PR-ADM-007 - Ver - 2 - Protección de Datos Personales
PR-ADM-007 - Ver - 2 - Protección de Datos Personales
PR-ADM-007 - Ver - 2 - Protección de Datos Personales
DATOS PERSONALES
PR-ADM-007
Versión 2 – Junio, 2019
Titulo Procedimiento para el tratamiento de datos personales Versión 2
Código PR-ADM-007 Fecha de Versión Junio 2019
1. INTRODUCCION
Carlos Alberto Guzmán, identificado con cédula de ciudadanía No. 80.760.774, con domicilio
principal en la Calle 72 No. 7-64, Bogotá D.C., en su calidad de Gerente General de Bureau
Veritas Colombia (en adelante “Bureau Veritas1”) en el marco del desarrollo de sus operaciones,
reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos personales de
sus trabajadores, clientes, proveedores, en general, de todos sus agentes de interés respecto de
los cuales ejerce tratamiento, por lo que en cumplimiento a los mandatos constitucionales y
legales emite el presente procedimientos para el tratamiento de datos personales.
2. CONDICIONES PRELIMINARES
Con el fin de desarrollar las garantías constitucionales a las que se refiere el artículo citado, así
como el derecho a la información consagrado en el artículo 20 de la Constitución Política, el
congreso nacional expidió la ley estatutaria 1581 de 2012, mediante la cual se establecen los
principios y disposiciones que son aplicables al tratamiento de datos personales.
De conformidad con lo anterior, el tratamiento de datos personales realizado por Bureau Veritas
se debe regir por el régimen colombiano de protección de datos personales establecido por la ley
citada, sus decretos reglamentarios y demás normatividad que la complemente, modifique o
derogue. Para este fin, de acuerdo con lo establecido en el literal f) del Artículo 18 de la Ley
1581, Bureau Veritas adopta este procedimiento para garantizar el adecuado cumplimiento del
Régimen Colombiano de Protección de Datos Personales.
3. OBJETIVO
Definir los lineamientos generales para la aplicación, monitoreo, sostenimiento y mejora continua
de las políticas y procedimientos internos asociados al tratamiento de los datos personales en
Bureau Veritas.
4. ALCANCE
El presente procedimiento aplica para todas las actividades que desarrolle Bureau Veritas y que
conlleven el tratamiento de datos personales en los términos del régimen colombiano de
protección de datos personales y, en particular, al tratamiento de datos personales desarrollado
en el ámbito nacional y a aquellas que generen flujos de dicha información hacia el exterior.
1
La referencia Bureau Veritas incluye a las entidades en Colombia a saber BVQI Colombia Ltda., ECA Consultorías e Interventorías de Colombia
S.A.S., PRI Colombia S.A.S., Tecnicontrol S.A.S.
5. DEFINICIONES
Autorización: Consentimiento previo, expreso e informado del Titular de los Datos Personales
para llevar a cabo el Tratamiento de los mismos.
Base de Datos Personales: Conjunto organizado de Datos Personales que sea objeto de
Tratamiento.
Consulta: Solicitud del Titular del Dato, o de personas autorizadas por éste o por la ley, para
conocer la información que reposa sobre el Titular en bases de datos o archivos.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o a varias
personas naturales determinadas o determinables. Se entiende por “Dato personal” una
información relacionada con una persona natural (persona individualmente considerada). Son
algunos ejemplos de datos personales los siguientes: nombre, número de identificación
ciudadana, dirección postal, dirección de correo electrónico, número telefónico, estado civil, datos
de salud, huella dactilar, salario, bienes, estados financieros, etc. Los Datos Personales se
clasifican en públicos, privados, semiprivados y sensibles, entre otras clasificaciones.
Dato Personal Privado: Cualquier Dato Personal que sólo puede ser conocido por el Titular o su
entorno más cercano, a menos que exista expresa Autorización para su divulgación.
Dato Personal Público: Es el Dato Personal distinto de los semiprivados, privados o sensibles.
