Política de protección de datos personales

Política de protección de datos personales
MIMARCA SAS

Adoptado a los diecisiete (17) días del mes de junio del año 2020.

Contenido

I. RESUMEN EJECUTIVO 
II. OBJETIVOS 
2.1 OBJETIVO GENERAL 
2.2 OBJETIVOS ESPECÍFICOS 
III. ALCANCE 
IV. DEFINICIONES 
V. PRINCIPIOS 
VII. FINALIDAD DEL TRATAMIENTO 
VIII. POLÍTICAS Y CONDICIONES DEL FUNCIONAMIENTO DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES 
8.1. Política De Gobierno 
8.2. Política De Gestión De Riesgos 
8.3. Políticas De Control 
8.4. Política De Información Y Comunicación 
8.5. Política De Monitoreo 
IX. DERECHOS DEL TITULAR 
X. DEBERES DE LA COMPAÑÍA 
10.1. Deberes De LA COMPAÑÍA Como Responsable:
10.2. Deberes De LA COMPAÑÍA Como Encargado: 
XI. LA RESPONSABILIDAD SEGÚN LA ESTRUCTURA ADMINISTRATIVA 
11.1. Responsabilidad De Los Directivos 
11.2. Responsabilidad De Los Cargos Subordinados Que Realicen Actividades Relacionadas Con Tratamiento De Datos Personales 
11.3. Responsabilidad De Los Cargos Subordinados Que No Realicen Actividades Relacionadas Con Tratamiento De Datos Personales 
XII. PROCEDIMIENTO PARA EL TRATAMIENTO, CONSERVACIÓN Y SUPRESIÓN DE LOS DATOS PERSONALES 
12.1. Procedimiento Para La Recolección 
12.2. Procedimiento Para El Almacenamiento 
12.3. Procedimiento Para El Uso 
12.4. Procedimiento Para La Circulación 
12.5. Procedimiento Para La Supresión 
XIII. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR 
13.1. Área Encargada 
13.2. Trámite Consultas 
13.3. Reclamos 
XIV. HERRAMIENTAS DE IMPLEMENTACIÓN, ENTRENAMIENTO Y PROGRAMAS DE EDUCACIÓN 
14.1. Herramientas De Implementación 
14.2. Herramientas De Entrenamiento 
14.3. Herramientas De Educación 
XV. VIGENCIA 

I. Resumen Ejecutivo

En una creciente concientización del sector empresarial de Colombia por las buenas prácticas empresariales, velando porque la legalidad y el cumplimiento de la ley sean los pilares principales de la actividad económica y atendiendo las directrices de los entes de control para regular y vigilar la actividad empresarial, MIMARCA SAS , en adelante LA COMPAÑÍA, acoge, como es su deber, la legislación vigente en materia de protección de datos personales, en especial la Ley 1581 de 2012 y el Decreto 1377 de 2013, y demás normas que los modifiquen, adicionen o complementen.

Por lo anterior, LA COMPAÑÍA adopta la presente Política de Protección de Datos Personales, en adelante LA POLÍTICA, aplicable al tratamiento que LA COMPAÑÍA en calidad de responsable y/o encargado hace de todas las bases de datos y/o archivos que contengan datos personales.

LA POLÍTICA se desarrolla en el marco de las actividades que desempeña LA COMPAÑÍA. Su objetivo es la protección de los datos personales de clientes, proveedores, trabajadores, terceros, entre otros. LA POLÍTICA se implementará bajo los postulados de autorresponsabilidad o responsabilidad demostrada y conforme a los principios de privacidad y protección de datos personales.

Los datos personales de los titulares serán tratados bajo especificas políticas para impedir su revelación, alteración o destrucción no autorizada, adoptando diferentes herramientas físicas e informáticas para el cumplimiento del objeto mencionado.

A partir de la entrada en vigencia de LA POLÍTICA, cualquier aspecto que comprenda datos personales estará regulado exclusivamente por esta.

