros, debe garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular, por lo tanto, no es responsable por la calidad de los datos que le sean suministrados por la fuente.
  • Titular de Datos Personales: Persona natural cuyos datos personales sean objeto de Tratamiento.
  • Causahabiente: Persona a quien le han sido transferidos los derechos de otra.
  • Fuente de Información: Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, como consecuencia de una relación comercial o de servicio y que, en razón de autorización legal, o del titular, suministra esos datos a un operador de información. El operador de información, a su vez, entregará datos personales al usuario final. Si la fuente entrega la información directamente a los usuarios y no, a través de un operador, tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos. La fuente de la información responde por la calidad de los datos suministrados al operador, y debe garantizar la protección de los derechos del titular de los datos.
  • Gestor de Datos: El colaborador de CPA que realiza el tratamiento a los datos personales.
  • Gestor de Datos Externo: Es el empleado de un tercero (Encargado), que realiza el tratamiento a las bases de datos entregadas por CPA para la realización del tratamiento.
  • Usuario: Es la persona natural o jurídica que puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario debe garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquél tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos.
  • Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de Datos Personales.
  • Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
  • Base de Datos Conjunto organizado de datos personales que sea objeto de tratamiento.
  • Cambios sustanciales a una Base de Datos: Son aquellos que se relacionen con la finalidad de la base de datos, el Encargado de Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.
  • Canales para ejercer derechos: Son los medios de recepción y atención de peticiones, consultas y reclamos que el Responsable del Tratamiento y el Encargado del Tratamiento deben poner a disposición de los Titulares de la información, con los datos de contacto respectivos, por medio de los cuales el Titular puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos personales contenidos en bases de datos y revocar la autorización que haya otorgado para el Tratamiento de los mismos, cuando esto sea posible. Estos canales deben prever, por lo menos, la posibilidad de que el Titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información, dejando constancia de la recepción y trámite de la respectiva solicitud.
  • Conducta inequívoca: Comportamiento que permite concluir de forma razonable que el Titular de Datos Personales otorgó la autorización para el tratamiento de sus datos.
  • Consulta: Proceso mediante el cual el Titular de Datos Personales puede solicitar a CPA su información personal que reposa en las bases de datos.
  • CPA o Responsable: CPA que se identifican en el numeral 8 del Capítulo V de esta Política.
  • Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, la vida sexual, y los datos biométricos.
  • Incidente de Seguridad: Se refiere a la violación de los códigos de seguridad o la pérdida o robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado.
  • Reclamo: Proceso mediante el cual los Titulares de los datos Personales o sus causahabientes, podrán solicitar a CPA, la actualización, rectificación, supresión parcial o total de la información, la prueba de la autorización o la revocatoria de la misma.
  • Registro Nacional De Bases De Datos (RNBD): Directorio público de las bases de datos personales sujetas a Tratamiento que operan en el país, administrado por la Superintendencia de Industria y Comercio y de libre consulta para los ciudadanos.
  • SIC: Superintendencia de Industria y Comercio.
  • Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
  • Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, consulta, intercambio, transferencia, uso, circulación o supresión.
  • USC: Unidad de Servicios Compartidos.

PRINCIPIOS GENERALES PARA EL TRATAMIENTO DE DATOS PERSONALES

En el Tratamiento de Datos Personales se cumplirá con los siguientes principios:
  1. Principio de finalidad: El Tratamiento de Datos Personales debe obedecer a una finalidad legítima que se informará al Titular.
  2. Principio de libertad: El Tratamiento de Datos Personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización o mandato legal o judicial que releve el consentimiento del Titular.
  3. Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
  4. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener de CPA, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
  5. Principio de acceso y circulación restringida: Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados por ellos.
  6. Principio de seguridad: La información sujeta a Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  7. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.

CATEGORIAS ESPECIALES DE DATOS

Datos sensibles:

Está prohibido el tratamiento de datos sensibles, excepto cuando:
  1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
  2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
  3. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
  4. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  5. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas para suprimir la identidad de los Titulares.