Son considerados Datos Públicos, entre otros, los datos relativos al estado civil de las personas,
a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los
Datos Públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén
sometidas a reserva.
Dato Personal Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada,
ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto
sector o grupo de personas o a la sociedad en general. Ejemplo de estos Datos Personales son
los relativos al comportamiento financiero y crediticio comercial y de servicios administrados por
las centrales de riesgo.
Dato Personal Privado Sensible: Cualquier Dato Personal relacionado directamente con la
esfera íntima del Titular. En general, el uso indebido de Datos Personales sensibles puede ser
fuente de discriminación. Los Datos Personales relativos a la salud, la vida sexual, la orientación
política y los Datos Personales biométricos son considerados Dato Personal Sensible.
Dato Sensible: Aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar
su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política,
las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que garanticen los
derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a
la vida sexual y los datos biométricos, entre otros, imagen personal fija o en movimiento, las
huellas digitales, las fotografías, el iris, el registro de la voz, facial o de palma de mano, etc.
Encargado: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
Reclamo: Solicitud del Titular del Dato Personal, o de las personas autorizadas por éste o por la
ley para corregir, actualizar o suprimir sus Datos Personales o para revocar la Autorización en los
casos establecidos en la ley.
Responsable: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, decide sobre la base de datos y/o el Tratamiento de los datos.
Para el tratamiento de datos personales, Bureau Veritas aplicará los principios que se mencionan
a continuación y que han sido previstos por el RCPDP como los lineamientos que deben orientar
su recolección, manejo, uso, tratamiento, almacenamiento e intercambio:
Finalidad: Los datos personales recolectados deben ser utilizados para un propósito específico y
explícito el cual debe ser informado al titular o permitido por la ley. Se deberá informar al titular
del dato personal, de manera clara, suficiente y previa acerca de la finalidad de la información
suministrada. Por ello, no podrán recopilarse datos sin la clara especificación acerca de la
finalidad de los mismos. Los datos deben ser tratados sólo en la forma que el titular puede
razonablemente prever a partir de los usos autorizados.
Libertad: La recolección de los datos personales sólo podrá ejercerse con la autorización, previa,
expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin el
previo consentimiento del titular, según lo previsto para las normas aplicables. Para obtener la
autorización del titular del dato personal, se utilizarán los formatos y documentos establecidos por
Bureau Veritas. En ningún caso puede entenderse que el silencio del titular constituye
Autorización.
Veracidad o Calidad: La información sujeta al tratamiento debe ser veraz, completa, exacta,
actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos personales
parciales, incompletos, fraccionados o que induzcan a error.
Acceso y circulación restringida: El Tratamiento de datos personales sólo podrá realizarse por
las personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos
personales, salvo los públicos, no podrán estar disponibles en Internet u otros medios de
divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley.
Seguridad: La información sujeta a tratamiento se deberá manejar adoptando todas las medidas
de seguridad que sean necesarias para evitar su pérdida, adulteración, consulta, uso o acceso no
autorizado o fraudulento. Los funcionarios que intervengan en el tratamiento de datos personales
deberán cumplir con las medidas técnicas, humanas y administrativas que establezca Bureau
Veritas para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta,
uso o acceso no autorizado o fraudulento.
Confidencialidad: Todos los funcionarios que trabajen en Bureau Veritas están obligados a
guardar reserva de la información, inclusive después de finalizada su relación con alguna de las
labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley o por el
titular del dato.
Informará al titular que, por tratarse de datos personales sensibles, no está obligado a
autorizar su tratamiento en tanto la autorización es facultativa de conformidad con lo
previsto por el RCPDP.
Informará al titular, de forma explícita y previa, cuáles datos objeto de tratamiento son de
carácter sensible y la finalidad de su tratamiento.
Se abstendrá de dar tratamiento a datos personales sensibles siempre que el titular no
haya manifestado expresamente su autorización.
Se abstendrá de condicionar actividades a que el titular suministre datos personales
sensibles (salvo que exista una causa legal o contractual para hacerlo).