II. Objetivos

2.1 Objetivo General

Consolidar un manual donde se establezcan las políticas generales para el tratamiento de datos personales a partir de un marco normativo y conceptual que oriente a LA COMPAÑÍA en el cumplimiento de Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas que los modifiquen, adicionen o complementen, como también en virtud de los principios de privacidad, protección de datos personales, autorresponsabilidad y responsabilidad demostrada.

 

2.2 Objetivos Específicos

II.1.1 De finalidad operacional:

Prevenir, identificar, gestionar, controlar y mitigar el riesgo derivado del tratamiento de datos personales a través de la creación e implementación de políticas expresas para el manejo de datos personales dentro de la operación de LA COMPAÑÍA.

II.1.2 De autorresponsabilidad:

Reportar en los plazos establecidos para el efecto a la Superintendencia de Industria y Comercio lo concerniente al tratamiento de datos personales dentro de LA COMPAÑÍA.

III. Alcance

El presente documento es un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley de protección de datos personales.

En él se definen las finalidades de las operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Asimismo, el procedimiento para cada una de estas operaciones, los derechos de los titulares y su ejercicio y la responsabilidad del personal vinculado a LA COMPAÑÍA, entre otros aspectos.

La presente política es aplicable al tratamiento de datos personales de la Base de Datos de LA COMPAÑÍA, independiente del modo en que fueron recolectados los datos personales. Es decir, se aplica para aquellos recolectados por medios físicos y virtuales, así como para los suministrados por clientes, trabajadores o proveedores de LA COMPAÑÍA.

Por último, esta política establece procedimientos y obligaciones para LA COMPAÑÍA como Responsable y/o Encargado del tratamiento de datos personales.

IV. Definiciones

4.1 Dato personal: cualquier información relativa a una o varias personas naturales, determinadas o determinables.

4.2 Dato privado: es aquel dato que por su naturaleza íntima o reservada sólo es relevante para el Titular. Para su tratamiento requiere de su autorización expresa.

4.3 Dato público: son los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público, entre otros. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

4.4 Dato semiprivado: es aquel dato que no tiene naturaleza íntima y/o reservada, pero tampoco pública y, cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del Titular.

4.5 Dato sensible: es aquel relacionado con la intimidad del Titular o cuyo uso indebido puede generar su discriminación. Este dato tiene especial protección.

4.6 Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del Responsable de los datos.

4.7 Política de tratamiento: se refiere al presente documento.

4.8 Responsable del tratamiento: persona natural y/o jurídica, la administración pública o cualquier otra institución, asociación u organización con la facultad, incluso solidariamente con otro responsable de tratamiento, de tomar decisiones relativas a la finalidad, a los métodos de tratamiento de los datos personales y a los medios utilizados, incluyendo las medidas de seguridad relativas al funcionamiento y el uso de las bases de datos.

4.9 Titular de datos personales: persona natural cuyos datos personales sean objeto de Tratamiento.

4.10 Transmisión: se refiere a la comunicación de datos personales por parte del Responsable al Encargado, ubicado dentro o fuera del territorio nacional, para que éste, por cuenta del Responsable, realice el tratamiento de datos personales.

4.11 Transferencia: se refiere a la comunicación de datos personales por parte del Responsable o Encargado a un receptor que a su vez es Responsable del tratamiento.

4.12 Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

4.13 Revocatoria de la autorización y/o supresión del dato: los titulares de los datos personales están facultados para solicitar en cualquier momento la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en la Ley y en la presente política.

V. Principios

Conforme al régimen vigente sobe la protección de los datos personales, los principios orientadores del tratamiento de los datos personales son:

V.1 Principio de legalidad

V.2 Principio de finalidad

V.3 Principio de libertad

V.4 Principio de veracidad o calidad

V.5 Principio de transparencia

V.6 Principio de acceso y circulación restringida

V.7 Principio de seguridad

V.8 Principio de confidencialidad.