Derechos de los niños, niñas y adolescentes:

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública. Las Áreas que por la naturaleza de su gestión deban realizar este tipo de datos personales, deben aplicar los principios para la protección de los derechos fundamentales de este tipo de Titulares de Datos Personales.

Política y procedimientos para la protección de datos personales

Introducción.

Dando cumplimiento al Decreto 1377 de 2013, LA COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S. elaboró la “Política y Procedimiento de Protección de Datos”, la cual se implementará a toda información de carácter personal determinada o determinable que LA COMPAÑÍA haya reunido y procesado en el curso de sus actividades misionales y no misionales; es decir, datos personales para continuar haciéndolo de manera honesta, legal, segura y confidencial. Cada una de las personas que hayan suministrado este tipo de información personal, tendrán derecho a conocer, actualizar, rectificar sus datos personales, solicitar prueba de su consentimiento, obtener información en relación con el uso de sus datos personales, revocar su consentimiento y solicitar la supresión de esta información, con el objeto de ejercer los derechos que lo amparan según lo estipulado en el presente documento y verificar el alcance del uso de la información proporcionada. La cual podrán conocer, rectificar o eliminar mediante solicitud formal escrita remitida a LA COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., ubicada en la Calle 106 # 59-21 en la ciudad de Bogotá D.C., o al correo electrónico info@cpaingenieria.com, con el asunto “protección de datos”. LA COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S. tiene bases de datos obtenidas en el ejercicio misional y ha procesado datos personales con anterioridad a la expedición del Decreto 1377 de 2013, con dos fines básicos, el primero para la distribución de información general (análisis de información, documentación contractual, informes, boletines virtuales, invitaciones a eventos) en su mayoría con fines netamente estadísticos para proyectos de evaluaciones e investigaciones y además su respectiva socialización. Los titulares de datos personales deben tener en cuenta que si dentro de los treinta (30) días siguientes a la fecha de la comunicación no han contactado a LA COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., solicitando la eliminación de sus datos, ésta podrá continuar tratándolos para las finalidades descritas en la Política, según lo establecido en el artículo 10 del Decreto 1377 de 2013.

1. Objetivo.

Esta política de privacidad detalla cómo LA COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S. (en adelante “LA COMPAÑÍA”) manejara los datos personales recolectados o recibidos de nuestros aliados, proveedores, empleados, voluntarios, aportantes, miembros de nuestra junta directiva. Esta Política describe el proceso de recolección, recepción, tipo, uso, socialización, tiempo de almacenamiento, derechos y protección, en el que la COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S. utilizara los datos personales bajo las prácticas de privacidad establecidas por LA COMPAÑÍA.

2. Cómo recolectamos o recibimos sus datos personales:

LA COMPAÑÍA recolecta sus datos personales de varias formas, un ejemplo de ello es a través del registro de listado de asistencia a reuniones y capacitaciones, aplicación a convocatorias de carácter público socializadas en la página web y redes sociales de LA COMPAÑÍA, recepción de información para verificación, documentos adjuntos de formalización de tipo contractual en cualquiera de sus modalidades, actas y documentos de Junta Directiva, actualización de datos vía telefónica ya sea directamente o a través de terceros, posterior a esto por medio de un correo electrónico se confirma y comunica la información obtenida. Cuando se ingresa o accede a los servicios contenidos dentro del sitio web de LA COMPAÑÍA, ésta podrá recopilar información en forma pasiva a través de tecnologías para el manejo de la información, tales como “cookies”, a través de las cuales se recolecta información acerca del hardware y el software del equipo, dirección IP, tipo de explorador, sistema operativo, nombre de dominio, tiempo de acceso y las direcciones de los sitios web de procedencia; mediante el uso de éstas herramientas no se recolectan directamente datos personales de los usuarios.

3. Autorización.

LA COMPAÑÍA solicitara consentimiento previo, expreso e informado de los titulares de los datos personales sobre los que requiera realizar algún tratamiento especial a más tardar en el momento de la recolección de los datos personales. Autorización expresa mediante consentimiento del titular explícito y concreto, no serán válidas las autorizaciones abiertas y no específicas. Se requiere que el titular manifieste su voluntad de autorizar que LA COMPAÑÍA realice el tratamiento de sus datos personales. La declaración de voluntad del titular se podrá manifestar mediante las diferentes herramientas de comunicación dispuesto por LA COMPAÑÍA, tales como:

Manera Escrita:

  • Diligenciando formatos.
  • Lista de asistencia.
  • Documentos contractuales.
  • Documentos legales.
  • Documentos Directivos.
  • Envió de material soporte.