Así mismo, Bureau Veritas se abstendrá de efectuar tratamiento de datos personales sensibles,
salvo en los siguientes casos:
Bureau Veritas, en su calidad de responsable del tratamiento de datos personales de niños, niñas
y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin, deberán
aplicarse los principios y obligaciones establecidos en el RCPDP y, en particular, Bureau Veritas
se obliga a que el tratamiento de los mismos siempre responda y respete el interés superior de
los niños, niñas y adolescentes y asegure el respeto de sus derechos fundamentales.
Hace parte integral del presente documento la política de tratamiento de datos personales de
Bureau Veritas. Ver F10-PR-ADM-007.
Según lo previsto por el RCPDP, los responsables deben adoptar políticas que garanticen la
existencia de una estructura administrativa, proporcional a su tamaño empresarial, que les
permita adoptar e implementar adecuadamente un programa integral de gestión de datos
personales.
De conformidad con lo previsto por el Artículo 23 del Decreto 1377 de 2013 (hoy recogido en el
Decreto 1074 de 2015), todo responsable debe designar a una persona o área que “asuma la
función de protección de datos personales”, área que “dará trámite a las solicitudes de los
titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente
Decreto”.
Las funciones del oficial de protección de datos de Bureau Veritas estarán a cargo del área legal
de la compañía.
9.2. Funciones
Funciones específicas:
i. Gestionar el adecuado trámite que deberá surtir cualquier reclamo o consulta que, de
conformidad con lo establecido en el presente procedimiento, formulen los titulares y, en
desarrollo de lo anterior:
Verificar que la información recibida por parte del peticionario sea suficiente para poder
darle respuesta.
Evaluar la necesidad de prorrogar el plazo para dar respuesta a las consultas o
reclamos.
Canalizar la reclamación al interior de Bureau Veritas según corresponda (ej. al área
jurídica, al área de inteligencia de la información etc.).
Proyectar la respuesta de la consulta o reclamo.
Enviar las respuestas a los peticionarios en los términos previstos por el RCPDP y el
presente procedimiento.
participación y desempeño de los colaboradores, los cuales deberán integrarse con los
demás aplicables a los colaboradores según se diseñe e implemente conjuntamente con el
área de recursos humanos de Bureau Veritas.
Como parte de esta función, el oficial de protección de datos personales de Bureau Veritas
supervisará el entrenamiento de nuevos colaboradores en el adecuado tratamiento de
datos personales y, en especial, las obligaciones particulares que deberá cumplir en razón
de su cargo.
vii. Auditar el cumplimiento de las distintas áreas de Bureau Veritas respecto del adecuado
cumplimiento del RCPDP y las políticas contenidas en este procedimiento y las que se
deriven de la implementación del programa integral de gestión de datos personales.
viii. Desarrollar, con el apoyo del área de tecnología, los controles que sean requeridos para
garantizar la implementación y efectividad del programa integral de gestión de datos
personales y el estricto cumplimiento de las obligaciones a cargo de Bureau Veritas bajo el
RCPDP, y en particular:
10.1. Objeto
10.2. Alcance
Este procedimiento abarca todas las actuaciones que se deben adelantar con ocasión de las
consultas y reclamaciones que se presenten ante Bureau Veritas en relación con el tratamiento
de datos personales realizado al interior de la misma.
El procedimiento de atención de consultas y reclamos tendrá como fin último garantizar a los
titulares el ejercicio de los siguientes derechos:
ii. Derecho de consulta: Los titulares de los datos personales podrán consultar la
información de carácter personal que repose en cualquier base de datos de Bureau
Veritas. En consecuencia, ésta garantiza el derecho de consulta conforme a lo dispuesto
en el RCPDP exclusivamente sobre los datos personales privados, sensibles y de
menores, suministrando a los titulares de estos datos la información contenida en cada
una de las bases de datos correspondientes y que estén bajo el control de Bureau
Veritas.
