PR-ADM-007 - Ver - 2 - Protección de Datos Personales

PROCEDIMIENTO PARA EL TRATAMIENTO DE
DATOS PERSONALES
PR-ADM-007
Versión 2 – Junio, 2019
Titulo Procedimiento para el tratamiento de datos personales Versión 2
Código PR-ADM-007 Fecha de Versión Junio 2019
1. INTRODUCCION
Carlos Alberto Guzmán, identificado con cédula de ciudadanía No. 80.760.774, con domicilio
principal en la Calle 72 No. 7-64, Bogotá D.C., en su calidad de Gerente General de Bureau
Veritas Colombia (en adelante “Bureau Veritas1”) en el marco del desarrollo de sus operaciones,
reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos personales de
sus trabajadores, clientes, proveedores, en general, de todos sus agentes de interés respecto de
los cuales ejerce tratamiento, por lo que en cumplimiento a los mandatos constitucionales y
legales emite el presente procedimientos para el tratamiento de datos personales.
2. CONDICIONES PRELIMINARES
El Artículo 15 de la Constitución Política de la República de Colombia establece que cualquier

persona tiene derecho a conocer, actualizar y rectificar los datos personales que existan sobre
ella en bancos de datos o en archivos de entidades públicas o privadas. El artículo citado ordena
a quienes tienen datos personales de terceros, respetar los derechos y garantías previstos en la
Constitución cuando se recolecta, trata y circula esa clase de información.
Con el fin de desarrollar las garantías constitucionales a las que se refiere el artículo citado, así
como el derecho a la información consagrado en el artículo 20 de la Constitución Política, el
congreso nacional expidió la ley estatutaria 1581 de 2012, mediante la cual se establecen los
principios y disposiciones que son aplicables al tratamiento de datos personales.
De conformidad con lo anterior, el tratamiento de datos personales realizado por Bureau Veritas
se debe regir por el régimen colombiano de protección de datos personales establecido por la ley
citada, sus decretos reglamentarios y demás normatividad que la complemente, modifique o
derogue. Para este fin, de acuerdo con lo establecido en el literal f) del Artículo 18 de la Ley
1581, Bureau Veritas adopta este procedimiento para garantizar el adecuado cumplimiento del
Régimen Colombiano de Protección de Datos Personales.
3. OBJETIVO
Definir los lineamientos generales para la aplicación, monitoreo, sostenimiento y mejora continua
de las políticas y procedimientos internos asociados al tratamiento de los datos personales en
Bureau Veritas.
4. ALCANCE
El presente procedimiento aplica para todas las actividades que desarrolle Bureau Veritas y que
conlleven el tratamiento de datos personales en los términos del régimen colombiano de
protección de datos personales y, en particular, al tratamiento de datos personales desarrollado
en el ámbito nacional y a aquellas que generen flujos de dicha información hacia el exterior.
1
La referencia Bureau Veritas incluye a las entidades en Colombia a saber BVQI Colombia Ltda., ECA Consultorías e Interventorías de Colombia
S.A.S., PRI Colombia S.A.S., Tecnicontrol S.A.S.
La impresión de este documento se considera COPIA NO CONTROLADA Página 2 de 26

5. DEFINICIONES
Para efectos de la correcta y apropiada interpretación de este procedimiento, es necesario tener

presente los conceptos que se enuncian a continuación:
Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al

Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la
existencia de las Políticas de Tratamiento que le serán aplicables, la forma de acceder a las
mismas y las finalidades del tratamiento que se pretende dar a sus datos personales.
Autorización: Consentimiento previo, expreso e informado del Titular de los Datos Personales
para llevar a cabo el Tratamiento de los mismos.
Base de Datos Personales: Conjunto organizado de Datos Personales que sea objeto de
Tratamiento.
Consulta: Solicitud del Titular del Dato, o de personas autorizadas por éste o por la ley, para
conocer la información que reposa sobre el Titular en bases de datos o archivos.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o a varias
personas naturales determinadas o determinables. Se entiende por “Dato personal” una
información relacionada con una persona natural (persona individualmente considerada). Son
algunos ejemplos de datos personales los siguientes: nombre, número de identificación
ciudadana, dirección postal, dirección de correo electrónico, número telefónico, estado civil, datos
de salud, huella dactilar, salario, bienes, estados financieros, etc. Los Datos Personales se
clasifican en públicos, privados, semiprivados y sensibles, entre otras clasificaciones.
Dato Personal Privado: Cualquier Dato Personal que sólo puede ser conocido por el Titular o su
entorno más cercano, a menos que exista expresa Autorización para su divulgación.
Dato Personal Público: Es el Dato Personal distinto de los semiprivados, privados o sensibles.
Son considerados Datos Públicos, entre otros, los datos relativos al estado civil de las personas,
a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los
Datos Públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén
sometidas a reserva.
Dato Personal Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada,
ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto
sector o grupo de personas o a la sociedad en general. Ejemplo de estos Datos Personales son
los relativos al comportamiento financiero y crediticio comercial y de servicios administrados por
las centrales de riesgo.
Dato Personal Privado Sensible: Cualquier Dato Personal relacionado directamente con la
esfera íntima del Titular. En general, el uso indebido de Datos Personales sensibles puede ser

fuente de discriminación. Los Datos Personales relativos a la salud, la vida sexual, la orientación
política y los Datos Personales biométricos son considerados Dato Personal Sensible.
Dato Sensible: Aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar
su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política,
las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que garanticen los
derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a
la vida sexual y los datos biométricos, entre otros, imagen personal fija o en movimiento, las
huellas digitales, las fotografías, el iris, el registro de la voz, facial o de palma de mano, etc.
Encargado: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
Oficial de protección de datos: Es la persona designada para ejercer la función de vigilancia y

control de la aplicación del Régimen Colombiano de Protección de Datos Personales al interior de
Bureau Veritas, cuyas funciones se precisan en este procedimiento.
Reclamo: Solicitud del Titular del Dato Personal, o de las personas autorizadas por éste o por la
ley para corregir, actualizar o suprimir sus Datos Personales o para revocar la Autorización en los
casos establecidos en la ley.
RCPDP: Es el Régimen Colombiano de Protección de Datos Personales, conformado, en la

fecha de expedición de este procedimiento, por la Ley Estatutaria 1581 del 2012, la Ley 1266 de
2008 y el Decreto 1074 de 2015, así como cualquier norma que en el futuro modifique, sustituya,
adicione o complemente las leyes y el decreto antes enunciados.
Responsable: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, decide sobre la base de datos y/o el Tratamiento de los datos.
Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
Transferencia: La Transferencia de Datos Personales tiene lugar cuando el Responsable y/o

Encargado envían los Datos Personales a un receptor, que en adelante será Responsable del
Tratamiento (aún si se encuentra fuera del país, caso en que la Transferencia será considerada
Transferencia Internacional en los términos de la Ley 1581 de 2012).
Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos

dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de
un Tratamiento por el Encargado por cuenta del Responsable.
Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales

como su recolección, almacenamiento, uso, circulación o supresión.

6. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES
Para el tratamiento de datos personales, Bureau Veritas aplicará los principios que se mencionan
a continuación y que han sido previstos por el RCPDP como los lineamientos que deben orientar
su recolección, manejo, uso, tratamiento, almacenamiento e intercambio:
Legalidad: La recolección, manejo, uso, tratamiento, almacenamiento, e intercambio de datos

personales deberá realizarse conforme a las disposiciones previstas en el RCPDP.
Finalidad: Los datos personales recolectados deben ser utilizados para un propósito específico y
explícito el cual debe ser informado al titular o permitido por la ley. Se deberá informar al titular
del dato personal, de manera clara, suficiente y previa acerca de la finalidad de la información
suministrada. Por ello, no podrán recopilarse datos sin la clara especificación acerca de la
finalidad de los mismos. Los datos deben ser tratados sólo en la forma que el titular puede
razonablemente prever a partir de los usos autorizados.
Libertad: La recolección de los datos personales sólo podrá ejercerse con la autorización, previa,
expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin el
previo consentimiento del titular, según lo previsto para las normas aplicables. Para obtener la
autorización del titular del dato personal, se utilizarán los formatos y documentos establecidos por
Bureau Veritas. En ningún caso puede entenderse que el silencio del titular constituye
Autorización.
Veracidad o Calidad: La información sujeta al tratamiento debe ser veraz, completa, exacta,
actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos personales
parciales, incompletos, fraccionados o que induzcan a error.
Transparencia: En el tratamiento de datos personales debe garantizarse a los titulares, el

derecho de acceso y conocimiento de la información de carácter personal que esté siendo
tratada, de conformidad con lo establecido por el RCPDP.
Acceso y circulación restringida: El Tratamiento de datos personales sólo podrá realizarse por
las personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos
personales, salvo los públicos, no podrán estar disponibles en Internet u otros medios de
divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley.
Seguridad: La información sujeta a tratamiento se deberá manejar adoptando todas las medidas
de seguridad que sean necesarias para evitar su pérdida, adulteración, consulta, uso o acceso no
autorizado o fraudulento. Los funcionarios que intervengan en el tratamiento de datos personales
deberán cumplir con las medidas técnicas, humanas y administrativas que establezca Bureau
Veritas para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta,
uso o acceso no autorizado o fraudulento.
Confidencialidad: Todos los funcionarios que trabajen en Bureau Veritas están obligados a
guardar reserva de la información, inclusive después de finalizada su relación con alguna de las

labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley o por el
titular del dato.
7. TRATAMIENTO DE DATOS PERSONALES
7.1. Lineamientos Generales de Tratamiento de Datos Personales Según su Tipo
7.1.1. Datos personales públicos
De conformidad con lo previsto por el RCPDP, el tratamiento de datos personales públicos no

requiere la autorización previa del titular. No obstante lo anterior, respecto de dichos datos, las
instrucciones y políticas contenidas en este procedimiento son aplicables a los datos personales
públicos para que Bureau Veritas pueda garantizar el cumplimiento de los otros principios y
obligaciones contemplados en el RCPDP.
7.1.2. Datos personales sensibles
Bureau Veritas restringirá el tratamiento de datos personales sensibles a aquellos procesos y

actividades en los que sea estrictamente indispensable para su adecuado desarrollo.
Para efectos del tratamiento de datos personales sensibles, Bureau Veritas:
 Informará al titular que, por tratarse de datos personales sensibles, no está obligado a
autorizar su tratamiento en tanto la autorización es facultativa de conformidad con lo
previsto por el RCPDP.
 Informará al titular, de forma explícita y previa, cuáles datos objeto de tratamiento son de
carácter sensible y la finalidad de su tratamiento.
 Se abstendrá de dar tratamiento a datos personales sensibles siempre que el titular no
haya manifestado expresamente su autorización.
 Se abstendrá de condicionar actividades a que el titular suministre datos personales
sensibles (salvo que exista una causa legal o contractual para hacerlo).
Así mismo, Bureau Veritas se abstendrá de efectuar tratamiento de datos personales sensibles,
salvo en los siguientes casos:
a. Cuando el titular ha autorizado expresamente el tratamiento.

b. Cuando el tratamiento sea necesario para salvaguardar el interés vital del titular.
c. El tratamiento sea necesario para el reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial.
d. El tratamiento obedezca a una finalidad histórica, estadística o científica, caso en el cual se
suprimirán las identidades de los titulares.

7.1.3. Datos personales de menores de edad
Bureau Veritas, en su calidad de responsable del tratamiento de datos personales de niños, niñas
y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin, deberán
aplicarse los principios y obligaciones establecidos en el RCPDP y, en particular, Bureau Veritas
se obliga a que el tratamiento de los mismos siempre responda y respete el interés superior de
los niños, niñas y adolescentes y asegure el respeto de sus derechos fundamentales.
El tratamiento de datos personales de menores de edad requiere, en todo caso, el otorgamiento

de autorización de tratamiento suscrita por el representante legal o tutor del niño, niña o
adolescente. De conformidad con el RCPDP, éstos deberán otorgar la autorización previo
ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en
cuenta la madurez, autonomía y capacidad para entender el asunto.
8. POLITICA DE TRATAMIENTO DE DATOS PERSONALES DE BUREAU

VERITAS
Hace parte integral del presente documento la política de tratamiento de datos personales de
Bureau Veritas. Ver F10-PR-ADM-007.
9. OFICIAL DE PROTECCIÓN DE DATOS PERSONALES
Según lo previsto por el RCPDP, los responsables deben adoptar políticas que garanticen la
existencia de una estructura administrativa, proporcional a su tamaño empresarial, que les
permita adoptar e implementar adecuadamente un programa integral de gestión de datos
personales.
En línea con lo anterior, Bureau Veritas ratifica su compromiso con la implementación de un

programa integral de gestión de datos personales y, en particular, en la adopción de medidas y
políticas internas que garanticen el fortalecimiento de una cultura de respeto a la protección de
datos personales y el respeto de los derechos de sus titulares.
De conformidad con lo previsto por el Artículo 23 del Decreto 1377 de 2013 (hoy recogido en el
Decreto 1074 de 2015), todo responsable debe designar a una persona o área que “asuma la
función de protección de datos personales”, área que “dará trámite a las solicitudes de los
titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente
Decreto”.
9.1. Designación del Oficial de Protección de Datos Personales
Las funciones del oficial de protección de datos de Bureau Veritas estarán a cargo del área legal
de la compañía.
Para el ejercicio de dichas funciones, Bureau Veritas ha dispuesto el correo

[email protected] como canal de comunicación y notificación de todas las

consultas, reportes, denuncias y demás cuestiones relacionadas con la protección de datos

personales al interior de Bureau Veritas y las propias de la gestión de sus funciones y de la
implementación del programa integral de gestión de datos personales.
9.2. Funciones
El área legal, en ejercicio de las funciones propias de un oficial de protección de datos

personales, tendrá como funciones principales velar por la implementación efectiva de las
políticas y procedimientos adoptados por Bureau Veritas para dar cumplimiento al RCPDP, y
hacerse cargo de la estructuración, diseño y administración del programa integral de gestión de
datos personales.
Funciones específicas:
El Oficial de Protección de Datos Personales de Bureau Veritas será el responsable de:
i. Gestionar el adecuado trámite que deberá surtir cualquier reclamo o consulta que, de
conformidad con lo establecido en el presente procedimiento, formulen los titulares y, en
desarrollo de lo anterior:
 Verificar que la información recibida por parte del peticionario sea suficiente para poder
darle respuesta.
 Evaluar la necesidad de prorrogar el plazo para dar respuesta a las consultas o
reclamos.
 Canalizar la reclamación al interior de Bureau Veritas según corresponda (ej. al área
jurídica, al área de inteligencia de la información etc.).
 Proyectar la respuesta de la consulta o reclamo.
 Enviar las respuestas a los peticionarios en los términos previstos por el RCPDP y el
presente procedimiento.
ii. Asegurar el cumplimiento de la política de tratamiento de datos personales de Bureau