VI Aspectos Generales

LA COMPAÑÍA, MIMARCA SAS, que adopta la presente POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES, está domiciliada en Bogotá D.C., ubicada en la calle 100 # 17a-36 oficina 903
En caso de peticiones, quejas y reclamos relacionados con la presente política, se podrán contactar con LA COMPAÑÍA en el correo electrónico hola@mimarca.com.co

VII. Finalidad Del Tratamiento

La alta gerencia y demás funcionarios de LA COMPAÑÍA adoptan la presente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES conforme lo preceptuado en la normatividad vigente sobre la protección de datos personales y en virtud de los principios de autorresponsabilidad, responsabilidad demostrada, privacidad y habeas data, la cual comprenderá el estándar necesario y exigido para brindar la protección a los titulares de los datos personales.

Los datos personales que recolecta LA COMPAÑÍA tienen como finalidad el cumplimiento y desarrollo de su objeto social.

Para lo anterior, LA COMPAÑÍA informará de manera clara al Titular la anterior finalidad, obteniendo la autorización para que MIMARCA SAS envíen mensajes con contenidos institucionales, notificaciones, información de estado de cuentas, saldos, cuotas pendientes de pagos y demás información relativa al portafolio de servicios de cada una de las sociedades acá mencionadas, a través de correo electrónico, mensajes de texto al teléfono móvil y/o llamadas telefónicas.

VIII. Políticas y Condiciones del Funcionamiento del Programa Integral de Gestión de Datos Personales

VIII.1 Política de Gobierno

Con la finalidad de incentivar el ejercicio de las buenas prácticas empresariales en todos los funcionarios de LA COMPAÑÍA que participan en el tratamiento de datos personales, será política de LA COMPAÑÍA establecer una dirección de Introduzca el nombre de la Dirección que se encargará de la promoción y capacitación en aspectos de protección de datos personales. que se encargue directamente de la promoción y capacitación de todos los funcionarios que intervengan en el proceso.

Para el efecto, los mínimos exigidos en la Política de Gobierno serán:

VIII.1.1 Adopción de principios a través del Código de Buen Gobierno Corporativo que enmarquen la actuación de todos los funcionarios de la compañía. Este código será aprobado en construcción o adición por la Junta Directa y comité Directivo según las competencias de cada órgano de gobierno.

VIII.1.2 Protocolo de vinculación de personal donde se comprenda un estudio de seguridad previa de contratación.

VIII.1.3 Protocolos para la capacitación continua de personal de La Compañía en las Políticas para la Protección de Datos Personales.

VIII.1.4 Estructura organizacional para la implementación, seguimiento y control de las Políticas para el Tratamiento de datos Personales, dentro de la cual se identifiquen plenamente los roles del personal encargado, responsabilidades, funciones y alcance de estas.

VIII.2 Política de Gestión De Riesgos

Es política de LA COMPAÑÍA, no sólo por exigencia legal sino por su compromiso con las buenas prácticas empresariales, la protección de los datos personales que sus titulares depositan en ella a efectos de desempeñar el objeto social o prestar los servicios correspondientes, de ahí que sea necesario realizar una labor proyectiva de los riesgos potenciales que se puedan presentar en los procesos de LA COMPAÑÍA referidos al manejo de datos personales, esto a través de un sistema integral de gestión que cumpla con estándares según la normatividad vigente y reglamentaciones de orden internacional.
LA COMPAÑÍA adoptará el siguiente sistema de administración de riesgos por adecuarse a las exigencias de la normativa vigente con relación a la protección de datos personales, el cual se encuentra expresamente reglado de manera independiente a las presentes políticas: Sistema de Administración de Riesgo Operativo – SARO.