Bureau Veritas, por conducto del oficial de protección de datos personales, establecerá
las medidas de autenticación que permitan identificar de manera segura al titular que
realiza la consulta o reclamo.
iii. Derecho a reclamar: Los titulares de datos personales privados contenidos en una base
de datos podrán presentar reclamaciones cuando consideren que la información allí
almacenada puede ser objeto de corrección, actualización o supresión, o cuando
adviertan el presunto incumplimiento de cualquiera de los deberes y principios contenidos
en el RCPDP.
Bureau Veritas cuenta con las medidas de autenticación necesarias que permiten
identificar de manera segura al titular de los datos personales que realiza el reclamo.
Que los mismos no estén siendo tratados conforme a los principios, deberes y
obligaciones previstas en el RCPDP.
Que hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron
recabados.
Que se haya superado el periodo necesario para el cumplimiento de los fines para los
que fueron recogidos.
vi. Derecho a revocar la autorización: Todo titular puede revocar en cualquier momento, el
consentimiento al tratamiento de sus datos personales, siempre y cuando no lo impida
una disposición legal o contractual. Para ello, Bureau Veritas ha establecido mecanismos
sencillos y gratuitos que le permiten al titular revocar su consentimiento.
En los casos que sea posible la revocatoria de la autorización, la misma podrá tener
efecto sobre la totalidad de finalidades consentidas, o sobre algunas de ellas. En este
caso, Bureau Veritas deberá suspender parcialmente el tratamiento de los datos
personales para las finalidades indicadas por el titular y continuar el tratamiento respecto
de las remanentes.
El presente procedimiento se activa con la recepción de una consulta o reclamo que sea
realizada por un titular por cualquiera de los medios dispuestos por Bureau Veritas, los cuales
se enuncian a continuación:
a) Por escrito: La consulta o reclamo podrá ser presentada por medio escrito en cualquiera
de los siguientes canales:
Al momento de recibir la consulta o reclamo, las siguientes acciones deben ser realizadas:
Si es recibida por escrito, bien sea por correo electrónico o en la dirección física, la
consulta o reclamo deberá ser direccionada por parte del funcionario que la reciba, al
oficial de protección de datos personales.
Si es recibida de forma verbal, el funcionario que atienda la consulta o reclamo deberá
diligenciar el formato de seguimiento de consultas y reclamos (anexo adjunto) en el cual
deberá suministrar la siguiente información, a fin de verificar si la información es
completa para dar trámite a la consulta o reclamo:
El nombre y dirección de contacto del Titular o cualquier otro medio para recibir la
respuesta.
Los documentos que acrediten la identidad y capacidad de su representante, tal como se
indica en los siguientes casos:
La descripción clara y precisa de los Datos Personales respecto de los cuales el Titular
busca ejercer el derecho de consulta.
La descripción clara y precisa de la Consulta que realiza el Titular de información, sus
causahabientes o representantes.
Aportar la documentación que avale su petición en caso que por la naturaleza del dato
sea procedente.
En caso dado, otros elementos o documentos que faciliten la localización de los Datos
Personales.
10.6. Gestión del Área que Suministra la Información Requerida para Atender la
Consulta o Reclamo
Para efectos de dar curso en término a la consulta o reclamo formulados por el titular, el área
encargada de suministrar la información requerida para atender la consulta o reclamo, deberá
proporcionar al oficial de protección de datos personales, como mínimo, la siguiente
información:
10.7. Procedimiento
Funcionario
que recibe la Inicio Recepción de la
consulta o reclamo Direccionamiento al área o
consulta o Diligenciamiento del formato
Verbalmente de seguimiento de consultas y persona encargada del
reclamo
reclamos tratamiento de datos personales
Si Envío de comunicación
Área o informando al titular las razones
Recepción de la por las que es necesaria la
persona consulta o reclamo ¿Es necesario Recepción de la Envío del proyecto
solicitar prorroga de respuesta a Envío de la
encargada con la información Evaluar información y
alcance de la prorroga en preparación del validación del área respuesta al
del recolectada al plazo de proyecto o de jurídica o asesor titular
consulta
tratamiento momento en que respuesta? Elevar requerimiento de la respuesta jurídico externo
de datos llegó a la compañía información requerida para dar
respuesta a la consulta o
personales No
reclamo Fin
Área que
suministra la Recepción de la Entrega de la información al área
información solicitud de o persona encargada del
requerida información tratamiento de datos personales
para
responder
Área juridica
Revisión del proyecto de
o asesor respuesta y envío con cambios y
Recepción del
juridico proyecto de visto bueno al área o persona
externo respuesta encargada del tratamiento de
datos personales
Como parte de los lineamientos para el adecuado tratamiento de los datos personales al
interior de Bureau Veritas, a continuación se describen los criterios definidos por Bureau
Veritas para la conceptualización e identificación de las bases de datos que integran su ciclo
de tratamiento de información personal:
El Registro Nacional de bases de datos es el directorio público de las BD sujetas a tratamiento que
operan en el país; que es administrado por la SIC.