Veritas y del presente procedimiento.
iii. Apoyado por el área de tecnología, estructurar, diseñar y administrar el programa integral
de gestión de datos personales en línea con las indicaciones que para el efecto apruebe la
junta directiva y la presidencia.
iv. Mantener informada a la presidencia del estado de avance en la implementación del
programa integral de gestión de datos personales, mediante la entrega de reportes
trimestrales en donde se presente el detalle pormenorizado de las actividades realizadas,
las pendientes, el tiempo en que cada una de ellas se llevará a cabo y los recursos
requeridos para ese fin.
v. Preparar reportes anuales del avance de la implementación y el funcionamiento del
programa integral de gestión de datos personales para ser presentados en la asamblea
general de accionistas de Bureau Veritas.
vi. Implementar un programa de formación en protección de datos personales al interior de
Bureau Veritas y velar por la realización de actividades de capacitación permanente de sus
colaboradores. La ejecución del programa de formación deberá incluir indicadores de

participación y desempeño de los colaboradores, los cuales deberán integrarse con los
demás aplicables a los colaboradores según se diseñe e implemente conjuntamente con el
área de recursos humanos de Bureau Veritas.
Como parte de esta función, el oficial de protección de datos personales de Bureau Veritas
supervisará el entrenamiento de nuevos colaboradores en el adecuado tratamiento de
datos personales y, en especial, las obligaciones particulares que deberá cumplir en razón
de su cargo.
vii. Auditar el cumplimiento de las distintas áreas de Bureau Veritas respecto del adecuado
cumplimiento del RCPDP y las políticas contenidas en este procedimiento y las que se
deriven de la implementación del programa integral de gestión de datos personales.
viii. Desarrollar, con el apoyo del área de tecnología, los controles que sean requeridos para
garantizar la implementación y efectividad del programa integral de gestión de datos
personales y el estricto cumplimiento de las obligaciones a cargo de Bureau Veritas bajo el
RCPDP, y en particular:
 Coordinar y promover la definición e implementación de un sistema de administración de

riesgos de Bureau Veritas asociados al tratamiento de datos personales.
 Coordinar y promover la definición e implementación de controles del programa integral
de gestión de datos personales.
 Servir de enlace y coordinar con las demás áreas de Bureau Veritas para asegurar la
implementación transversal del programa integral de gestión de datos personales.
ix. Mantener el inventario de bases de datos personales de Bureau Veritas permanentemente

actualizado. Para tal fin, llevará a cabo auditorías semestrales.
x. Validar la creación de bases de datos personales y registrarlas en el registro nacional de
bases de datos de la Superintendencia de Industria y Comercio.
xi. Actualizar la información del registro nacional de bases de datos siempre que a ello haya
lugar de conformidad con la ley aplicable.
xii. Administrar los contratos de transferencia internacional de datos personales o gestionar las
declaraciones de conformidad, según sea necesario de conformidad con el RNBD.
xiii. Atender las consultas que se formulen al interior de la organización respecto del programa
integral de gestión de bases de datos y el RCPDP.
xiv. Confirmar las responsabilidades de cada área de Bureau Veritas en relación con el
tratamiento de datos personales a su cargo, y establecer indicadores de cumplimiento para
la verificación periódica de cumplimiento.
xv. Atender las visitas de la Superintendencia de Industria y Comercio relacionadas con la
supervisión del RCPDP al interior de la organización.

10. PROCEDIMIENTO DE ATENCIÓN DE CONSULTAS Y RECLAMOS POR

PARTE DE LOS TITULARES
10.1. Objeto
Determinar los mecanismos, procedimientos, instancias y actividades aplicables para la

atención de consultas y reclamos realizados por los titulares ante el oficial de protección de
datos personales de Bureau Veritas en el ejercicio del derecho fundamental de hábeas data.
10.2. Alcance
Este procedimiento abarca todas las actuaciones que se deben adelantar con ocasión de las
consultas y reclamaciones que se presenten ante Bureau Veritas en relación con el tratamiento
de datos personales realizado al interior de la misma.
10.3. Derechos de los Titulares
El procedimiento de atención de consultas y reclamos tendrá como fin último garantizar a los
titulares el ejercicio de los siguientes derechos:
i. Derecho de acceso: Bureau Veritas garantiza el derecho de acceso conforme a lo

previsto en el RCPDP, solamente a los titulares de datos personales privados, previa
acreditación de la identidad del titular, legitimidad, o personalidad de su representante,
poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada
y detallada, los respectivos datos personales tratados, a través de cualquier medio de
comunicación, incluyendo los electrónicos que permitan el acceso directo del titular.
Dicho acceso, se sujeta a los límites establecidos en el RCPDP.
ii. Derecho de consulta: Los titulares de los datos personales podrán consultar la
información de carácter personal que repose en cualquier base de datos de Bureau
Veritas. En consecuencia, ésta garantiza el derecho de consulta conforme a lo dispuesto
en el RCPDP exclusivamente sobre los datos personales privados, sensibles y de
menores, suministrando a los titulares de estos datos la información contenida en cada
una de las bases de datos correspondientes y que estén bajo el control de Bureau
Veritas.
Bureau Veritas, por conducto del oficial de protección de datos personales, establecerá
las medidas de autenticación que permitan identificar de manera segura al titular que
realiza la consulta o reclamo.
iii. Derecho a reclamar: Los titulares de datos personales privados contenidos en una base
de datos podrán presentar reclamaciones cuando consideren que la información allí
almacenada puede ser objeto de corrección, actualización o supresión, o cuando
adviertan el presunto incumplimiento de cualquiera de los deberes y principios contenidos
en el RCPDP.

Bureau Veritas cuenta con las medidas de autenticación necesarias que permiten
identificar de manera segura al titular de los datos personales que realiza el reclamo.
iv. Derecho a la rectificación y actualización de datos Bureau Veritas se obliga a rectificar y

actualizar a solicitud del titular, los datos personales que resulten incompletos o
inexactos, de conformidad con el procedimiento y los términos que se señalan a
continuación.
Al respecto, se precisa lo siguiente:
 En las solicitudes de rectificación y actualización de datos personales, el titular debe

indicar las correcciones a realizar y aportar la documentación que avale su petición.
 Bureau Veritas tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio
de este derecho, siempre y cuando beneficien al titular de los datos personales. En
consecuencia, se podrán habilitar medios electrónicos u otros que Bureau Veritas
considere pertinentes y seguros.
 Bureau Veritas podrá establecer formularios, formatos, sistemas y otros métodos, que
serán informados en el aviso de privacidad y la política de tratamiento y que se
pondrán a disposición de los interesados en la página web u oficinas de Bureau
Veritas.
v. Derecho a la supresión de datos: El titular de datos personales, tiene derecho a solicitar a

Bureau Veritas, la supresión (eliminación) de sus datos personales, siempre y cuando, en
el tratamiento de los mismos no se respeten los principios, derechos y garantías
constitucionales y legales.
En todo caso, la supresión procederá cuando la Superintendencia de Industria y

Comercio haya determinado que el responsable o encargado ha incurrido en conductas
contrarias al RCPDP y, en particular:
 Que los mismos no estén siendo tratados conforme a los principios, deberes y
obligaciones previstas en el RCPDP.
 Que hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron
recabados.
 Que se haya superado el periodo necesario para el cumplimiento de los fines para los
que fueron recogidos.
Esta supresión implica la eliminación o borrado seguro, total o parcial, de la información

personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de
datos o tratamientos realizados por Bureau Veritas.
El derecho de supresión no es un derecho absoluto. Bureau Veritas, como responsable

del tratamiento, puede negar o limitar el ejercicio del mismo cuando:
 El titular tenga el deber legal o contractual de permanecer en la base de datos.