VIII.3 Políticas de Control

Como política de LA COMPAÑÍA se establecen las actividades de control que deberán realizarse para el cumplimiento de las demás políticas relacionadas con el tratamiento y protección de datos personales, estas que serán de obligatorio cumplimiento para todas las operaciones, procesos y áreas de la Compañía.

Conforme a la normatividad vigente y el análisis de riesgo potencial, LA COMPAÑÍA realizará, entre otras, las siguientes actividades con la finalidad de control:
VIII.3.1 LA COMPAÑÍA, teniendo como principio orientador la seguridad en el tratamiento de datos personales, establecerá las medidas administrativas pertinentes para evitar la manipulación fraudulenta o no autorizada de datos personales y evitar la adulteración o pérdida de los mismos.

VIII.3.2 LA COMPAÑÍA se responsabilizará de la disposición de los medios necesarios para los efectos antedichos, más no garantiza la seguridad total de los datos personales y las afectaciones derivadas por hechos de terceros o fallas técnicas. La Compañía verificará que sus proveedores, aliados o colaboradores tengan adoptadas similares medidas de control sobre el tratamiento de datos personales.

VIII.3.3 La confidencialidad de la información y los datos personales de los titulares son regla general para LA COMPAÑÍA, por lo cual se velará por su no divulgación o entrega a terceros no autorizados. Para los efectos mencionados LA COMPAÑÍA establecerá acuerdos de confidencialidad entre esta y sus funcionarios, proveedores, colaboradores o cualquier persona jurídica o contractual con la cual realice vínculos contractuales que impliquen datos personales.

VIII.4 Política de Información y Comunicación

Como política de Información y Comunicación, LA COMPAÑÍA implementará las normas y procedimientos pertinentes bajo un sistema de información eficaz que permita dar cumplimiento a lo establecido en el presente documento, para ello adoptará un canal de comunicación autorizado que llegue a todas las áreas de LA COMPAÑÍA con la información necesaria respecto de las políticas de tratamiento de datos personales.

Además, se implementará un sistema de atención y respuesta temprana de peticiones, quejas y reclamos que sean allegadas por los titulares de la información a través de correo electrónico, pagina web y línea telefónica de atención al cliente, donde se asigne número de radicación de la petición con relación al tratamiento de datos personales para su posterior seguimiento por parte del área competente.

VIII.5 Política de Monitoreo

Como Política de LA COMPAÑÍA se establece un sistema de monitoreo periódico respecto del cumplimiento de las políticas contenidas en el presente documento, lo cual se realizará en aras de la custodia y cumplimiento de las políticas establecidas.

Los procedimientos a realizar en la política de monitoreo son:

VIII.5.1 Seguimiento efectivo para la detección y corrección de errores en la administración de riesgos derivados del tratamiento de datos personales.

VIII.5.2 Se establecen indicadores de gestión con relación al sistema de administración de riesgos adoptado.

VIII.5.3 Verificación de cumplimiento efectivo y oportuno sobre los controles establecidos en la política de cumplimiento.

VIII.5.4 Se adoptarán tablas de registro de incidentes, las cuales deberán contener los datos comprometidos, el titular de los mismos, correctivos ante el incidente, responsable directo y fecha del incidente.

IX. Derechos del Titular

Los Titulares de la información, en general y frente a LA COMPAÑÍA, tienen los siguientes derechos:

9.1 Dirigirse a LA COMPAÑÍA, mediante los canales establecidos para el efecto para conocer, actualizar y rectificar sus datos personales, lo cual podrá realizarse respecto de datos:

9.1.1 Parciales

9.1.2 Inexactos

9.1.3 Incompletos

9.1.4 Fraccionados

9.1.5 Que induzcan a error

9.1.6 Aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

9.2 Solicitud de información o certificación sobre la autorización otorgada para el tratamiento de la información otorgada a La Compañía, en los casos que se requiera autorización.

9.3 Ser informado por LA COMPAÑÍA, previa solicitud efectuada a través de los canales dispuestos, respecto del uso que se le ha dado a sus datos personales.