Una base de datos es un conjunto organizado de datos personales objeto de tratamiento.
Todas las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual se
realicen por personas naturales o jurídicas, públicas o privadas, en el territorio Colombiano (o fuera de él,
si al responsable o encargado del tratamiento le es aplicable la Ley colombiana en virtud de tratados
internacionales). Es susceptible de registro ante la Superintendencia de Industria y Comercio.
Estas bases de datos no son derivadas de las bases de datos maestras. Son creadas en herramientas
ofimáticas por las áreas de negocio y se utilizan para una función específica de su trabajo con finalidades
expresas.
Por ejemplo: Base de datos con la información de contacto de los aspirantes a cargos que se almacena
en archivo de excel en el área de recursos humanos.
2. Bases de Datos Personales locales –físicas
Estas bases de datos no son derivadas de las bases de datos maestras, son descentralizadas y su
relación es uno a uno. Son creadas para una función específica de su trabajo con finalidades expresas y
se almacenan en medios físicos.
Por ejemplo: Archivo físico de hojas de vida de los empleados activos de Bureau Veritas, custodiado por
la gerencia de recursos humanos.
3. Modificaciones de estructura a Bases de Datos maestras
Todas aquellas derivadas de una base de datos maestra, que las áreas utilizan como herramienta para su
trabajo y reflejan modificaciones en su estructura original adicionando campos con información de la
persona natural, cuya cantidad debería ser limitada.
Por ejemplo: Bases de datos electrónicas a las cuales se le agregan campos adicionales con información
adicional del titular, las cuales se manejan de manera independiente de la base de datos maestra.
PROCESOS
FINALIDAD GENERAL FINALIDADES ESPECÍFICAS
OPERATIVOS
Administrar y operar, directamente o por conducto de terceros,
los procesos de selección y vinculación de personal,
incluyendo la evaluación y calificación de los participantes y la
verificación de referencias laborales y personales, y la
realización de estudios de seguridad;
Desarrollar las actividades propias de la gestión de recursos
humanos dentro de Bureau Veritas, tales como nómina,
afiliaciones a entidades del sistema general de seguridad
social, actividades de bienestar y salud ocupacional, ejercicio
de la potestad sancionatoria del empleador, entre otras;
Realizar los pagos necesarios derivados de la ejecución del
contrato de trabajo y/o su terminación, y las demás
Administrar y gestionar la prestaciones sociales a que haya lugar de conformidad con la
información necesaria ley aplicable;
para seleccionar el Contratar beneficios laborales con terceros, tales como
personal requerido por seguros de vida, gastos médicos, entre otros;
Bureau Veritas, tramitar Notificar a contactos autorizados en caso de emergencias
su vinculación, contratar durante el horario de trabajo o con ocasión del desarrollo del
beneficios para los mismo;
RECURSOS empleados, realizar Coordinar el desarrollo profesional de los empleados, el
HUMANOS pagos y afiliaciones, acceso de los empleados a los recursos informáticos de
cumplir con obligaciones Bureau Veritas y asistir en su utilización;
laborales y de seguridad Planificar actividades empresariales;
social, y demás Controlar el acceso a las oficinas de Bureau Veritas y
procesos requeridos establecer medidas de seguridad;
para controlar la Transferir la información recolectada a distintas áreas de
ejecución de las Bureau Veritas y a sus compañías vinculadas en Colombia y
relaciones laborales. en el exterior cuando ello sea necesario para el desarrollo de
sus operaciones y gestión de nómina (registro en sistemas de
información, cobros administrativo, tesorería, contabilidad,
para todos los efectos de nómina, entre otros);
Registrar a los contratistas y proveedores en los sistemas de
Bureau Veritas y procesar sus pagos;
Realizar capacitaciones;
Registrar sus Datos Personales en los sistemas de
información de Bureau Veritas y en sus bases de datos
comerciales y operativas;
Cualquier otra actividad de naturaleza similar y/o
complementaria a las anteriormente descritas que sean
necesarias para desarrollar el objeto social de Bureau Veritas.