Manera Oral:

  • Conversaciones telefónicas.
  • Conversatorios.
  • Talleres.
  • Capacitaciones.
Mediante conductas inequívocas que permitan concluir que otorgó su autorización. Aceptación explicita donde se especifique los términos y condiciones de una actividad dentro de las cuales se requiera la autorización de los participantes para el tratamiento de sus datos personales. IMPORTANTE: En ningún caso LA COMPAÑÍA asimilará el silencio del Titular a una conducta inequívoca. Sin importar el medio que LA COMPAÑÍA implemente, es de vital importancia que se conserve las respectivas autorizaciones emitida por los titulares, para de esta manera poder consultarlas posteriormente; en caso de ser requeridos los datos se re verificara el consentimiento emitido al titular, mediante envió de correo electrónico informando el uso de los datos de carácter personal que reposan en custodia de LA COMPAÑÍA; en caso de no renovar la aceptación se les solicitara al titular dar a conocer de manera formal mediante correo electrónico su deseo de eliminar los datos personales de la bases de LA COMPAÑÍA.

4. Tipos de datos personales que recolectamos.

La COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., podrá recolectar los siguientes datos personales:

Datos Identificación:

  • Nombres y Apellidos.
  • Tipo de identificación personal.
  • Fecha de expedición de identificación personal.
  • Estado civil.
  • Género.

Información ubicación:

  • Dirección física o de correo electrónico.
  • Números telefónicos de contacto.
  • Datos redes sociales.

Datos sensibles de pertenencia:

  • Estado.
  • Sindicato.
  • Organizaciones étnicas.
  • Organizaciones religiosas.
  • Organizaciones culturales.

Datos sensibles de salud:

  • Patologías.
  • Exámenes.
  • Restricciones médicas.

Datos sensibles de identidad:

  • Origen.
  • Etnia.
  • Orientación sexual.

Datos sensibles de población vulnerable:

  • Minorías.
  • Desplazados.
  • Tercera edad.
  • Discapacidades.
  • Datos Socio Económicos.

Financieros:

  • Créditos.
  • Cuentas bancarias.
  • Historial crediticio.
  • Información tributaria.
  • Número de cuenta bancaria.
  • Régimen tributario

Generales:

  • Estrato.
  • Tipo de vivienda.
  • Años en la vivienda.
  • Ubicación.
  • Localidad.
  • Lugar de trabajo.
  • Edad.
  • Nacionalidad.
  • Fecha y lugar de nacimiento

Patrimoniales:

  • Ingresos y Egresos.
  • Bienes.
  • Actividad económica.

Laborales:

  • Nivel educativo.
  • Experiencia laboral.
  • Años de experiencia laboral.
  • Antecedentes judiciales.
  • Ocupaciones.
  • Profesiones.

Sistema de seguridad social:

  • EPS.
  • Caja de Compensación.
  • Fondo de Cesantías.
  • Administradora de Riesgos Profesionales.
  • Fondo de Pensiones.
Otros datos:

Acceso:

  • IP.
  • Claves.
  • Perfiles.

Gustos:

  • Gustos.
  • Hobbies.
En caso que se tenga que procesar alguno de los datos personales, LA COMPAÑÍA verificara que se cuente con el consentimiento de parte del titular que avale el uso de dichos datos personales.

5. Finalidad.

El manejo y uso de los datos personales por parte de LA COMPAÑÍA tiene como finalidad:
  • Conservar información idónea, actualizada y completa en la base de datos personales con el fin de implementarla en la gestión, las diversas actividades misionales y de apoyo.
  • Fortalecimiento de las relaciones con nuestros aliados estableciendo canales de comunicación en doble vía.
  • Dar a conocer el material de apoyo, memorias que se generen de mesas de trabajo, talleres y las diferentes actividades que socialice LA COMPAÑÍA.
  • Reportar en las entidades de control y fiscalización como la DIAN y Secretaría de Hacienda Distrital, las bases de las personas que se encuentran vinculadas económica y tributariamente a LA COMPAÑÍA.
  • Realizar convocatorias para diferentes actividades.
  • Realizar un seguimiento y análisis de nuestras iniciativas, así como de las herramientas y mecanismos dispuestos para brindar información.
  • Implementación de formularios de afiliaciones de tipo contractual.
  • Si usted opta por no permitimos hacer uso de sus datos personales, es posible que no podamos prestar los servicios mencionados anteriormente.

6. Derechos de los titulares de los datos personales.

Cada una de las personas que cuenten con datos personales en las bases de LA COMPAÑÍA, que sean objeto procesamiento, contarán con los siguientes derechos, de los cuales podrán hacer uso en cualquier momento:
  • Tener conocimiento de los datos de carácter personal que están bajo custodia de LA COMPAÑÍA y su tratamiento; el titular en el momento que lo desee puede solicitar que sus datos sean actualizados o rectificados en caso de que sea necesario o que previamente se haya expresado la no autorización de estos.
  • Requerir la autorización otorgada a LA COMPAÑÍA para el procesamiento de datos personales.
  • LA COMPAÑÍA deberá informar al titular previa autorización, el manejo que se le está dando a los datos personales.
  • El titular podrá solicitar a LA COMPAÑÍA la eliminación de los datos personales, de igual manera podrá revocar la autorización previamente otorgada por medio de comunicado escrito manera formal radicado en las instalaciones de LA COMPAÑÍA o mediante correo electrónico, según lo establecido en el numeral (12) doce de la presente política, de igual manera la supresión de la información y declinación de la revocatoria a la autorización no será procedente en caso que la información suministrada sea de carácter legal o contractual; esta debe permanecer en las bases de datos y/o archivos durante la vigencia de la relación de LA COMPAÑÍA con el titular, dado que estos fueron suministrados para dichos efectos.
  • El titular podrá acceder de manera continua y gratuita a los datos personales los cuales son objetos del tratamiento, mediante solicitud escrita a los datos de contacto de LA COMPAÑÍA especificados, medios por los cuales LA COMPAÑÍA dará respuesta a cada una de las solicitudes que se generen referente a los datos personal de los titulares en los periodos establecidos por ley.

7. Cómo protegemos sus datos personales.

Los principios de seguridad que implementara LA COMPAÑÍA para el tratamiento de los datos personales depositados en las bases serán tratados mediante implementación de las medidas técnicas, humanas y administrativas que sean necesarias para brindar seguridad, de esta manera cerrando la brecha de adulteración, plagio, perdida, consulta, uso inadecuado o fraudulento, LA COMPAÑÍA contará con la obligación y responsabilidad del manejo la cual se enfocara en los siguientes aspectos:

Almacenamiento de la información:

Los datos personales recolectados que conciernen a Proveedores, clientes, nómina y demás terceros administrativos y contables que reposarán en el programa contable (Helisa), estarán alojados en el servidor local de LA COMPAÑÍA. Las bases de datos que se encuentren en sistemas de información como programas de Microsoft Office se mantendrán en el servidor local de LA COMPAÑÍA, en el cual se habilitara una carpeta de uso específico para este fin, la cual contara con acceso restringido para los usuarios responsables del manejo de las bases de datos personales.

Acceso a la información:

El acceso a la base de datos de carácter personal será restringido; en caso de la información que reposa en el programa contable (Helisa), será administrada e implementada para efectos contractuales contables por el personal administrativo y contable encargado, los cuales cuentan con usuarios y claves predeterminadas, en algunos casos con restricciones de uso, determinadas por el Director Administrativo y Financiero.

Copias de seguridad:

La implementación de las copias de seguridad será de manera semanal, en disco externo al servidor, los cuales se encuentran bajo custodia externa de cada uno de los directores de área de LA COMPAÑÍA, en el caso del programa contable (Helisa) se implementará de manera diaria la copia de seguridad por la Asistente Contable.