9.4 Presentar quejas por infracciones a la normatividad vigente ante la Superintendencia de Industria y Comercio.

9.5 Solicitar la supresión de los datos en los eventos consagrados por la ley, así como retractarse de la autorización otorgada cuando no se refiera a datos propios del contrato o la misma no esté conforme a las exigencias de la Ley de Habeas Data.

9.6 Acceder a sus datos personales que hayan sido objeto de tratamiento, mediante los medios establecidos por LA COMPAÑÍA y de manera gratuita.

X. Deberes de la Compañía

LA COMPAÑÍA frente al tratamiento de datos personales puede tener dos roles, Responsable o Encargado. Es Responsable cuando tiene la facultad de tomar decisiones relativas a la finalidad, a los métodos del tratamiento y a los medios utilizados, incluyendo las medidas de seguridad relativas al funcionamiento y el uso de la base de datos.

Es Encargado cuando realiza el tratamiento de datos por cuenta de otra persona, quien es el Responsable.

X.1 Deberes de LA COMPAÑÍA como Responsable:

Los deberes que se exigen de LA COMPAÑÍA como responsable del tratamiento de datos personales, son:

10.1.1 Garantizar el efectivo ejercicio de los derechos de Habeas Data a todos los titulares de los datos personales.

10.1.2 Conservar y asegurar las autorizaciones otorgadas por los titulares de los datos personales y obtenidas por vía física, virtual, o telefónica.

10.1.3 Informar mediante los textos de autorización o avisos de privacidad la finalidad especifica de recolección de datos personales, de tal forma que el titular siempre conozca el tratamiento que se le dará a sus datos, sea de circulación o de conocimiento de otras entidades vinculadas y aliados comerciales; esto para que El titular pueda manifestar su voluntad respecto de los específicos alcances del tratamiento.

10.1.4 Informar e indicar que el usó de los datos corresponde exclusivamente al desarrollo de sus relaciones contractuales en virtud del objeto social de LA COMPAÑÍA, y por esto podrá ser utilizada para fines diversos.

10.1.5 Solicitar autorización o consentimiento expreso del titular para enviar información comercial, publicidad o complementos del portafolio de servicios.

10.1.6 Verificar las respectivas autorizaciones de los titulares cuando se utilice información de aliados comerciales o compañías vinculadas, como también en los casos en los cuales se permita el conocimiento de datos por La Compañía a terceros.

10.1.7 Publicar mediante los avisos de privacidad correspondientes y los canales de comunicación al público, los derechos que le asisten a los titulares de los datos, y la forma como pueden dar su consentimiento o autorización para el tratamiento de su información.

10.1.8 Establecer las medidas necesarias para la seguridad de la información, impedir su adulteración, pérdida, consulta o uso no autorizado.

10.1.9 Garantizar que la información otorgada al encargado directo del tratamiento de datos personales por parte de La Compañía como responsable, se haga de manera completa, transparente, veraz, actualizada, comprensible y exacta.

10.1.10Establecer mecanismos de validación de los datos para asegurar el uso adecuado y actualizado de la información.

10.1.11 Informar a los titulares de los datos personales respecto de la actualización de sus datos en caso de variaciones en los que le sean otorgados a La Compañía.

10.1.12 Establecer canales de atención a los titulares para consultas, solicitudes o reclamos con relación al tratamiento de datos personales.

10.1.13 Segmentar los titulares de los datos personales que no autorizan el tratamiento de su información para que el encargado directo del tratamiento proceda con la supresión de la misma en las bases.

10.1.14 Informar a la Superintendencia de Industria y Comercio sobre los incidentes o riesgos de seguridad advertidos en la administración y tratamiento de los datos personales de los titulares.

10.1.15 Atender de manera oportuna los requerimientos, recomendaciones, exigencias o instrucciones de la Superintendencia de Industria y Comercio relacionadas con el tratamiento de datos personales.