 La eliminación obstaculice actuaciones judiciales o administrativas vinculadas a

obligaciones fiscales, la investigación y persecución de delitos o la actualización de
sanciones administrativas.
 Los datos personales sean necesarios para proteger los intereses jurídicamente
tutelados del titular; para realizar una acción en función del interés público, o para
cumplir con una obligación legalmente adquirida por el titular.
 Los datos sean datos de naturaleza pública.
vi. Derecho a revocar la autorización: Todo titular puede revocar en cualquier momento, el
consentimiento al tratamiento de sus datos personales, siempre y cuando no lo impida
una disposición legal o contractual. Para ello, Bureau Veritas ha establecido mecanismos
sencillos y gratuitos que le permiten al titular revocar su consentimiento.
En los casos que sea posible la revocatoria de la autorización, la misma podrá tener
efecto sobre la totalidad de finalidades consentidas, o sobre algunas de ellas. En este
caso, Bureau Veritas deberá suspender parcialmente el tratamiento de los datos
personales para las finalidades indicadas por el titular y continuar el tratamiento respecto
de las remanentes.
El derecho de revocatoria no es un derecho absoluto. Bureau Veritas, como responsable

del tratamiento de datos personales, puede negar o limitar el ejercicio del mismo cuando:
 El titular de los datos tenga el deber legal o contractual de permanecer en la base de

datos.
 La revocatoria de la autorización del tratamiento obstaculice actuaciones judiciales o
administrativas vinculadas a obligaciones fiscales, la investigación y persecución de
delitos o la actualización de sanciones administrativas.
 Los datos sean necesarios para proteger los intereses jurídicamente tutelados del
titular; para realizar una acción en función del interés público, o para cumplir con una
obligación legalmente adquirida por el titular.
 Los datos sean de naturaleza pública.
10.4. Términos de Respuesta
TIPO DE ACTUACIÓN TÉRMINO

Diez (10) días hábiles contados a partir de la fecha en que fue recibida la consulta,
Consultas
prorrogables por cinco (5) días más cuando esto aplique.
Quince (15) días hábiles contados a partir de la fecha en que fue recibida la
Reclamos
consulta, prorrogables por ocho (8) días más cuando esto aplique.
10.5. Recepción de la Consulta o Reclamo
El presente procedimiento se activa con la recepción de una consulta o reclamo que sea
realizada por un titular por cualquiera de los medios dispuestos por Bureau Veritas, los cuales
se enuncian a continuación:

a) Por escrito: La consulta o reclamo podrá ser presentada por medio escrito en cualquiera
de los siguientes canales:
i. Dirección física: En la 72 No. 7-64, en la ciudad de Bogotá D.C.

ii. Correo electrónico: [email protected]
b) Verbalmente: Llamando a la línea de atención al teléfono 3129191 en Bogotá D.C.
Al momento de recibir la consulta o reclamo, las siguientes acciones deben ser realizadas:
 Si es recibida por escrito, bien sea por correo electrónico o en la dirección física, la
consulta o reclamo deberá ser direccionada por parte del funcionario que la reciba, al
oficial de protección de datos personales.
 Si es recibida de forma verbal, el funcionario que atienda la consulta o reclamo deberá
diligenciar el formato de seguimiento de consultas y reclamos (anexo adjunto) en el cual
deberá suministrar la siguiente información, a fin de verificar si la información es
completa para dar trámite a la consulta o reclamo:
ÁREA RESPONSABLE ACTIVIDAD

i. Fecha de recepción de la consulta o reclamo.
ii. Nombre, número de identificación, teléfono y dirección del titular que
realiza la consulta o reclamo.
iii. Tipo actuación (si es consulta o reclamo).
iv. Alcance de la actuación.
Funcionario que recibe la
v. Si quien hace la consulta o reclamo no es el titular, deberá quedar
Consulta o Reclamo
constancia de la calidad en la cual la persona que está adelantando la
actuación lo está haciendo (apoderado, representante legal,
causahabiente).
vi. Descripción de la actuación, detallando las razones dadas por el titular y
que dieron lugar a la consulta o reclamo.
Gestión del oficial de protección de datos personales
En el momento en que el oficial de protección de datos personales recibe la reclamación para

su gestión, deberá llevar a cabo las siguientes actividades:
a) Cuando se trate de Consultas:

i. Evaluar el alcance de la consulta para determinar si es posible dar respuesta
en el término legal y, de no ser así, informar por escrito al titular las razones
que imposibilitan dar solución a su consulta en el término de diez (10) días y
señalar la fecha en la que será respondida su consulta, la cual no podrá
Oficial de Protección de Datos superar los cinco (5) días hábiles siguientes.
Personales ii. Elevar el requerimiento de la información necesaria para atender la consulta
al área que corresponda y que tenga alguna relación con las razones que la
motivaron (ej. El área que contactó al titular, el área que utiliza en sus
actividades los datos del titular, etc.), para que suministren la información
requerida dentro de los dos (2) días siguientes a la elevación del


requerimiento por parte del Oficial de Protección de Datos Personales.
iii. Una vez sea obtenida la información requerida para responder la consulta, el
proyecto de respuesta junto con todos los soportes, deberá ser enviado al
asesor jurídico externo dentro de los dos (2) días siguientes a la obtención
de la información, para su validación y aprobación, la cual deberá ser
realizada dentro de los cuatro (4) días siguientes a su recepción, tiempo en
el cual podrá realizar cambios al proyecto de respuesta.
iv. En caso de que el asesor jurídico externo realice alguna observación que
conlleve un cambio, esta deberá ser informada al oficial de protección de
datos personales para su conocimiento.
v. Una vez recibida la respuesta con la validación del asesor jurídico externo,
esta deberá ser enviada al titular a más tardar al día siguiente.
Las Consultas deben tener, como mínimo, la siguiente información:
 El nombre y dirección de contacto del Titular o cualquier otro medio para recibir la
respuesta.
 Los documentos que acrediten la identidad y capacidad de su representante, tal como se
indica en los siguientes casos:
 Titular: Documento de identificación.

 Causahabiente: Registro civil y documento de identificación.
 Representante legal en caso de menores:
o Padres de familia: Registro civil de nacimiento y documento de identidad.
o Tutores: Sentencia judicial que confiere representación legal.
 Representante legal autorizado por el titular: Poder autenticado.
 La descripción clara y precisa de los Datos Personales respecto de los cuales el Titular
busca ejercer el derecho de consulta.
 La descripción clara y precisa de la Consulta que realiza el Titular de información, sus
causahabientes o representantes.
 Aportar la documentación que avale su petición en caso que por la naturaleza del dato
sea procedente.
 En caso dado, otros elementos o documentos que faciliten la localización de los Datos
Personales.
b) Cuando se trate de Reclamos

i. Marcar en la base de datos al titular con la leyenda “reclamo en trámite”.
ii. Evaluar el alcance del reclamo para determinar si es posible dar respuesta
en el término legal y, de no ser así, informar por escrito al titular las razones
que imposibilitan dar solución a su reclamación en el término de quince (15)
Oficial de Protección de Datos días y señalar la fecha en la que será respondida su consulta, la cual no
Personales podrá superar los ocho (8) días hábiles siguientes.
iii. Elevar el requerimiento de la información necesaria para atender el reclamo
al área que corresponda y que tenga alguna relación con las razones que la
motivaron (ej. El área que contactó al titular, el área que utiliza en sus


actividades los datos del titular, etc.), para que suministren la información
requerida dentro de los tres (3) días siguientes a la elevación del
requerimiento por parte del oficial de protección de datos personales.
iv. Una vez sea obtenida la información requerida para responder la consulta,
el proyecto de respuesta, junto con todos los soportes deberá ser enviado al
asesor jurídico externo dentro de los tres (3) días siguientes a la obtención
de la información, para su validación y aprobación, la cual deberá ser
realizada dentro de los cinco (5) días siguientes a su recepción, tiempo en
el cual podrá realizar cambios al proyecto de respuesta.
v. Una vez recibida la respuesta con la validación del asesor jurídico externo,
esta deberá ser enviada al titular dentro de los dos (2) días siguientes.
10.6. Gestión del Área que Suministra la Información Requerida para Atender la
Consulta o Reclamo
Una vez el oficial de protección de datos personales eleva el requerimiento de la información

necesaria para atender la consulta o reclamo, el área que suministra la información requerida
para atender la consulta o reclamo tendrá un plazo de dos (2) días para entregar la información
cuando se trate de consultas, y de tres (3) días cuando se trate de reclamos.
Para efectos de dar curso en término a la consulta o reclamo formulados por el titular, el área
encargada de suministrar la información requerida para atender la consulta o reclamo, deberá
proporcionar al oficial de protección de datos personales, como mínimo, la siguiente
información:
 Origen de los datos personales del titular;

 Datos personales a disposición de Bureau Veritas y sujetos a tratamiento;
 Copia de la autorización suscrita, de ser aplicable y en caso de encontrarse bajo la
custodia del área;
 Último contacto realizado con el titular y, de ser por escrito, copia del mismo.
10.7. Procedimiento
El procedimiento que a continuación se describe, está ilustrado en el flujograma del

procedimiento de consultas y reclamos de tratamiento de datos personales de Bureau Veritas
que se presenta a continuación:

FLUJOGRAMA DEL PROCEDIMIENTO DE CONSULTAS Y RECLAMOS DE TRATAMIENTO DE DATOS PERSONALES

Por escrito
Funcionario
que recibe la Inicio Recepción de la
consulta o reclamo Direccionamiento al área o
consulta o Diligenciamiento del formato
Verbalmente de seguimiento de consultas y persona encargada del
reclamo
reclamos tratamiento de datos personales
Si Envío de comunicación
Área o informando al titular las razones
Recepción de la por las que es necesaria la
persona consulta o reclamo ¿Es necesario Recepción de la Envío del proyecto
solicitar prorroga de respuesta a Envío de la
encargada con la información Evaluar información y
alcance de la prorroga en preparación del validación del área respuesta al
del recolectada al plazo de proyecto o de jurídica o asesor titular
consulta
tratamiento momento en que respuesta? Elevar requerimiento de la respuesta jurídico externo
de datos llegó a la compañía información requerida para dar
respuesta a la consulta o
personales No
reclamo Fin
Área que
suministra la Recepción de la Entrega de la información al área
información solicitud de o persona encargada del
requerida información tratamiento de datos personales
para
responder
Área juridica
Revisión del proyecto de
o asesor respuesta y envío con cambios y
Recepción del
juridico proyecto de visto bueno al área o persona
externo respuesta encargada del tratamiento de
datos personales

10.8. Formato de Seguimiento de Consultas y Reclamos
Ver formato F13-PR-ADM-007 – Seguimiento de consultas y reclamos protección de datos.
11. CRITERIOS PARA LA DEFINICIÓN DE BASES DE DATOS PERSONALES
Como parte de los lineamientos para el adecuado tratamiento de los datos personales al
interior de Bureau Veritas, a continuación se describen los criterios definidos por Bureau
Veritas para la conceptualización e identificación de las bases de datos que integran su ciclo
de tratamiento de información personal:
BASES DE DATOS PERSONALES
El Registro Nacional de bases de datos es el directorio público de las BD sujetas a tratamiento que
operan en el país; que es administrado por la SIC.
Una base de datos es un conjunto organizado de datos personales objeto de tratamiento.
Todas las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual se
realicen por personas naturales o jurídicas, públicas o privadas, en el territorio Colombiano (o fuera de él,
si al responsable o encargado del tratamiento le es aplicable la Ley colombiana en virtud de tratados
internacionales). Es susceptible de registro ante la Superintendencia de Industria y Comercio.
1. Bases de Datos Personales locales – electrónicas
Estas bases de datos no son derivadas de las bases de datos maestras. Son creadas en herramientas
ofimáticas por las áreas de negocio y se utilizan para una función específica de su trabajo con finalidades
expresas.
Por ejemplo: Base de datos con la información de contacto de los aspirantes a cargos que se almacena
en archivo de excel en el área de recursos humanos.
2. Bases de Datos Personales locales –físicas
Estas bases de datos no son derivadas de las bases de datos maestras, son descentralizadas y su
relación es uno a uno. Son creadas para una función específica de su trabajo con finalidades expresas y
se almacenan en medios físicos.
Por ejemplo: Archivo físico de hojas de vida de los empleados activos de Bureau Veritas, custodiado por
la gerencia de recursos humanos.
3. Modificaciones de estructura a Bases de Datos maestras
Todas aquellas derivadas de una base de datos maestra, que las áreas utilizan como herramienta para su
trabajo y reflejan modificaciones en su estructura original adicionando campos con información de la
persona natural, cuya cantidad debería ser limitada.
Por ejemplo: Bases de datos electrónicas a las cuales se le agregan campos adicionales con información
adicional del titular, las cuales se manejan de manera independiente de la base de datos maestra.

12. CICLO DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL
Con el propósito de conocer, controlar y materializar los postulados, principios y obligaciones

consagrados en el presente procedimiento, Bureau Veritas ha identificado los siguientes
escenarios de tratamiento de datos personales al interior de la organización.
PROCESOS
FINALIDAD GENERAL FINALIDADES ESPECÍFICAS
OPERATIVOS
 Administrar y operar, directamente o por conducto de terceros,
los procesos de selección y vinculación de personal,
incluyendo la evaluación y calificación de los participantes y la
verificación de referencias laborales y personales, y la
realización de estudios de seguridad;
 Desarrollar las actividades propias de la gestión de recursos
humanos dentro de Bureau Veritas, tales como nómina,
afiliaciones a entidades del sistema general de seguridad
social, actividades de bienestar y salud ocupacional, ejercicio
de la potestad sancionatoria del empleador, entre otras;
 Realizar los pagos necesarios derivados de la ejecución del
contrato de trabajo y/o su terminación, y las demás
Administrar y gestionar la prestaciones sociales a que haya lugar de conformidad con la
información necesaria ley aplicable;
para seleccionar el  Contratar beneficios laborales con terceros, tales como
personal requerido por seguros de vida, gastos médicos, entre otros;
Bureau Veritas, tramitar  Notificar a contactos autorizados en caso de emergencias
su vinculación, contratar durante el horario de trabajo o con ocasión del desarrollo del
beneficios para los mismo;
RECURSOS empleados, realizar  Coordinar el desarrollo profesional de los empleados, el
HUMANOS pagos y afiliaciones, acceso de los empleados a los recursos informáticos de
cumplir con obligaciones Bureau Veritas y asistir en su utilización;
laborales y de seguridad  Planificar actividades empresariales;
social, y demás  Controlar el acceso a las oficinas de Bureau Veritas y
procesos requeridos establecer medidas de seguridad;
para controlar la  Transferir la información recolectada a distintas áreas de
ejecución de las Bureau Veritas y a sus compañías vinculadas en Colombia y
relaciones laborales. en el exterior cuando ello sea necesario para el desarrollo de
sus operaciones y gestión de nómina (registro en sistemas de
información, cobros administrativo, tesorería, contabilidad,
para todos los efectos de nómina, entre otros);
 Registrar a los contratistas y proveedores en los sistemas de
Bureau Veritas y procesar sus pagos;
 Realizar capacitaciones;
 Registrar sus Datos Personales en los sistemas de
información de Bureau Veritas y en sus bases de datos
comerciales y operativas;
 Cualquier otra actividad de naturaleza similar y/o
complementaria a las anteriormente descritas que sean
necesarias para desarrollar el objeto social de Bureau Veritas.
Administrar y gestionar la  Para proveer servicios y productos requeridos;
información de los  Informar sobre nuevos productos o servicios que estén
clientes con los cuales relacionados o no con el contratado o adquirido por el Titular;
Bureau Veritas tiene o  Dar cumplimiento a obligaciones contraídas con el Titular;
CLIENTES
haya tenido alguna  Informar sobre cambios en productos o servicios;
relación comercial, y  Evaluar la calidad del producto y servicio, realizar estudios de
cuya información sea mercado y análisis estadísticos para usos internos;
necesaria para  Enviar al correo físico, electrónico, celular o dispositivo móvil,