Administrar y gestionar la Para proveer servicios y productos requeridos;
información de los Informar sobre nuevos productos o servicios que estén
clientes con los cuales relacionados o no con el contratado o adquirido por el Titular;
Bureau Veritas tiene o Dar cumplimiento a obligaciones contraídas con el Titular;
CLIENTES
haya tenido alguna Informar sobre cambios en productos o servicios;
relación comercial, y Evaluar la calidad del producto y servicio, realizar estudios de
cuya información sea mercado y análisis estadísticos para usos internos;
necesaria para Enviar al correo físico, electrónico, celular o dispositivo móvil,
PROCESOS
FINALIDAD GENERAL FINALIDADES ESPECÍFICAS
OPERATIVOS
garantizar el desarrollo vía mensajes de texto (SMS y/o MMS), información comercial
de su objeto social. o publicitaria sobre los productos y/o servicios, eventos y/o
actividades de tipo comercial o no de estas, con el fin de
impulsar, invitar, dirigir, ejecutar, informar y de manera
general, llevar a cabo campañas de carácter comercial o
publicitario;
Compartir, incluyendo la Transferencia y Transmisión de
Datos Personales a terceros para fines relacionados con la
operación de Bureau Veritas;
Realizar estudios internos sobre el cumplimiento de las
relaciones comerciales y estudios de mercado a todo nivel;
Realización de encuestas y sondeos generales que tengan por
objeto determinar opiniones sobre un bien o servicio;
Llevar a cabo procesos de auditoría interna o externa propios
de la actividad comercial que Bureau Veritas desarrolla;
Permitir que compañías vinculadas a Bureau Veritas, con las
cuales ha celebrado contratos que incluyen disposiciones para
garantizar la seguridad y el adecuado Tratamiento de los
Datos Personales tratados, contacten al Titular con el
propósito de ofrecerle bienes o servicios de su interés;
Controlar el acceso a las oficinas y las plantas de Bureau
Veritas, incluyendo el establecimiento de zonas video-
vigiladas;
Dar respuesta a consultas, peticiones, quejas y reclamos que
sean realizadas por los Titulares y a organismos de control y
Transmitir los Datos Personales a las demás autoridades que
en virtud de la ley aplicable deban recibir los Datos
Personales;
Transferir la información recolectada a distintas áreas de
Bureau Veritas y a sus compañías vinculadas en Colombia y
en el exterior cuando ello sea necesario para el desarrollo de
sus operaciones;
Utilizar los distintos servicios correspondientes a sitios web,
incluyendo descargas de contenidos y formatos;
Registrar sus Datos Personales en los sistemas de
información de Bureau Veritas y en sus Bases de Datos
comerciales y operativas;
Cualquier otra actividad de naturaleza similar y/o
complementaria a las anteriormente descritas que sean
necesarias para desarrollar el objeto social de Bureau Veritas.
Invitar a los proveedores a participar en procesos de selección
y a eventos organizados o patrocinados por Bureau Veritas.