10.2 Deberes de LA COMPAÑÍA como Encargado:

A diferencia de cuando se actúa como Responsable, el Encargado no será quien decide sobre los procesos o quien define los medios y fines. El encargado será quien realiza el tratamiento de los datos personales por cuenta del responsable, siendo sus deberes idénticos, salvo los siguientes:

10.2.1 Realizar las actualizaciones de información a que haya lugar en el término de 5 días hábiles.

10.2.2 Impedir la circulación de la información que está sometida a controversia ante la Superintendencia de Industria y Comercio, y proceder con el bloqueo de la misma en caso de ser ordenado por la autoridad compete.

10.2.3 Permitir y proporcionar el acceso a la información por parte de las autoridades judiciales y administrativas o de terceros que se encuentren autorizados en virtud de la ley, previa acreditación de los requisitos establecidos para avalar la solicitud.

XI La Responsabilidad según la Estructura Administrativa

LA COMPAÑÍA tiene la siguiente estructura administrativa:

Incluir acá el organigrama

Teniendo en cuenta lo anterior, LA COMPAÑÍA establece los siguientes grados de responsabilidad frente el tratamiento de los datos personales:

XI.1 Responsabilidad de los directivos

El mayor grado de responsabilidad lo tienen los cargos directivos, quienes tienen la capacidad de decisión sobre la base de datos de LA COMPAÑÍA. Ellos dan la respectiva instrucción a sus subordinados respecto al manejo de los datos personales.

Por lo anterior, deberán en las instrucciones que den respecto a los datos personales sujetarse a lo dispuesto por la autorización de los titulares y deberán cumplir con Introduzca el procedimiento o manual de seguridad adoptado por LA COMPAÑÍA.

XI.2 Responsabilidad de los cargos subordinados que realicen actividades relacionadas con tratamiento de datos personales

La responsabilidad de los cargos subordinados, que en el ejercicio de sus funciones deben realizar tratamiento de datos personales, está enmarcada en las instrucciones recibidas de los directivos, la autorización de los titulares informada por los directivos y por lo señalado en Manual de Seguridad adoptado por la Compañía.

XI.3 Responsabilidad de los cargos subordinados que no realicen actividades relacionadas con tratamiento de datos personales

Los trabajadores que para el ejercicio de sus funciones no deban conocer o manejar información personal, deberán igual, en caso de conocer accidentalmente alguna información, guardar la estricta confidencialidad de la información, sin perjuicio a las medidas sancionatorias que tome LA COMPAÑÍA según la gravedad de la falta.

XII. Procedimiento para el tratamiento, conservación Y supresión de los datos personales

XII.1 Procedimiento para la recolección

Todos los datos personales se recolectarán previa autorización del titular. El titular deberá:

XII.1.1 Autorizar para que LA COMPAÑÍA recolecte, transfiera, almacene, use, circule, suprima, comparta, actualice y transmita sus datos personales de acuerdo con la presente Política de Tratamiento de Datos Personales.

XII.1.2 Declarar que conoce y acepta que las finalidades para las cuales se realiza este tratamiento son para comunicar y promocionar los productos de la compañía, para cumplir con el contrato celebrado, para cumplir con el deber legal de mantener el registro de las operaciones de comercio y para tener la información de contacto para cualquier comunicación requerida para la ejecución exitosa del contrato.

XII.1.3 Facultar a LA COMPAÑÍA para que envíe mensajes con contenidos institucionales, notificaciones, información de estado de cuentas, saldos, cuotas pendientes de pagos y demás información relativa al portafolio de servicios, a través de correo electrónico, mensajes de texto al teléfono móvil y/o llamadas telefónicas.

XII.1.4 Declarar que el responsable del tratamiento le informó los derechos consignados en la Constitución y en la Ley, especialmente el derecho a conocer, actualizar, rectificar y suprimir la información personal; así como el derecho a revocar el consentimiento otorgado para el tratamiento de datos personales.