8. Tiempo de conservación de datos personales

El almacenamiento de los datos personales de carácter contractual se realizara durante el tiempo necesario para cumplir el objeto para los cuales se recolecto; en el caso del manejo datos contables según lo estipulado en el libro de doctrinas contables de 1997, súper intendencia de sociedades, paginas (95,96,97) oficio 220,- 13735 del 19 de abril de 1995, donde se enuncia el artículo 60 del código del comercio, donde se señala de forma categórica que los libros y documentación debe ser conservado por diez (10) años.

9. Cómo compartimos sus datos personales

LA COMPAÑÍA no vende, alquila ni intercambia sus datos personales. LA COMPAÑÍA puede compartir sus datos personales únicamente:
  • Como soporte a las diversas actividades y/o comunicaciones con todos los temas relacionados con el objetivo misional de LA COMPAÑÍA.
  • Para cumplir con requerimientos de autoridades gubernamentales u otros terceros, si es obligatorio por disposición legal o razonablemente necesario para proteger los derechos, propiedad y seguridad de LA COMPAÑÍA o de terceros.

10. Transferencia internacional de datos.

LA COMPAÑÍA no transferirá sus datos personales; en caso de que se debe transferir LA COMPAÑÍA solicitara autorización de manera formal mediante comunicado escrito por parte de los titulares de la información.

11. Procedimiento para atención y respuesta a peticiones, consultas, quejas y reclamos de los titulares de datos personales.

Los titulares podrán realizar sus consultas e inquietudes en cuanto el uso y manejo de los datos personales, lo podrá realizar mediante correo electrónico de contacto habilitado para tal fin, LA COMPAÑÍA tendrá un plazo de diez (10) días hábiles contados a partir de la fecha de recepción del comunicado escrito para dar respuesta según sea la consulta; en el caso que el titular no haya contado con respuesta por parte de LA COMPAÑÍA, la persona encargada del manejo de la política, se contactara de manera directa con el titular por los diversos canales dispuestos para este fin; donde se les indicara el porqué de los motivos por los cuales el requerimiento no es posible tramitar; en ningún caso podrá superar los cinco (05) días hábiles siguientes al vencimiento del primer término. Para efectos de solicitud de reclamaciones se deben tener en cuenta los siguientes parámetros:
  • Descripción breve de los hechos que dan lugar al reclamo.
  • El objeto de la solicitud (actualizar, corregir, suprimir, etc.)
  • Adjuntar documentación soporte necesaria
En caso que la información solicitada no cuente con algunos de los parámetros anteriormente descritos LA COMPAÑÍA implementara solicitud formal al titular donde se especificara requerimientos o aclaraciones a la documentación inicialmente enviada; si en el lapso de cinco (5) días siguientes a la recepción del comunicado de modificaciones, cambio o correcciones solicitadas como primer plazo o plazo máximo de entrega de dos (2) meses, contados desde la presentación inicial del reclamo se dará por entendido que ha desistido del mismo. LA COMPAÑÍA contara como plazo de respuesta máximo quince (15) días hábiles los cuales serán contados a partir del día siguiente a la fecha de recepción; en caso de que no fuera posible para LA COMPAÑÍA atender la solicitud dentro de dicho término, se informará al titular los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (08) días hábiles siguientes al vencimiento del primer término.

12. Actualizaciones a la política de privacidad.

La presente política de privacidad de datos personales podrá ser actualizada o modificada en cualquier momento dado los diferentes requerimientos de carácter institucional; LA COMPAÑÍA notificara en las diferentes redes sociales, página web y otros canales de comunicación apropiados, los cuales regirán a partir de la fecha de publicación, salvo que se indique lo contrario en la notificación.

13. Cómo contactarnos.

LA COMPAÑÍA resolverá sus inquietudes, sugerencias, reclamos, actualizaciones y comentarios sobre la política de privacidad de datos personales en mención al igual que ejercer sus derechos mediante correo electrónico: info@cpaingenieria.com. Bajo el asunto: “PROTECCIÓN DE DATOS”. De manera formal mediante comunicado escrito el titular podrá remitirlo a: LA COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., en la dirección: Calle 106 #59-21. Bogotá – Colombia, en horario de oficina de lunes a viernes de 8:00 a.m. a 5:00 p.m.

CUMPLIMIENTO

El cumplimiento de la Política de Seguridad y Confidencialidad de la Información es obligatorio. Si los trabajadores de la empresa o terceros violan este plan, COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., se reserva el derecho de tomar las medidas correspondientes.

COMUNICACIÓN

Mediante socialización a todos los trabajadores de la COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERIA S.A.S. se dará a conocer el contenido del documento de las políticas de seguridad, así mismo se deberá informar a los contratistas y/o terceros en el momento que se requiera con el propósito de realizar los ajustes y la retroalimentación necesaria para dar cumplimiento efectivo al plan. Todos los trabajadores, contratistas y/o terceros de la empresa deben conocer la existencia de las políticas, la obligatoriedad de su cumplimiento, la ubicación física del documento estará a cargo del Sistema de Gestión Integrado para que sean consultados en el momento que se requieran.

RECURSOS INFORMÁTICOS

Establecer el cambio periódico de los recursos informáticos, dependiendo de la obsolescencia, la vida útil, el estado de los mismos y las necesidades de la Empresa. Se dará de baja a los equipos teniendo en cuenta el procedimiento establecido para tal fin. Exigir a los usuarios la utilización responsable y razonable de los recursos informáticos. Igualmente, el acatamiento de las medidas de control establecidas para proteger el software, el hardware y los datos. Esas medidas deben estar acorde con la importancia de los datos y la naturaleza de los riesgos.

ADMINISTRACIÓN Y CONTROL

La conexión a la red debe ser autorizada por el Profesional de Recursos Informáticos con las directrices emitidas por la Subgerencia Administrativa y Financiera. No pueden conectarse computadores, servidores, hubs, switches, routers, o cualquier otro hardware a la red sin la autorización correspondiente.

WEBSITE E INTRANET

Adoptar el Website http://www.cpaingenieria.com y la intranet como los sitios electrónicos oficiales de la empresa, para la publicación de información externa e interna. Realizar la publicación de información en la Website e intranet con la autorización de la Subgerencia Administrativa y Financiera y ejecutado por el administrador de la Web o quien haga sus veces, pero tratándose de información sobre la actividad contractual de la empresa. Cuando la información a publicar sea inherente a alguna Subgerencia específica, deberá el Subgerente o la Gerencia enviar dicha autorización. Una vez publicada, la actualización es responsabilidad del funcionario solicitante.

DERECHOS DE AUTOR LICENCIAS DE SOFTWARE

Proteger el Derecho de Autor y Derechos Conexos, de acuerdo con lo consagrado en la constitución política, los ordenamientos legales y acuerdos regionales. Emplear, en lo posible, las últimas versiones del software disponible en el mercado, para disminuir los problemas ocasionados por las diferencia de versiones. Todos los programas utilizados en los computadores de la empresa deben contar con sus respectivas licencias de uso vigentes y condiciones exigidas

CORREO ELECTRONICO

La empresa suministrara el acceso al correo electrónico y a internet, como herramientas para la realización de las labores, dependiendo de las responsabilidades y naturaleza del trabajo contratado, conforme a lo previsto en el manual de funciones. El uso inadecuado de internet constituirá una falta grave, que se clasificara como tal por la magnitud del hecho o por no atender los requerimientos de la empresa para que se cese la utilización indebida. La comprobación y las sanciones disciplinarias se realizaran conforme lo establecido en la legislación aplicable.

GESTIÓN DOCUMENTAL

Propender porque las circulares y en general comunicaciones informáticas enviadas entre los servidores de la Empresa COMPAÑÍA DE PROYECTOS AMBIENTALES E INGENIERÍA S.A.S., S.A E.S.P, se realice por medios electrónicos. Responsabilizar al funcionario de mantener consultando permanente la cuenta habilitada en el Servidor de la organización (Intranet) y atender los compromisos definidos por este medio. Cualquier comunicación registrada por otro medio, no será considerada como oficial y el funcionario responderá por las consecuencias derivadas de ello, todo documento será reconocido una vez haya sido enviado a su destinatario, el radicado de por sí solo no implica oficialización del documento y se entenderá por no tramitado, el funcionario que a sabiendas radique y no envié la comunicación responderá por las consecuencias que se deriven de dicho acto. Solamente se exceptuarán situaciones que por dificultades del sistema o fallos en las redes no permita hacer en debido registro con el sistema de gestión documental, lo que sí requeriría un registro manual y ser certificado por la persona competente. La radicación de correspondencia interna y externa que requiera imprimirse es responsabilidad de cada dirección y la oficina de gestión documental únicamente se encargara del envío local y/o nacional.

COMPUTADORES, SERVIDORES Y REDES

Prohibir a los usuarios la modificación de la configuración de hardware y software establecida por el funcionario encargado de administrar el sistema. La Subgerencia administrativa y financiera será responsable que los equipos se protejan para disminuir el riesgo de hurto, destrucción, fluctuaciones de energía, incendio y medio ambiente (por ejemplo: agua), utilizando instalaciones en condiciones adecuadas, cerraduras, vigilantes, protectores contra transitorios de energía eléctrica y, para los servidores, fuentes de poder interrumpibles (UPS). Prohibir el uso de módems en computadores que tengan conexión a la red local (LAN), para prevenir la intrusión de hackers a través de las puertas traseras. Todas las comunicaciones de datos deben efectuarse a través de la red LAN de la empresa.

CUENTAS DE LOS USUARIOS

Exigir que la solicitud de una nueva cuenta o el cambio de privilegios se haga a través del funcionario encargado de la Subgerencia. Cuando la empresa vincula a un nuevo trabajador este debe firmar un documento donde declara conocer las políticas informáticas y de seguridad de la información y acepta las responsabilidades. No debe concederse una cuenta a personas que no sean empleados de la empresa, a menos que estén debidamente autorizados por la Subgerencia correspondiente. En este caso, la persona debe firmar un documento donde declare conocer las políticas informáticas y de seguridad de la información y acepta sus responsabilidades.

IDENTIFICACION, CONTRASEÑAS Y AUTORIZACIONES

Todos los usuarios que acceden a los sistemas de información requieren de un único e intransferible identificador, el cual será proporcionado como parte del proceso de autorización. Los identificadores concedidos deberán eliminarse o deshabilitarse, por solicitud de la Subgerencia, cuando cese la vinculación del usuario con la empresa en forma permanente o temporal, o cuando se presente un uso indebido. De esta manera, todas las acciones realizadas con un identificador de usuario son responsabilidad del titular del mismo.

SEGURIDAD FISICA Y DEL ENTORNO

Implantar los controles de seguridad apropiados para el ingreso a las instalaciones de la empresa de trabajadores, contratistas y terceros. El acceso de personal contratista, se debe autorizar una vez se haya formalizado el contrato y de acuerdo con los controles de seguridad definidos. Se debe exigir al personal contratista, cumplir igualmente con las políticas, procesos procedimientos establecidos en la empresa. Esta guía, proporciona la metodología establecida por la Empresa para la administración y gestión de los riesgos a nivel de procesos; orienta sobre las actividades a desarrollar desde la definición del contexto estratégico, la identificación de los riesgos, su análisis, valoración y la definición de las opciones de manejo que pueden requerir la formulación de acciones adicionales para garantizar una adecuada gestión del riesgo.

ACTIVIDADES

  1. Revisión de la Política de Seguridad y Confidencialidad de la información.
  2. Creación de Comité de Seguridad y Privacidad de la Información.
  3. Implementación de las Políticas de la Seguridad de la información. 3.1. Entrevistar con los líderes de los Procesos.
  4. Aprobación y adopción de las políticas de seguridad y privacidad de la información.
  5. Aspectos de seguridad y privacidad de la información en la gestión de continuidad del negocio.
  6. Seguimiento y Control de las políticas.
En CPA Ingeniería usamos cookies para asegurar que te damos la mejor experiencia en nuestra web. Si continúas usando este sitio, asumiremos que estás de acuerdo con ello.
Aceptar