Adelantar el proceso de selección de proveedores de Bureau
Administrar y gestionar la Veritas.
información de los
Recolectar la información del proveedor junto con los
terceros proveedores de
documentos soporte para realizar su creación como proveedor
bienes y servicios
en SAP o cualquier otro sistema de información, y gestionar
vinculados a Bureau
PROVEEDORES su relación contractual con Bureau Veritas.
Veritas con el objeto de
Gestión contable y de facturación al proveedor.
suplir las necesidades de
la misma y garantizar el Para la evaluación del cumplimiento de sus obligaciones.
desarrollo de su objeto Para hacer el registro en los sistemas de información que
social. utiliza Bureau Veritas para el manejo de proveedores.
Cualquier otra actividad de naturaleza similar a las
anteriormente descritas que sean necesarias para desarrollar
el objeto social de Bureau Veritas.
Bureau Veritas tiene presente que los datos personales son de propiedad de las personas a las
que se refieren y solamente ellas pueden decidir sobre los mismos y, por tanto, hará uso de
dichos datos solamente para las finalidades para las que se encuentra debidamente facultado
y respetando, en todo caso, el RCPDP.
Bureau Veritas atenderá los deberes previstos para los responsables y encargados del
tratamiento, contenidos en el RCPDP, a saber:
a. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
b. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva
autorización otorgada por el titular.
c. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la autorización otorgada.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e. Garantizar que la información que se suministre al encargado del tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
f. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y
adoptar las demás medidas necesarias para que la información suministrada a este se
mantenga actualizada.
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado
del tratamiento.
h. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo
tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
i. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del titular.
j. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley.
k. Adoptar procedimientos y políticas para garantizar el adecuado cumplimiento de la Ley y
en especial, para la atención de consultas y reclamos.
l. Informar al encargado del tratamiento cuando determinada información se encuentra en
discusión por parte del titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo.
m. Informar a solicitud del titular sobre el uso dado a sus datos.
n. Informar a la autoridad de protección de datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
titulares.
o. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
13.2. Confidencialidad
Bureau Veritas garantiza y exige a toda persona que intervenga en cualquier fase del
tratamiento de datos personales el respeto de los mismos y el deber de guardarlos y mantener
estricta confidencialidad de los mismos, obligaciones que subsistirán aún después de finalizar
sus relaciones contractuales con Bureau Veritas. El incumplimiento del deber antes enunciado
se tendrá como un incumplimiento de las obligaciones laborales a cargo del respectivo
trabajador.
La presente disposición no aplicará para las actividades y/o gestiones de iniciativa institucional
de Bureau Veritas, las cuales en todo caso estarán sujetas al cumplimiento de las
disposiciones del RCPDP y en particular, las del presente procedimiento.
Bureau Veritas se abstendrá de publicar o divulgar mediante internet o cualquier otro medio
masivo de comunicación, datos personales sensibles de los titulares respecto de los cuales
ejerce tratamiento, excepto en aquellos casos en los que se asegure que el acceso es
técnicamente controlable para brindar un conocimiento restringido solo para los titulares o
terceros autorizados conforme a los términos legales. De igual forma, Bureau Veritas se
abstendrá de divulgar o publicar información de carácter discriminatorio, ofensivo o que pueda
afectar las particulares condiciones de vulnerabilidad o indefensión del titular.
Cuando se trate de datos diferentes a los de naturaleza pública, definidos en el numeral 2 del
artículo 3 del Decreto Reglamentario 1377 de 2013, Bureau Veritas solicitará la autorización
previa, expresa e informada para el tratamiento de datos personales por cualquier medio que
permita ser utilizado como prueba. Según el caso, dicha autorización puede ser parte de un
documento más amplio como por ejemplo, de un contrato, o de un documento específico
(formato, formulario, otrosí, etc.).
Cualquier duda en relación con el medio y/o documento en el cual se solicita la autorización
será aclarada por el oficial de protección de datos personales de Bureau Veritas.
a. El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios
que Bureau Veritas ponga a su disposición.
El tratamiento al que serán sometidos sus datos personales y la finalidad específica del
mismo.