XII.1.5 Aceptar que la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando exista el deber legal o contractual de permanecer en la base de datos. En cuyo caso, la información se mantendrá exclusivamente para el cumplimiento de este deber legal y contractual.

XII.2 Procedimiento para el almacenamiento

LA COMPAÑÍA almacenará la información de acuerdo a lo señalado en el Manual Interno de Seguridad.

XII.3 Procedimiento para el uso

LA COMPAÑÍA hará uso de los datos personales de acuerdo a lo autorizado por el titular. Es decir, para que LA COMPAÑÍA transfiera, almacene, use, circule, suprima, comparta, actualice y transmita sus datos personales de acuerdo con la presente Política de Tratamiento de Datos Personales, para comunicar y promocionar los productos de la compañía, para cumplir con el contrato celebrado, para cumplir con el deber legal de mantener el registro de las operaciones de comercio y para tener la información de contacto para cualquier comunicación requerida para la ejecución exitosa del contrato.

LA COMPAÑÍA podrá enviar mensajes con contenidos institucionales, notificaciones, información de estado de cuentas, saldos, cuotas pendientes de pagos y demás información relativa al portafolio de servicios, a través de correo electrónico, mensajes de texto al teléfono móvil y/o llamadas telefónicas.

En todo caso, en los mensajes publicitarios para terceros se deberá incluir un mensaje que le indique al destinatario como ser eliminado de la lista de distribución.

El titular podrá suprimir la información personal y revocar el consentimiento otorgado para el tratamiento de datos personales.

En todo caso, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando exista el deber legal o contractual de permanecer en la base de datos. En cuyo caso, la información se mantendrá exclusivamente para el cumplimiento de este deber legal y contractual.

Para efectos promocionales o publicitarios se podrán utilizar los datos personales por un periodo de 5 años.

XII. 4 Procedimiento para la circulación

LA COMPAÑÍA para la ejecución de las operaciones de su negocio o para realizar las actividades para las cuales está autorizado por el titular, podrá requerir la firma de contratos con terceros a los cuales le transmitirá información personal.

Para la transferencia de la información deberá firmarse un contrato de transmisión de datos personales en el cual se señalará los alcances del tratamiento de los datos personales a cargo del encargado.

Asimismo, deberán relacionarse las actividades que se harán con la base de datos, señalándose que el encargado no podrá con la Base de Datos suministrada realizar actividades adicionales a las planteadas en el contrato firmado.

XII.5 Procedimiento para la supresión

Toda la información suministrada por el titular frente a la cual el titular haya solicitado la supresión, o en caso de vencimiento del periodo de vigencia, deberá ser destruida.

LA COMPAÑÍA expedirá un certificado suscrito por su representante legal en el que conste que se ha destruido la información y donde se certifique que no se ha retenido o conservado bajo su posesión o control, ya sea directa o indirectamente, todo o parte de la información.

En todo caso, la solicitud de supresión de la información no procederá cuando exista el deber legal o contractual de permanecer en la base de datos. En cuyo caso, la información se mantendrá exclusivamente para el cumplimiento de este deber legal y contractual y transcurrido el tiempo obligatorio, será destruida.

XIII. Procedimiento para el ejercicio de los derechos del titular

XIII.1 Área encargada

El área encargada de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización, es la Coordinación de Servicio al Cliente de LA COMPAÑÍA.

XIII.2 Trámite consultas

Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en la base de datos de LA COMPAÑÍA. De esta manera se deberá suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

La consulta se formulará por escrito en los puntos de atención al cliente físicos o al correo electrónico hola@mimarca.com.co.

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

XIII.3 Reclamos

El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante LA COMPAÑÍA.

El reclamo se formulará mediante solicitud dirigida a LA COMPAÑÍA con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.