PROCESOS
FINALIDAD GENERAL FINALIDADES ESPECÍFICAS
OPERATIVOS
garantizar el desarrollo vía mensajes de texto (SMS y/o MMS), información comercial
de su objeto social. o publicitaria sobre los productos y/o servicios, eventos y/o
actividades de tipo comercial o no de estas, con el fin de
impulsar, invitar, dirigir, ejecutar, informar y de manera
general, llevar a cabo campañas de carácter comercial o
publicitario;
 Compartir, incluyendo la Transferencia y Transmisión de
Datos Personales a terceros para fines relacionados con la
operación de Bureau Veritas;
 Realizar estudios internos sobre el cumplimiento de las
relaciones comerciales y estudios de mercado a todo nivel;
 Realización de encuestas y sondeos generales que tengan por
objeto determinar opiniones sobre un bien o servicio;
 Llevar a cabo procesos de auditoría interna o externa propios
de la actividad comercial que Bureau Veritas desarrolla;
 Permitir que compañías vinculadas a Bureau Veritas, con las
cuales ha celebrado contratos que incluyen disposiciones para
garantizar la seguridad y el adecuado Tratamiento de los
Datos Personales tratados, contacten al Titular con el
propósito de ofrecerle bienes o servicios de su interés;
 Controlar el acceso a las oficinas y las plantas de Bureau
Veritas, incluyendo el establecimiento de zonas video-
vigiladas;
 Dar respuesta a consultas, peticiones, quejas y reclamos que
sean realizadas por los Titulares y a organismos de control y
Transmitir los Datos Personales a las demás autoridades que
en virtud de la ley aplicable deban recibir los Datos
Personales;
 Transferir la información recolectada a distintas áreas de
Bureau Veritas y a sus compañías vinculadas en Colombia y
en el exterior cuando ello sea necesario para el desarrollo de
sus operaciones;
 Utilizar los distintos servicios correspondientes a sitios web,
incluyendo descargas de contenidos y formatos;
 Registrar sus Datos Personales en los sistemas de
información de Bureau Veritas y en sus Bases de Datos
comerciales y operativas;
 Cualquier otra actividad de naturaleza similar y/o
complementaria a las anteriormente descritas que sean
necesarias para desarrollar el objeto social de Bureau Veritas.
 Invitar a los proveedores a participar en procesos de selección
y a eventos organizados o patrocinados por Bureau Veritas.
 Adelantar el proceso de selección de proveedores de Bureau
Administrar y gestionar la Veritas.
información de los
 Recolectar la información del proveedor junto con los
terceros proveedores de
documentos soporte para realizar su creación como proveedor
bienes y servicios
en SAP o cualquier otro sistema de información, y gestionar
vinculados a Bureau
PROVEEDORES su relación contractual con Bureau Veritas.
Veritas con el objeto de
 Gestión contable y de facturación al proveedor.
suplir las necesidades de
la misma y garantizar el  Para la evaluación del cumplimiento de sus obligaciones.
desarrollo de su objeto  Para hacer el registro en los sistemas de información que
social. utiliza Bureau Veritas para el manejo de proveedores.
 Cualquier otra actividad de naturaleza similar a las
anteriormente descritas que sean necesarias para desarrollar
el objeto social de Bureau Veritas.

13. DEBERES DE BUREAU VERITAS EN RELACIÓN AL TRATAMIENTO DE

DATOS PERSONALES
13.1. Obligaciones Generales
Bureau Veritas tiene presente que los datos personales son de propiedad de las personas a las
que se refieren y solamente ellas pueden decidir sobre los mismos y, por tanto, hará uso de
dichos datos solamente para las finalidades para las que se encuentra debidamente facultado
y respetando, en todo caso, el RCPDP.
Bureau Veritas atenderá los deberes previstos para los responsables y encargados del
tratamiento, contenidos en el RCPDP, a saber:
a. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
b. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva
autorización otorgada por el titular.
c. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la autorización otorgada.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e. Garantizar que la información que se suministre al encargado del tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
f. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y
adoptar las demás medidas necesarias para que la información suministrada a este se
mantenga actualizada.
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado
del tratamiento.
h. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo
tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
i. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del titular.
j. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley.
k. Adoptar procedimientos y políticas para garantizar el adecuado cumplimiento de la Ley y
en especial, para la atención de consultas y reclamos.
l. Informar al encargado del tratamiento cuando determinada información se encuentra en
discusión por parte del titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo.
m. Informar a solicitud del titular sobre el uso dado a sus datos.
n. Informar a la autoridad de protección de datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
titulares.
o. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.

13.2. Confidencialidad
Bureau Veritas garantiza y exige a toda persona que intervenga en cualquier fase del
tratamiento de datos personales el respeto de los mismos y el deber de guardarlos y mantener
estricta confidencialidad de los mismos, obligaciones que subsistirán aún después de finalizar
sus relaciones contractuales con Bureau Veritas. El incumplimiento del deber antes enunciado
se tendrá como un incumplimiento de las obligaciones laborales a cargo del respectivo
trabajador.
Los trabajadores o cualquier tercero vinculado directamente o indirectamente a Bureau Veritas,

deberán abstenerse de realizar sin autorización previa y por escrito del oficial de protección de
datos personales, cualquier iniciativa o actividad que involucre el uso de su nombre, enseña,
razón social, símbolo, logo símbolo, marca o cualquier otro signo distintivo que impliquen el
tratamiento de datos personales. Cualquier actividad o iniciativa que se adelante sin el
cumplimiento del presente requisito será responsabilidad exclusiva de su(s) promotor(es) y no
generará efectos, compromisos o responsabilidad alguna para Bureau Veritas.
La presente disposición no aplicará para las actividades y/o gestiones de iniciativa institucional
de Bureau Veritas, las cuales en todo caso estarán sujetas al cumplimiento de las
disposiciones del RCPDP y en particular, las del presente procedimiento.
Bureau Veritas se abstendrá de publicar o divulgar mediante internet o cualquier otro medio
masivo de comunicación, datos personales sensibles de los titulares respecto de los cuales
ejerce tratamiento, excepto en aquellos casos en los que se asegure que el acceso es
técnicamente controlable para brindar un conocimiento restringido solo para los titulares o
terceros autorizados conforme a los términos legales. De igual forma, Bureau Veritas se
abstendrá de divulgar o publicar información de carácter discriminatorio, ofensivo o que pueda
afectar las particulares condiciones de vulnerabilidad o indefensión del titular.
13.3. Autorizaciones de los Titulares
Cuando se trate de datos diferentes a los de naturaleza pública, definidos en el numeral 2 del
artículo 3 del Decreto Reglamentario 1377 de 2013, Bureau Veritas solicitará la autorización
previa, expresa e informada para el tratamiento de datos personales por cualquier medio que
permita ser utilizado como prueba. Según el caso, dicha autorización puede ser parte de un
documento más amplio como por ejemplo, de un contrato, o de un documento específico
(formato, formulario, otrosí, etc.).
Cualquier duda en relación con el medio y/o documento en el cual se solicita la autorización
será aclarada por el oficial de protección de datos personales de Bureau Veritas.
Se encuentran legitimados para otorgar la autorización:
a. El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios
que Bureau Veritas ponga a su disposición.

b. Los causahabientes del titular, quienes deberán acreditar tal calidad.

c. El representante y/o apoderado del titular, previa acreditación de la representación o
apoderamiento.
d. La autorización también podrá darse cuando se den casos de estipulación a favor de otro
o para otro.
Las autorizaciones implementadas por Bureau Veritas precisan a los titulares:
 El tratamiento al que serán sometidos sus datos personales y la finalidad específica del
mismo.
 El carácter facultativo de las respuestas a las preguntas cuando estas versen sobre
datos personales sensibles o datos personales de menores de 18 años.
 Los derechos que le asisten como titular previstos en el RCPDP.
 La identificación, dirección física o electrónica y el teléfono de Bureau Veritas.
En adición a lo anterior y para el caso de los datos personales sensibles se deberá informar al
titular cuales de los datos que sean objeto de tratamiento son sensibles.
Cada una de las áreas encargadas de la obtención de las autorizaciones, deberá dejar prueba
que demuestre el cumplimiento de la obligación de informar y obtener el consentimiento del
titular. Si el titular solicita copia de la autorización, Bureau Veritas se encuentra obligada a
suministrar dicha copia dentro de los términos previstos en la ley para el efecto.
La autorización puede constar en un documento físico, electrónico, mensaje de datos, Internet,

sitios Web, o en cualquier otro formato que permita garantizar su posterior consulta, o
mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el
consentimiento vía clic o doble clic, mediante el cual se pueda concluir de manera inequívoca,
que de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y
almacenados en la base de datos. La autorización será generada por Bureau Veritas y será
puesta a disposición del titular con antelación y de manera previa al tratamiento de sus datos
personales.
Bureau Veritas utilizará los mecanismos con que cuenta actualmente, e implementará y
adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos
o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de
datos personales para el tratamiento de los mismos. Para dar cumplimiento a lo anterior, se
podrán establecer archivos físicos o repositorios electrónicos realizados de manera directa o a
través de terceros contratados para tal fin.
La autorización del titular no será necesaria cuando se trate de:
 Información requerida por una entidad pública o administrativa en ejercicio de sus

funciones legales o por orden judicial.
 Datos de naturaleza pública.
 Casos de urgencia médica o sanitaria.

 Tratamiento de información autorizado por la ley para fines históricos, estadísticos o

científicos.
 Datos relacionados con el registro civil de las Personas.
13.4. Medidas Contractuales para la Protección de Datos Personales
En los contratos laborales, Bureau Veritas ha incluido cláusulas con el fin de autorizar de
manera previa y general el tratamiento de datos personales relacionados con la ejecución del
contrato, lo que incluye la autorización de recolectar, modificar o corregir, en momentos
futuros, datos personales del titular y sus beneficiarios y causahabientes. También ha incluido
la autorización para que algunos de los datos personales puedan ser entregados o cedidos a
terceros.
En relación con las relaciones contractuales con proveedores, Bureau Veritas ha incluido
cláusulas para asegurar el adecuado tratamiento de los datos personales que, con ocasión de
sus relaciones contractuales, sean transferidos o transmitidos entre ellos, quedando excluida
de esta autorización, los datos personales públicos.
Respecto de terceros que actúen como encargados del tratamiento de datos personales de
Bureau Veritas, sus contratos incluirán cláusulas que precisan los fines y los tratamientos
autorizados y delimitan de manera precisa el uso que estos terceros le pueden dar a aquellos,
así como las obligaciones y deberes establecidos en el RCPDP para garantizar en todo
momento la confidencialidad, integridad y disponibilidad de los datos personales sujetos a
tratamiento.
13.5. Transferencia Internacional de Datos Personales
Las actividades de Bureau Veritas que impliquen la transferencia de datos personales a

terceros países, se sujetará las siguientes condiciones:
a. La transferencia de datos personales a terceros países solamente se realizará cuando

exista autorización correspondiente del titular y, en el evento en que el receptor se
encuentre en un país que no proporcione un cierto nivel de protección, se requiere previa
autorización de la delegatura de datos personales de la SIC.
b. Se considera transferencia internacional cualquier tratamiento que suponga una
transmisión de datos fuera del territorio colombiano, tanto si se realiza una cesión de
datos, como si tuviera por objeto la prestación de un servicio al responsable fuera de
Colombia.
c. Asimismo, se debe obtener la autorización previa del delegado de protección de datos
personales de la Superintendencia de Industria y Comercio, cuando se tenga previsto
realizar transferencias internacionales de datos a países que no proporcionan un cierto
nivel de protección. Esta autorización sólo podrá ser otorgada si se obtienen garantías
adecuadas, como los contratos basados en las cláusulas tipo aprobadas por la SIC.
d. La transferencia internacional de datos personales se podrá realizar mediante solicitud de
Bureau Veritas, estableciendo la finalidad, los titulares, los datos Personales objeto de
transferencia y la documentación que incorpore las garantías exigibles para la obtención

de la autorización, en la que conste una descripción de las medidas de seguridad

concretas que van a ser adoptadas, tanto por el responsable o encargado de los datos
en su lugar de destino.
e. Bureau Veritas no solicitará la autorización cuando la transferencia internacional de datos
personales se encuentre amparada en alguna de las excepciones previstas en el
RCPDP.
13.6. Procedimientos de Relacionamiento con Terceros
En línea con sus políticas y disposiciones internas en materia de protección de datos

personales, Bureau Veritas propenderá por vincularse o relacionarse comercialmente con
aquellos terceros que reflejen su compromiso por la observancia del RCPDP en su respectiva
operación. Para ello, Bureau Veritas tendrá en cuenta el siguiente procedimiento general para
el relacionamiento con terceros en el marco de su “diligencia demostrada” en materia de
protección de los datos personales:
a. De manera previa al relacionamiento con un tercero que implique tratamiento, el área

responsable, en coordinación con el oficial de protección de datos personales, se
clasificará al tercero en función de los siguientes criterios:
o Tipo de tratamiento
o Naturaleza de los datos personales
o Volumen de información personal
o Medios de transmisión o transferencia
Tomando en cuenta los anteriores criterios, el tercero podrá clasificarse en alguna de las
siguientes categorías según el nivel de criticidad del tratamiento de los datos personales:
o Categoría 1: Tratamiento alto o intensivo

o Categoría 2: Tratamiento Medio
o Categoría 3: Tratamiento Bajo
b. Una vez definida la categoría del tercero, el área responsable, en coordinación con el
oficial de protección de datos personales, procederán a la realización de las
verificaciones y controles aplicables según la categoría correspondiente, cuyo propósito
será analizar el adecuado nivel de cumplimiento del RCPDP por parte del tercero antes
de formalizar su vínculo o relacionamiento contractual.
Los mencionados controles o verificaciones del cumplimiento tendrán en cuenta los

siguientes aspectos generales:
o Existencia política de tratamiento de la información

o Designación de oficial de privacidad
o Existencia de canales para la atención de consultas y reclamos en materia de
protección de datos personales
o Existencia de lineamientos para la seguridad de datos personales

o Constancia de la realización o actualización del registro nacional de bases de datos

personales
o Existencia de solicitudes de autorización para el tratamiento de los datos personales
asociadas al objeto del vínculo jurídico o comercial con el tercero, entre otros
Según la categoría asignada al momento de clasificar al tercero, la verificación de los

anteriores aspectos podrá realizarse mediante controles de verificación documental,
listados de chequeos, visita a instalaciones, declaraciones juramentadas entre otros.
c. Verificado el adecuado cumplimiento del RCPDP por parte del tercero, Bureau Veritas
procederá a realizar los trámites de formalización del vínculo contractual, estableciendo
las respectivas coberturas legales asociadas con:
o Conocimiento, aceptación y aplicación de la política de tratamiento de datos

personales de Bureau Veritas por parte del tercero.
o Facultad de Bureau Veritas de supervisar el cumplimiento de las obligaciones del
RCPDP por parte del tercero.
o Aplicación de las medidas jurídicas, técnicas y organizacionales necesarias para el
adecuado tratamiento de datos personales involucrada en el relacionamiento con el
tercero. Entre otros:
 Solicitudes de autorización
 Avisos de privacidad
 Habilitación o coordinación de los canales para la atención de consultas y reclamos
de los titulares de la información personal
 Realización del inventario de bases de datos personales
 Implementación de controles y medidas de seguridad de la información
 Reporte de incidentes de seguridad
 Procedimientos para la eliminación o devolución de la información personal
 Límites de responsabilidad por parte del tercero. Entre otros
d. Si como resultado de las verificaciones y controles previos de debida diligencia se

evidencia que el tercero no cumple con un adecuado nivel de cumplimiento del RCPDP,
el oficial de protección de datos personales, en coordinación con área respectiva,
definirán un plan de acción conjunto con el tercero con miras a alcanzar un adecuado
nivel de cumplimiento, siempre y cuando la naturaleza de la operación y el tipo de
tratamiento de datos involucrado lo permita. En el evento en que no sea posible
establecer un plan de acción para el cumplimiento del RCPDP por parte del tercero sin
exponer a Bureau Veritas a riesgos de incumplimiento de la ley a afectar la seguridad de
la información personal, Bureau Veritas desistirá del relacionamiento jurídico con este
tercero.
e. Una vez formalizado el vínculo jurídico o contractual con el tercero, Bureau Veritas
definirá la metodología y periodicidad de la supervisión del cumplimiento del RCPDP el
tiempo que dure la vinculación o nexo jurídico o comercial con el tercero. Si durante el
periodo de supervisión se evidencia que el tercero no alcanza niveles adecuados del
cumplimiento del RCPDP o realiza prácticas inseguras para el adecuado tratamiento de

los datos personales, Bureau Veritas deberá definir el plan de mejora respectiva o la
terminación del vínculo con el tercero según proceda en los términos expuestos.
f. Culminado el vínculo jurídico o comercial con el tercero, el área responsable junto con el
oficial de protección de datos personales procederá a solicitar la eliminación o devolución
de la información personal que aún pueda conservar el tercero, tomando en
consideración el principio de necesidad, vigencia y legalidad del dato.
14. VALIDACION E HISTORIA DEL DOCUMENTO
Validación:
Elaboró Revisó Aprobó
Nombre Liliana Cocunubo Martin Posada Carlos Alberto Guzmán

Legal & Compliace
Cargo Analista Jurídica Gerente General
Manager Colombia
Fecha 28/06/2019 28/06/2019 28/06/2019
Historia del Documento:
Versión Fecha Descripción

1 Jul. 2017 Emisión Inicial
2 Jun. 2019 Actualización general del documento

PR-ADM-007 - Ver - 2 - Protección de Datos Personales

Cargado por

Copyright:

Formatos disponibles

PR-ADM-007 - Ver - 2 - Protección de Datos Personales

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PR-ADM-007 - Ver - 2 - Protección de Datos Personales

Cargado por

Copyright:

Formatos disponibles

PROCEDIMIENTO PARA EL TRATAMIENTO DE

El Artículo 15 de la Constitución Política de la República de Colombia establece que cualquier

La impresión de este documento se considera COPIA NO CONTROLADA Página 2 de 26

Para efectos de la correcta y apropiada interpretación de este procedimiento, es necesario tener

Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al

La impresión de este documento se considera COPIA NO CONTROLADA Página 3 de 26

Oficial de protección de datos: Es la persona designada para ejercer la función de vigilancia y

RCPDP: Es el Régimen Colombiano de Protección de Datos Personales, conformado, en la

Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

Transferencia: La Transferencia de Datos Personales tiene lugar cuando el Responsable y/o

Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos

Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales

La impresión de este documento se considera COPIA NO CONTROLADA Página 4 de 26

6. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

Legalidad: La recolección, manejo, uso, tratamiento, almacenamiento, e intercambio de datos

Transparencia: En el tratamiento de datos personales debe garantizarse a los titulares, el

La impresión de este documento se considera COPIA NO CONTROLADA Página 5 de 26

7. TRATAMIENTO DE DATOS PERSONALES

7.1. Lineamientos Generales de Tratamiento de Datos Personales Según su Tipo

7.1.1. Datos personales públicos

De conformidad con lo previsto por el RCPDP, el tratamiento de datos personales públicos no

7.1.2. Datos personales sensibles

Bureau Veritas restringirá el tratamiento de datos personales sensibles a aquellos procesos y

Para efectos del tratamiento de datos personales sensibles, Bureau Veritas:

a. Cuando el titular ha autorizado expresamente el tratamiento.

La impresión de este documento se considera COPIA NO CONTROLADA Página 6 de 26

7.1.3. Datos personales de menores de edad

El tratamiento de datos personales de menores de edad requiere, en todo caso, el otorgamiento

8. POLITICA DE TRATAMIENTO DE DATOS PERSONALES DE BUREAU

9. OFICIAL DE PROTECCIÓN DE DATOS PERSONALES

En línea con lo anterior, Bureau Veritas ratifica su compromiso con la implementación de un

9.1. Designación del Oficial de Protección de Datos Personales

Para el ejercicio de dichas funciones, Bureau Veritas ha dispuesto el correo

La impresión de este documento se considera COPIA NO CONTROLADA Página 7 de 26

consultas, reportes, denuncias y demás cuestiones relacionadas con la protección de datos

El área legal, en ejercicio de las funciones propias de un oficial de protección de datos

El Oficial de Protección de Datos Personales de Bureau Veritas será el responsable de:

ii. Asegurar el cumplimiento de la política de tratamiento de datos personales de Bureau

La impresión de este documento se considera COPIA NO CONTROLADA Página 8 de 26

 Coordinar y promover la definición e implementación de un sistema de administración de

ix. Mantener el inventario de bases de datos personales de Bureau Veritas permanentemente

La impresión de este documento se considera COPIA NO CONTROLADA Página 9 de 26

10. PROCEDIMIENTO DE ATENCIÓN DE CONSULTAS Y RECLAMOS POR

Determinar los mecanismos, procedimientos, instancias y actividades aplicables para la

10.3. Derechos de los Titulares

i. Derecho de acceso: Bureau Veritas garantiza el derecho de acceso conforme a lo

Dicho acceso, se sujeta a los límites establecidos en el RCPDP.

La impresión de este documento se considera COPIA NO CONTROLADA Página 10 de 26

iv. Derecho a la rectificación y actualización de datos Bureau Veritas se obliga a rectificar y

Al respecto, se precisa lo siguiente:

 En las solicitudes de rectificación y actualización de datos personales, el titular debe

v. Derecho a la supresión de datos: El titular de datos personales, tiene derecho a solicitar a

En todo caso, la supresión procederá cuando la Superintendencia de Industria y

Esta supresión implica la eliminación o borrado seguro, total o parcial, de la información

El derecho de supresión no es un derecho absoluto. Bureau Veritas, como responsable

 El titular tenga el deber legal o contractual de permanecer en la base de datos.

La impresión de este documento se considera COPIA NO CONTROLADA Página 11 de 26

 La eliminación obstaculice actuaciones judiciales o administrativas vinculadas a

El derecho de revocatoria no es un derecho absoluto. Bureau Veritas, como responsable