El carácter facultativo de las respuestas a las preguntas cuando estas versen sobre
datos personales sensibles o datos personales de menores de 18 años.
Los derechos que le asisten como titular previstos en el RCPDP.
La identificación, dirección física o electrónica y el teléfono de Bureau Veritas.
En adición a lo anterior y para el caso de los datos personales sensibles se deberá informar al
titular cuales de los datos que sean objeto de tratamiento son sensibles.
Cada una de las áreas encargadas de la obtención de las autorizaciones, deberá dejar prueba
que demuestre el cumplimiento de la obligación de informar y obtener el consentimiento del
titular. Si el titular solicita copia de la autorización, Bureau Veritas se encuentra obligada a
suministrar dicha copia dentro de los términos previstos en la ley para el efecto.
Bureau Veritas utilizará los mecanismos con que cuenta actualmente, e implementará y
adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos
o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de
datos personales para el tratamiento de los mismos. Para dar cumplimiento a lo anterior, se
podrán establecer archivos físicos o repositorios electrónicos realizados de manera directa o a
través de terceros contratados para tal fin.
En los contratos laborales, Bureau Veritas ha incluido cláusulas con el fin de autorizar de
manera previa y general el tratamiento de datos personales relacionados con la ejecución del
contrato, lo que incluye la autorización de recolectar, modificar o corregir, en momentos
futuros, datos personales del titular y sus beneficiarios y causahabientes. También ha incluido
la autorización para que algunos de los datos personales puedan ser entregados o cedidos a
terceros.
En relación con las relaciones contractuales con proveedores, Bureau Veritas ha incluido
cláusulas para asegurar el adecuado tratamiento de los datos personales que, con ocasión de
sus relaciones contractuales, sean transferidos o transmitidos entre ellos, quedando excluida
de esta autorización, los datos personales públicos.
Respecto de terceros que actúen como encargados del tratamiento de datos personales de
Bureau Veritas, sus contratos incluirán cláusulas que precisan los fines y los tratamientos
autorizados y delimitan de manera precisa el uso que estos terceros le pueden dar a aquellos,
así como las obligaciones y deberes establecidos en el RCPDP para garantizar en todo
momento la confidencialidad, integridad y disponibilidad de los datos personales sujetos a
tratamiento.
o Tipo de tratamiento
o Naturaleza de los datos personales
o Volumen de información personal
o Medios de transmisión o transferencia
Tomando en cuenta los anteriores criterios, el tercero podrá clasificarse en alguna de las
siguientes categorías según el nivel de criticidad del tratamiento de los datos personales:
b. Una vez definida la categoría del tercero, el área responsable, en coordinación con el
oficial de protección de datos personales, procederán a la realización de las
verificaciones y controles aplicables según la categoría correspondiente, cuyo propósito
será analizar el adecuado nivel de cumplimiento del RCPDP por parte del tercero antes
de formalizar su vínculo o relacionamiento contractual.
c. Verificado el adecuado cumplimiento del RCPDP por parte del tercero, Bureau Veritas
procederá a realizar los trámites de formalización del vínculo contractual, estableciendo
las respectivas coberturas legales asociadas con:
Solicitudes de autorización
Avisos de privacidad
Habilitación o coordinación de los canales para la atención de consultas y reclamos
de los titulares de la información personal
Realización del inventario de bases de datos personales
Implementación de controles y medidas de seguridad de la información
Reporte de incidentes de seguridad
Procedimientos para la eliminación o devolución de la información personal
Límites de responsabilidad por parte del tercero. Entre otros
los datos personales, Bureau Veritas deberá definir el plan de mejora respectiva o la
terminación del vínculo con el tercero según proceda en los términos expuestos.
f. Culminado el vínculo jurídico o comercial con el tercero, el área responsable junto con el
oficial de protección de datos personales procederá a solicitar la eliminación o devolución
de la información personal que aún pueda conservar el tercero, tomando en
consideración el principio de necesidad, vigencia y legalidad del dato.
Validación: