HIMED SOLUTIONS S.A.S., sociedad constituida bajo las leyes colombianas, con domicilio en Medellín – Colombia e identificada con el NIT. 900.150.913-7, en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y Decreto Reglamentario 1377 de 2013 por medio de los cuales se regula la recolección y tratamiento de los datos de carácter personal y se establecen las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de dicha información, establece la siguiente Política de Seguridad de la Información, Manejo de Base de Datos y Tratamiento de Datos Personales.

Previo a indicar el tratamiento, se deberá tener presente las siguientes definiciones: 

  1. I. DEFINICIONES
  • Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o eliminar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable. 
  • Base de datos. Es el elemento de la arquitectura del software cuya función es la integración de datos, de modo que sean accesibles individual o conjuntamente a través de medios electrónicos u otras formas;  
  • Base de datos personales. Es todo conjunto organizado de datos que contiene información de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, recolección, organización y acceso; 
  • Base de datos automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software;
  • Base de datos no automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software;
  • Empresa: Es la sociedad HIMED SOLUTIONS S.A.S., la cual se especializa en diseños, estructuración e implementación de soluciones tecnológicas para la prestación del servicio de manejo de información médica de manera digital en la nube; 
  • Cliente: Es la persona natural o jurídica, profesional o especializado en la Prestación de Servicios en Salud de cualquier área o nivel que, en virtud de relación contractual con HIMED SOLUTIONS S.A.S., confía a esta en calidad de Encargado el tratamiento de datos personales de terceros, previa autorización del titular; 
  • Usuario: Es toda persona autorizada por el CLIENTE y/o LA EMPRESA que interactúa por medios informáticos con las plataformas y/o servicios desarrollados por HIMED SOLUTIONS S.A.S;  
  • Titular: Es la persona natural y/o jurídica cuyos datos personales sean objeto de Tratamiento por HIMED SOLUTIONS S.A.S en calidad de Responsable y/o encargado del mismo;
  • Dato personal. Es cualquier dato y/o información que identifique a una persona física o la haga identificable. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, dactilares, perfiles o de cualquier otro tipo;
  • Dato personal sensible. Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su TITULAR y en los casos previstos en la ley;
  • Propietario de la base de datos. Es la persona, natural o jurídica, TITULAR del derecho de dominio sobre una o varias bases de datos. Para los efectos de esta política, HIMED SOLUTIONS S.A.S. se considerará propietario sobre las bases de datos desarrolladas, administradas y tratadas por la EMPRESA en calidad de responsable de tratamiento de datos personales. Las bases de datos conocidas por la EMPRESA en calidad de encargado del tratamiento se considerarán propiedad del responsable de dicho tratamiento. 
  • Gestores de base de datos personales. Es el área o equipo de trabajo de HIMED SOLUTIONS S.A.S. que adelanta actividades de tratamiento de bases de datos personales con ocasión a procesos comerciales y contractuales de la EMPRESA, y en consecuencia a ello, tienen bajo su responsabilidad el tratamiento y gestión material de estas, sean estas de propiedad de la EMPRESA o de un tercero;
  • Primer Gestor de la base de datos personales. Es el funcionario que, estando vinculado en un área o equipo de trabajo que adelanta actividades de tratamiento de bases de datos personales, es encargado de la coordinación y vigilancia sobre el tratamiento hecho por los demás funcionarios gestores vinculados a su área o equipo. El primer gestor es el enlace directo del área con el Oficial de Protección de Datos. 
  • Oficial de Protección de Datos. Es la persona designada por HIMED SOLUTIONS S.A.S. para coordinar, conocer y verificar la implementación y cumplimiento de la Política de Seguridad de la Información, Manejo de Base de Datos y Tratamiento de Datos Personales, para lo cual contará con las funciones y prerrogativas que se detallan en el presente instrumento.
  • Responsable del Tratamiento. Es la persona física o jurídica, de naturaleza pública o privada, que recolecta los datos personales y decide sobre la finalidad, contenido y uso de la base de datos para su tratamiento. 
  • Encargado del Tratamiento. Es la persona física o jurídica, autoridad pública o privada, que, por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable. 
  • Cesión de datos. Tratamiento de datos que supone su revelación del dato a una persona diferente al TITULAR o distinta de quien estaba habilitado como cesionario. 
  • Fuentes Accesibles al Público. Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser realizada por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación. 
  • Procedimiento de análisis y creación de Información. Es la creación de información respecto de una persona a partir del análisis y tratamiento de los datos personales recolectados y autorizados, con el fin de analizar y extraer perfiles o hábitos de comportamiento, generando un valor agregado sobre la información obtenida del TITULAR de cada dato personal. 
  • Procedimiento de Disociación. Hace referencia a todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. 
  • Principios para el tratamiento de datos. Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, y a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información. 
  • Titular del dato personal. Es la persona física cuyos datos sean objeto de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente. 
  • Tratamiento de Datos. Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre datos personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros. 
  • USUARIO. Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal. 
  • Violación de datos personales. Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269-F del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
  • Violaciones de las Medidas de Seguridad de los Datos Personales. Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por HIMED SOLUTIONS S.A.S., para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales en poder de HIMED SOLUTIONS S.A.S., deberá ser informado a la autoridad de control en la materia. 
  1. II. OBJETO

Este documento tiene por objeto la adopción y establecimiento de reglas aplicables al tratamiento de datos de carácter personal recolectados, tratados y/o almacenados por HIMED SOLUTIONS S.A.S., en desarrollo de su objeto social, bien sea en calidad de responsable y/o encargado del tratamiento. Así también incorpora directrices en materia de seguridad de la información y respecto al manejo de las bases de datos utilizadas en los softwares ofrecidos por la EMPRESA. 

Las reglas contenidas en este instrumento desarrollan las garantías contempladas en el artículo 15 de la Constitución Política de Colombia y dan cumplimiento a las obligaciones legales instituidas en la Ley 1581 de 2012 respecto a la garantía de la intimidad de las personas, el ejercicio del habeas data, la protección de datos personales y el derecho a la información. Su contenido se orienta a regular de forma proporcional el ejercicio de los derechos precitados en las relaciones y actuaciones de HIMED SOLUTIONS S.A.S., buscando con ello prevenir la vulneración de los mismos.

Las políticas adoptadas por HIMED SOLUTIONS S.A.S., se adecúan a los estándares internacionales en materia de protección de datos personales. 

  1. III. ÁMBITO DE APLICACIÓN

La presente norma se aplicará al tratamiento de datos personales efectuado por HIMED SOLUTIONS S.A.S. en calidad de responsable y/o encargado del tratamiento. Así mismo será observado por los terceros que, en calidad de encargados y en virtud de relación contractual con la EMPRESA, adelanten el tratamiento de datos personales a nombre y bajo la responsabilidad de HIMED SOLUTIONS S.A.S., estén estos domiciliados en territorio colombiano o fuera de éste, siempre que le sea aplicable la normatividad colombiana en virtud de tratados internacionales, relaciones contractuales, entre otros. 

Los principios y disposiciones contenidos en materia de seguridad de la información de carácter personal se aplicarán a cualquier base de datos personales que se encuentre en custodia de HIMED SOLUTIONS S.A.S., bien sea en calidad de responsable y/o como encargado del tratamiento. 

Todos los procesos organizacionales de HIMED SOLUTIONS S.A.S., que involucren el tratamiento de datos de carácter personal, deberán someterse a lo dispuesto en esta norma.

  1. IV. DESTINATARIOS DE LAS POLÍTICAS.

Las directrices adoptadas en la presente Política de Seguridad de la Información, Manejo de Base de Datos y Tratamiento de Datos Personales deberán ser observadas por parte de  las siguientes personas: 

4.1. Representantes Legales y/o administradores de HIMED SOLUTIONS S.A.S.;

4.2. Los colaboradores de HIMED SOLUTIONS S.A.S., que tengan dentro de sus funciones la custodia y/o tratamiento de las bases de datos de carácter personal, con indiferencia de forma de vinculación y la naturaleza de su cargo; 

4.3. Personas naturales o jurídicas que, bajo cualquier modalidad contractual, presten sus servicios a HIMED SOLUTIONS S.A.S. y en virtud de los cuales deba realizar cualquier tratamiento de datos de carácter personal sobre los cuales la EMPRESA tenga la calidad de responsable y/o encargado del tratamiento;

4.4. Los accionistas, revisor fiscal y demás personas con las cuales HIMED SOLUTIONS S.A.S. sostenga una relación legal de carácter estatutario;

4.5. Las personas, naturales o jurídicas, de derecho privado o público, que en condición de TITULARES o USUARIOS de los datos personales, pretendan acceder a los mismos;

4.7. Las demás personas que establezca la ley.  

 

  1. V. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

La protección de datos de carácter personal cuyo responsable y/o encargado del tratamiento es HIMED SOLUTIONS S.A.S., estará sometida a los siguientes principios o reglas fundamentales, los cuales provienen de las normas internacionales, las leyes colombianas y la jurisprudencia que la Corte Constitucional ha desarrollado para el respeto y garantía de los derechos fundamentales vinculados a los datos de carácter personal. Estos principios  serán la base para el diseño y ejecución de los procesos internos relacionados con el tratamiento de datos personales, y constituirán el fundamento de interpretación armónica, integral y sistemática para resolver los conflictos que se susciten en la materia. 

5.1. Consentimiento informado o principio de Libertad: Todo tratamiento de datos personales por parte de HIMED SOLUTIONS S.A.S., sólo podrá realizarse con el consentimiento, previo, expreso e informado del TITULAR del dato. Los datos personales no podrán ser obtenidos, tratados o divulgados sin autorización del TITULAR, salvo mandato legal o judicial que supla el consentimiento de este. 

5.2. Legalidad: El tratamiento de datos personales en Colombia es una actividad reglada y por ende los procesos de negocios y destinatarios de esta norma deben sujetarse a lo dispuesto en esta norma. 

5.3. Finalidad del Dato: El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al TITULAR para que éste exprese su consentimiento informado. 

5.4. Calidad o veracidad del dato: Los datos de carácter personal recolectados por HIMED SOLUTIONS S.A.S., deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. Se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error. 

5.5. Transparencia: En el tratamiento de datos personales se garantizará el derecho del TITULAR a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen. HIMED SOLUTIONS S.A.S. implementará estrategias tendientes a que el TITULAR del dato conozca la identificación del responsable y/o encargado del tratamiento de sus datos personales. 

5.6. Pertinencia del dato.: En la recolección de los datos personales por parte de HIMED SOLUTIONS S.A.S., se deberá tener en cuenta la finalidad del tratamiento y/o de la base de datos; por tanto, los datos deben ser adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen. 

5.7. Acceso y Circulación Restringida: Los datos personales que recolecte o trate HIMED SOLUTIONS S.A.S., serán usados por esta sociedad solo en el ámbito de la finalidad y autorización concedida por el TITULAR del dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros, salvo en los casos de Ley y por autorización expresa del TITULAR. Los datos personales bajo custodia de HIMED SOLUTIONS S.A.S., no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los TITULARES o terceros autorizados conforme a lo dispuesto en la ley y los principios que gobiernan la materia.

5.8. Temporalidad del dato: Agotada la finalidad para la cual fue recolectado y/o tratado el dato personal, HIMED SOLUTIONS S.A.S., deberá cesar en su uso y por ende adoptará las medidas de seguridad pertinentes. Lo anterior sin perjuicio de las obligaciones de ley comercial en materia de conservación de libros de comercio y correspondencia del comerciante y demás normas que hagan necesaria la conservación de la información por un término adicional.  

5.9. Seguridad del Dato: HIMED SOLUTIONS S.A.S., en calidad de responsable o encargado del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales. HIMED SOLUTIONS S.A.S., conforme la clasificación de los datos personales implementará las medidas de seguridad de nivel alto, medio o bajo, que serán adoptadas según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento. 

5.10. Confidencialidad: HIMED SOLUTIONS S.A.S., en calidad de responsable y/o encargado del tratamiento de datos personales, así como  todas las personas que intervengan en el tratamiento de datos de carácter personal cuyo tratamiento es responsabilidad de la EMPRESA, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual. Por lo que implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido. 

5.11. Deber de Información: HIMED SOLUTIONS S.A.S., informará a los TITULARES de los datos personales, así como a los responsables y encargados del tratamiento, sobre el régimen de protección de datos adoptado por la organización, así como respecto de la finalidad y demás principios que regulan el tratamiento de estos datos. Así mismo informará sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del habeas data por parte de los TITULARES, procediendo al registro que exige la ley. 

5.12. Protección especial de datos sensibles:  HIMED SOLUTIONS S.A.S., no recolectará ni tratará datos personales ligados exclusivamente a ideologías políticas, afiliación sindical, creencias religiosas, vida sexual, origen étnico, y datos de salud, salvo autorización expresa del TITULAR y en aquellos casos de ley en los cuales no se requiera del consentimiento. La información personal de carácter sensible que se pueda obtener de un proceso de selección de personal será protegida a través de las medidas de seguridad altas.  

  1. VI. DERECHOS DE LOS TITULARES DE LOS DATOS

Los TITULARES de los datos de carácter personal contenidos en bases de datos que reposen en los sistemas de información de HIMED SOLUTIONS S.A.S., tienen los derechos descritos en este acápite, en cumplimiento de las garantías fundamentales consagradas en el Constitución Política y la Ley. 

El ejercicio de estos derechos será gratuito e ilimitado por parte del TITULAR del dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio de estos. El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidos por el TITULAR del dato de manera exclusiva, salvo las excepciones de ley. 

6.1. Derecho de Acceso: El TITULAR del dato tiene derecho a obtener toda la información respecto sus propios datos personales, sean parciales o completos; del tratamiento aplicado a los mismos; de la finalidad del tratamiento; de la ubicación de las bases de datos que contienen sus datos personales; y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean estas autorizadas o no. 

6.2. Derecho de Actualización: El TITULAR del dato tiene derecho a actualizar los datos personales que reposen en HIMED SOLUTIONS S.A.S., cuando éstos hayan tenido alguna variación. 

6.3. Derecho de Rectificación: El TITULAR del dato tiene derecho a modificar los datos que reposen en HIMED SOLUTIONS S.A.S., cuando éstos resulten ser inexactos, incompletos o inexistentes. 

6.4. Derecho de Supresión:  El TITULAR del TITULAR del dato tiene derecho a solicitar la supresión, parcial o total, de los datos personales que reposen en HIMED SOLUTIONS S.A.S., cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, salvo en los casos en los cuales la ley limite el ejercicio de este derecho. 

6.5. Derecho a la Revocatoria del Consentimiento: El TITULAR de los datos personales tiene el derecho a revocar el consentimiento o la autorización que habilita a HIMED SOLUTIONS S.A.S., para el tratamiento de sus datos personales con determinada finalidad, salvo en los casos en los cuales la ley limite el ejercicio de este derecho  y/o que sea necesario el establecimiento de un marco contractual específico. 

6.6. Derecho de Oposición: El TITULAR del dato tiene el derecho a oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular. El Oficial de Protección de Datos de HIMED SOLUTIONS S.A.S., con base en los  argumentos expuestos por el TITULAR del dato personal, hará un juicio de proporcionalidad o ponderación con el fin de determinar la prevalencia del derecho particular alegado por el TITULAR del dato con respecto a otros derechos, verbigracia, el derecho de información.  

6.7. Derecho a presentar Quejas y Reclamos o a ejercer Acciones: El TITULAR del dato personal tiene derecho a presentar ante la Superintendencia de Industria y Comercio las quejas y reclamos, así como las acciones que resultaren pertinentes para la protección de sus datos. HIMED SOLUTIONS S.A.S., dará respuesta a los requerimientos que realicen las autoridades competentes en relación con estos derechos de los TITULARES de los datos personales.  

6.8. Derecho a otorgar Autorización para el tratamiento de datos: En desarrollo del principio del Consentimiento Informado, el TITULAR del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en HIMED SOLUTIONS S.A.S.  De manera excepcional, esta autorización no será requerida en los siguientes casos: (1) Cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial;  (2) cuando se trate de datos de naturaleza pública; (3) En casos de emergencia médica o sanitaria; (4) cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; y (5) cuando se trate de datos personales relacionados con el Registro Civil de las personas. En estos casos, si bien no se requiere de la autorización del TITULAR, si tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales. 

  1. VII. DEBERES GENERALES DE LA EMPRESA Y DE LOS DESTINATARIOS RESPECTO DE LAS BASES DE DATOS DE CARÁCTER PERSONAL

Sin perjuicio de otros deberes especiales instituidos con ocasión a la calidad de responsable y/o encargado del tratamiento que ostente HIMED SOLUTIONS S.A.S., la EMPRESA y los destinatarios de la presente política tendrán los siguientes deberes sobre toda base de datos que contenga información de carácter personal:

7.1. Aplicar las medidas de seguridad conforme la clasificación de los datos personales tratados por HIMED SOLUTIONS S.A.S.;

7.2. Adoptar procedimientos de recuperación ante desastres y que sean aplicables a las bases de datos que contengan datos personales;

7.3. Adoptar procedimientos de Respaldo o Back Up de las base de datos que contienen datos personales;

7.4. Verificar, de forma periódica, el cumplimiento de esta política de Seguridad de la Información, Manejo de Base de Datos y Tratamiento de Datos Personales por parte de los destinatarios de esta;

7.5. Gestionar de manera segura las bases de datos que contengan datos personales;

7.6. Aplicar las políticas de protección de datos personales en armonía con las de seguridad de la información;

7.7. Llevar un registro central de las bases de datos que contengan datos personales que comprenda el historial desde su creación, tratamiento de la información y cancelación de la base de datos; 

7.8. Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como responsable o encargado del tratamiento;

7.9. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales; y

7.10. Regular en los contratos con terceros el acceso a las bases que contengan datos de carácter personal.

  1. VIII. DEBERES RESPECTO DE LAS BASES DE DATOS DE CARÁCTER PERSONAL CUANDO LA EMPRESA OSTENTE LA CALIDAD DE RESPONSABLES DEL TRATAMIENTO

Cuando HIMED SOLUTIONS S.A.S. asuma la calidad de responsable del tratamiento de datos personales bajo custodia de la EMPRESA, los destinatarios de esta norma deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad.

8.1. Garantizar al TITULAR, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; 

8.2. Solicitar y conservar, en las condiciones previstas en la normatividad, copia de la respectiva autorización y consentimiento otorgada por el TITULAR;

8.3. Informar al TITULAR sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada; 

8.4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; 

8.5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

8.6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada;

8.7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

8.8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley;

8.9. Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del TITULAR;

8.10. Tramitar las consultas y reclamos formulados en los términos señalados en este documento y en la ley;

8.11. Informar al Encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del TITULAR, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

8.12. Informar a solicitud del TITULAR sobre el uso dado a sus datos;

8.13. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los TITULARES

8.14. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 

 

  1. IX. DEBERES RESPECTO DE LAS BASES DE DATOS DE CARÁCTER PERSONAL CUANDO LA EMPRESA OSTENTE LA CALIDAD DE ENCARGADOS DEL TRATAMIENTO

Cuando HIMED SOLUTIONS S.A.S. asuma la calidad de encargado del tratamiento de datos personales en virtud de relación comercial o de cualquier otra índole, los destinatarios de esta norma deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad: 

9.1. Garantizar al TITULAR, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

9.2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

9.3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley;

9.4. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo; 

9.5. Tramitar las consultas y los reclamos formulados por los TITULARES en los términos señalados en esta norma y en la ley. Esta función estará en cabeza del Oficial de Protección de Datos y/o la Gerencia de HIMED SOLUTIONS S.A.S.;

9.6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los TITULARES;

9.7. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley, respecto de aquellas quejas o reclamaciones no resueltas presentadas por los TITULARES de los datos personales;

9.8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

9.9. Abstenerse de circular información que esté siendo controvertida por el TITULAR y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

9.10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; 

9.11. Informar a la Superintendencia de Industria y Comercio cuando se les presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los TITULARES; y

9.12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

  1. X. PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, CONSULTA, PETICIÓN, ACCESO, RECLAMO, ACTUALIZACIÓN, RECTIFICACION, CORRECCIÓN, OPOSICIÓN, SUPRESIÓN, CANCELACION Y OPOSICIÓN.

En desarrollo de la garantía constitucional de Habeas Data, el TITULAR o el interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, podrán acudir ante HIMED SOLUTIONS S.A.S., en ejercicio del derecho de petición, con el fin de elevar, consultas o peticiones y/o reclamos, para lo cual se adoptará el siguiente procedimiento:  

10.1.1. CONSULTAS O PETICIONES. Se entiende por consultas o peticiones, aquella que se ejerce con el fin de hacer exigibles, entre otros, el derecho a conocer los datos personales que respecto al TITULAR tiene en su poder HIMED SOLUTIONS S.A.S. y la forma como éstos son manejados. 

10.1.2. RECLAMOS. Son aquellas peticiones cuyo propósito o solicitud son el ejercicio del derecho de  rectificación, actualización, corrección, oposición y supresión de datos personales, o cuando se considere que HIMED SOLUTIONS S.A.S., sus colaboradores o contratistas han incumplido con cualquiera de los deberes sobre el manejo de la base de datos.  

 

10.2. La solicitud para ejercer cualquiera de los derechos del TITULAR deberá hacerse en soporte escrito, el cual podrá ser presentado en documento físico en la Calle 11B # 43A – 27, Edificio Los Cedros, Torre 1, Oficina 305 en el municipio de Medellín; o a través de mensaje de datos remitido a la dirección de correo electrónico ayudamed@himedsolutions.com, sin perjuicio de la posibilidad que tiene la EMPRESA de disponer de otros medios para que el TITULAR de los datos personales ejerza sus derechos. 

10.3. Para los efectos de recepción y atención de consultas, peticiones y reclamos relacionados con la protección de datos personales, serán hábiles los días de lunes a viernes entre las 7:00 AM a 6:00 PM. Las solicitudes presentadas a través de la dirección de correo electrónico dispuesto por HIMED SOLUTIONS S.A.S. fuera del horario hábil se entenderán presentadas en el siguiente turno hábil. 

10.4. Toda petición deberá contener como mínimo la siguiente información: 

10.4.1. Nombres y apellidos completos del TITULAR del dato personal, de su representante y/o de su apoderado, si es del caso, con indicación de sus respectivos números de documento de identidad. 

El TITULAR del dato y/o interesado en ejercer uno de los derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, los cuales podrá suministrar por medio físico o mensaje de dato. 

En caso de que de que el solicitante esté representado por un tercero deberá allegar éste el respectivo poder, el cual deberá tener reconocimiento de contenido efectuado por el TITULAR ante notario público. El apoderado deberá igualmente acreditar su identidad y la calidad de su representado en los términos indicados. 

10.4.2. Indicar la dirección física y/o electrónica donde recibirá notificaciones. 

10.4.3. El objeto de la petición, caso en cual, deberá ser concreta y precisa, indicado si se trata de una consulta o petición o de un reclamo. 

10.4.4. La descripción de los hechos que originan el reclamo, y los soportes documentales que se quieren hacer valer. 

10.4.5. Firma del solicitante.  

10.5. Si la solicitud  está incompleta o es incomprensible, HIMED SOLUTIONS S.A.S. requerirá dentro de los cinco (5) días siguientes a la recepción de la solicitud al TITULAR para que la subsane. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que el solicitante ha desistido de la solicitud. 

10.6. Recibida la consulta o petición, será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se le informará al solicitante expresando los motivos de la demora y señalando la fecha en que se dará respuesta a su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

10.7. Si se trata de un reclamo, HIMED SOLUTIONS S.A.S. dará respuesta a la solicitud en el término de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Si no fuere posible dar respuesta dentro del término de quince (15) días hábiles, se le informará al TITULAR de los motivos de la demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los siete (7) días hábiles siguientes al vencimiento de los primeros quince (15) días. 

10.8. HIMED SOLUTIONS S.A.S., documentará y almacenará las solicitudes realizadas por los TITULARES de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables sobre la materia. 

10.9. Será necesario el agotamiento previo del presente procedimiento como requisito de procedibilidad para poder elevar queja ante la Superintendencia de Industria y Comercio.  

  1. XI. REGISTRO CENTRAL DE BASES DE DATOS PERSONALES.

HIMED SOLUTIONS S.A.S., como responsable del tratamiento de datos personales bajo su custodia, en desarrollo de su actividad Empresarial, así como respecto de aquellos en los cuales tenga la calidad de encargado del tratamiento, dispondrá de un registro central en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información. El registro central de bases de datos personales se sujetará a lo siguiente: 

11.1. Inscribir toda base de datos personales contenida en los sistemas de información de HIMED SOLUTIONS S.A.S. A cada base se le asignará un número de registro. 

11.2. La inscripción de las bases de datos personales indicará: (1) El tipo de dato personal que contiene; (2) La finalidad y uso previsto de la base de datos; (3) Identificación del área de HIMED SOLUTIONS S.A.S., que hace el tratamiento de la base de datos; (4) Sistema de tratamiento empleado (automatizado o manual) en la base de datos; (5) Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene; (6) Ubicación de la base de datos en los sistemas de información de HIMED SOLUTIONS S.A.S.; (7) El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos; (8) La condición de HIMED SOLUTIONS S.A.S., como RESPONSABLE o ENCARGADO del tratamiento de la base de datos; (9) Autorización de comunicación o cesión de la base de datos, si existe; (10) Procedencia de los datos y procedimiento en la obtención del consentimiento; (11) Funcionario de HIMED SOLUTIONS S.A.S. en calidad de primer gestor de la base de datos; (12) Los demás requisitos que sean aplicables conforme al reglamento que sobre el particular llegare a expedirse. 

11.3. De manera mensual se registrará, para efectos de cumplimiento y auditoria, los cambios surtidos en las base de datos personales en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios, se dejará constancia por el Oficial de Protección de Datos. 

11.4. La ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiados por HIMED SOLUTIONS S.A.S., serán documentados en este registro central. 

11.5. El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de esta.

11.6. La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por HIMED SOLUTIONS S.A.S., para hacer efectiva la cancelación. 

  1. XII. TRATAMIENTO DE DATOS PERSONALES.

Las operaciones que constituyen tratamiento de datos personales por parte de HIMED SOLUTIONS S.A.S., en calidad de responsable o encargado de estos, se regirán por los siguientes parámetros. 

12.1. Datos Personales relacionados con la Gestión del Recurso Humano. 

12.1.1. Tratamiento de datos antes de la relación contractual. HIMED SOLUTIONS S.A.S., tratará los datos personales de sus empleados, contratistas, así como respecto de aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después de la relación laboral y/o de servicios, así: 

  1. Tratamiento antes de la relación laboral. La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de HIMED SOLUTIONS S.A.S., y la información personal obtenida del proceso de selección, se limita a la participación en el mismo; por tanto, está prohibido su uso para fines diferentes.  

HIMED SOLUTIONS S.A.S. informará, de manera anticipada a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los datos personales que llegase a suministrar el interesado, así como respecto de aquellos que se obtengan durante el proceso de selección. HIMED SOLUTIONS S.A.S., una vez agote el proceso de selección, informará el resultado negativo y entregará a las personas no seleccionadas los datos personales suministrados, salvo que el TITULAR de los datos autoricen de forma escrita la destrucción de estos ante el escenario en el cual el TITULAR del dato no sea seleccionado.  La información obtenida por HIMED SOLUTIONS S.A.S., respecto de quienes no fueron seleccionados, resultados de las pruebas psicotécnicas y entrevistas, serán eliminados de sus sistemas de información, dando así cumplimiento al principio de finalidad.  

Cuando HIMED SOLUTIONS S.A.S. contrate procesos de selección de personal con terceros, regulará en los contratos el tratamiento que se deberá dar a los datos personales entregados por los interesados, así como la destinación de la información personal obtenida del respectivo proceso. Los datos personales e información obtenida del proceso de selección respecto del personal seleccionado para laborar en HIMED SOLUTIONS S.A.S., será almacenado en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible. 

12.1.2. Tratamiento de datos durante la relación contractual. HIMED SOLUTIONS S.A.S., almacenará los datos e información personales obtenida del proceso de selección de los empleados en una carpeta identificada con el nombre de cada uno de ellos. Esta carpeta física o digital solo será accedida y tratada por el Área de Relaciones Laborales y con la finalidad de administrar la relación contractual y dar cumplimiento a las obligaciones de carácter civil o laboral existentes entre HIMED SOLUTIONS S.A.S. y el empleado.  

El tratamiento de la información de los empleados para fines diferentes a la administración de la relación contractual está prohibido. HIMED SOLUTIONS S.A.S. solo podrá dar un uso diferente a los datos e información personal de los empleados por orden de autoridad competente, siempre que en ella radique tal facultad. Corresponderá a la Coordinación Legal evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión no autorizada de datos personales. 

12.1.3. Tratamiento de datos después de terminada la relación contractual. 

Terminada la relación laboral, cualquiera que fuere la causa, HIMED SOLUTIONS S.A.S. procederá a almacenar los datos personales obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles. Esta información será tratada con una finalidad histórica y para la gestión de las obligaciones y responsabilidades sobrevinientes a la finalización de la relación contractual. 

HIMED SOLUTIONS S.A.S. tiene prohibido ceder tal información a terceras partes, pues tal hecho puede configurar una desviación en la finalidad para la cual fueron entregados los datos personales por sus TITULARES. Lo anterior, salvo autorización previa y escrita que documente el consentimiento por parte del TITULAR del dato personal.  

12.2. Tratamiento de datos personales de Accionistas. 

Los datos e información personal de las personas físicas que llegaren a tener la condición de accionista de la sociedad comercial HIMED SOLUTIONS S.A.S. se considerará información reservada, en atención a que la misma obra en los libros de comercio, por lo cual tiene el carácter de reserva por disposición legal. El acceso a la información personal de los accionistas de la sociedad se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia. HIMED SOLUTIONS S.A.S., solo usará los datos personales de los accionistas para las finalidades derivadas de la relación estatutaria existente.  

12.3. Tratamiento de datos personales de Proveedores. 

HIMED SOLUTIONS S.A.S., solo recabará de sus proveedores los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar. Cuando por causa jurídica le sea necesario a HIMED SOLUTIONS S.A.S. divulgar los datos del proveedor recopilados con ocasión a un proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en la presente política y que prevengan a terceros sobre la finalidad de la información que se divulga.  Los datos de los proveedores serán recopilados y tratados con por la EMPRESA con la finalidad de adelantar las tratativas contractuales pertinentes y la gestión de las relaciones contractuales sostenidas entre la EMPRESA y el proveedor. 

HIMED SOLUTIONS S.A.S., recolectará de sus proveedores los datos personales de los empleados de éste que sean necesarios, pertinentes y no excesivos, y que por motivos de seguridad o idoneidad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor. Los datos personales de empleados de los proveedores recolectados por HIMED SOLUTIONS S.A.S. tendrá como única finalidad verificar la idoneidad moral y competencia de los empleados; por tanto, una vez verificado este requisito, HIMED SOLUTIONS S.A.S., podrá devolver tal información al proveedor, salvo cuando fuere necesario preservar estos datos. 

Cuando HIMED SOLUTIONS S.A.S. entregue datos de sus empleados a sus proveedores, estos deberán proteger los datos personales suministrados conforme lo dispuesto en esta norma. Para tal efecto, la EMPRESA procurará la inclusión de cláusulas contractuales de respeto y sometimiento a la presente política en cuanto a los datos personales compartidos por ella, así como velará por la inclusión de la previsión de auditoria respectiva en el contrato o en el documento que legitima la entrega de los datos personales. HIMED SOLUTIONS S.A.S. verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la solicitud de acceso a los mismos.  

12.4. Tratamiento de datos personales en procesos de contratación. 

Los terceros que, en procesos de contratación, alianzas y acuerdos de cooperación con HIMED SOLUTIONS S.A.S., accedan, usen, traten y/o almacenen datos personales de empleados de HIMED SOLUTIONS S.A.S., y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de seguridad que le indique HIMED SOLUTIONS S.A.S., según el tipo de dato de carácter personal tratado. 

Para tal efecto la EMPRESA procurará la inclusión de cláusulas contractuales de respeto y sometimiento a la presente política en cuanto a los datos personales compartidos por ella, e incluirá la previsión de auditoria respectiva en el contrato o en el documento que legitima la entrega de los datos personales. HIMED SOLUTIONS S.A.S. verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento. 

12.5. Tratamiento de datos personales de sus clientes.

HIMED SOLUTIONS S.A.S., solo solicitará y recabará de sus clientes los datos que sean necesarios, pertinentes y no excesivos para la finalidad de informar el estado de los servicios, enviar ofertas de servicios, y demás información complementaria al servicio prestado. HIMED SOLUTIONS S.A.S., recolectará de sus clientes los datos personales que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se adquieren.  

12.6. Tratamiento de datos personales de la comunidad en general. 

La recolección de datos de personas físicas que HIMED SOLUTIONS S.A.S. trate en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de responsabilidad social Empresarial o de cualquiera otra actividad, se sujetará a lo dispuesto en esta política. Para el efecto, HIMED SOLUTIONS S.A.S. informará y obtendrá previamente la autorización de los TITULARES de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades. 

12.7. En cada uno de los casos antes descritos, las áreas de la organización que desarrollen los procesos de negocios en los que se involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada, además de prevenir posibles sanciones legales. 

  1. XIII. PROHIBICIONES.

En desarrollo de esta norma de seguridad de la información personal de HIMED SOLUTIONS S.A.S., establece las siguientes prohibiciones y sanciones como consecuencia de su incumplimiento. 

13.1. HIMED SOLUTIONS S.A.S. prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible sin autorización del TITULAR del dato personal y/o de HIMED SOLUTIONS S.A.S.  

El incumplimiento de esta prohibición por parte de los empleados de HIMED SOLUTIONS S.A.S., será considerado como falta grave, que podrá dar lugar a la terminación de la relación laboral. Lo anterior, sin perjuicio de las acciones legales a que haya lugar. 

El incumplimiento de esta prohibición por parte de los proveedores que contraten con HIMED SOLUTIONS S.A.S., será considerada como causa grave para dar terminación al contrato, sin perjuicio de las acciones a que haya lugar.

En los contratos con los proveedores, donde el objeto contratado tenga relación con datos personales, se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a HIMED SOLUTIONS S.A.S., como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del proveedor. 

13.2. HIMED SOLUTIONS S.A.S., prohíbe la cesión, comunicación o circulación de datos personales, sin el consentimiento previo, escrito y expreso del TITULAR del dato o sin autorización de HIMED SOLUTIONS S.A.S.. la cesión o comunicación de datos personales deberá ser inscrita en el registro central de datos personales de la EMPRESA. y contar con la autorización del custodio de la base de datos.  

13.3. HIMED SOLUTIONS S.A.S., prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible que llegaren a ser identificados en un procedimiento de auditoría en aplicación de la norma sobre el buen uso de los recursos informáticos de la organización y/u otras políticas y reglamentos expedidos por HIMED SOLUTIONS S.A.S., para estos fines.  

Los datos sensibles que se identifiquen serán informados al TITULAR de estos, con el fin de éste proceda a eliminarlos; de no ser posible esta opción, HIMED SOLUTIONS S.A.S., procederá por sí mismo a eliminarlos de manera segura. 

13.4. HIMED SOLUTIONS S.A.S., prohíbe a los destinatarios de esta política cualquier tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009. Salvo que se cuente con la autorización del TITULAR del dato y/o de HIMED SOLUTIONS S.A.S., según el caso.  

13.5. HIMED SOLUTIONS S.A.S., prohíbe el tratamiento de datos personales de niños y adolescentes menores de edad, salvo autorización expresa de sus representantes legales. Todo tratamiento que se llegare a hacer respecto de los datos de los menores, se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.   

  1. XIV. UTILIZACIÓN Y TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES E INFORMACIÓN PERSONAL.

Está prohibida la transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos. Se entienden países seguros aquellos que cumplan con los estándares fijados por la Superintendencia de Industria y Comercio. De manera excepcional se podrán realizar transferencias internacionales de datos por HIMED SOLUTIONS S.A.S., cuando: 

14.1. El TITULAR del dato haya otorgado su autorización previa, expresa e inequívoca para realizar la transferencia.  

14.2. La transferencia sea necesaria para la ejecución de un contrato entre el TITULAR y HIMED SOLUTIONS S.A.S., como responsable y/o encargado del tratamiento. 

14.3. Se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones. 

14.4. Se trate de transferencia de datos en el marco de tratados internacionales que hagan parte del ordenamiento jurídico colombiano. 

14.5. Transferencias legalmente exigidas para salvaguardar un interés público. 

Al momento de presentarse una transferencia internacional de datos personales, previo envío o recepción de estos, HIMED SOLUTIONS S.A.S., suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes. 

Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales. 

Corresponderá al Oficial de Protección de Datos y/o la Gerencia aprobar los acuerdos o contratos que conlleven una transferencia internacional de datos personales, atendiendo como directrices los principios aplicables y recogidos en esta norma. Así mismo le corresponderá hacer las consultas pertinentes ante la Superintendencia de Industria y Comercio para asegurar la circunstancia de “país seguro” en relación con el territorio de destino y/o procedencia de los datos.  

 

  1. XV. ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCION DE DATOS PERSONALES.

La responsabilidad en el adecuado tratamiento de datos personales al interior de HIMED SOLUTIONS S.A.S. está en cabeza de todos sus empleados –con indiferencia de la calidad como primer gestor o gestores–, administradores y accionistas , y general de toda persona que directa o indirectamente se vincule con LA EMPRESA.  

En caso de duda respecto del tratamiento de los datos personales, se acudirá al área responsable de la seguridad de la información y/o al Oficial de Protección de Datos y/o la Gerenciapara que indiquen la directriz a seguir, según el caso.   

  1. XVI. TEMPORALIDAD DEL DATO PERSONAL.

En el tratamiento de datos personales que realiza HIMED SOLUTIONS S.A.S., la permanencia de los datos en sus sistemas de información estará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, HIMED SOLUTIONS S.A.S., procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado. 

  1. XVII. MEDIDAS DE SEGURIDAD.

En el tratamiento de los datos personales objeto de regulación en esta norma, HIMED SOLUTIONS S.A.S, adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los datos personales tratados. 

En desarrollo del principio de Seguridad de los Datos personales, HIMED SOLUTIONS S.A.S., adoptará una directriz general sobre estas medidas, la cual serán de obligatorio acatamiento por parte de los destinatarios de esta política.  

Es obligación de los destinatarios de la presente informar al Gerente de HIMED SOLUTIONS S.A.S., cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la organización para proteger los datos personales confiados a ella, así como cualquier tratamiento inadecuado de los mismos, una vez tengan conocimiento de esta situación. 

En estos casos, HIMED SOLUTIONS S.A.S., comunicará a la autoridad de control tal situación y procederá a gestionar el respectivo incidente de seguridad respecto de los datos personales, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.  

  1. XVIII. PROCEDIMIENTOS Y SANCIONES.

HIMED SOLUTIONS S.A.S., comunica a los destinatarios de esta norma el régimen de sanciones previsto por la Ley 1581 de 2012 en su artículo 23, que materializa los riesgos que se asume por un indebido tratamiento de datos personales: 

“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: 

  1. a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó. 
  2. b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar. 
  3. c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio. 
  4. d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.” 

La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el tratamiento de datos personales, deberá ser comunicada de manera inmediata al Oficial de Protección de Datos designado y/o a la Gerencia de HIMED SOLUTIONS S.A.S., con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación colombiana, en particular las consignadas en el Título VI, Capitulo 3 de la ley 1581 de 2012 antes descritas. 

Consecuencia de los riesgos que asume HIMED SOLUTIONS S.A.S., bien en calidad de responsable y/o Encargado del tratamiento de los datos personales, el incumplimiento de esta norma por parte de sus destinatarios, se considera una falta grave y dará lugar a la terminación del contrato respectivo sin perjuicio de las demás acciones que legalmente procedan.  

  1. XIX. DEL OFICIAL DE PROTECCIÓN DE DATOS.

19.1. La persona que HIMED SOLUTIONS S.A.S. designe en calidad de Oficial de Protección de Datos tendrá por funciones, entre otras: (1) Revisar y adoptar los protocolos de respuesta en el manejo de violaciones o incidentes de seguridad para implementar las mejores prácticas o recomendaciones; (2) revisar, y en su caso, modificar los requisitos establecidos en los contratos suscritos con los encargados del tratamiento de datos personales responsabilidad de la EMPRESA; (3) revisar e inspeccionar el cumplimiento de la presente política por parte de los destinatarios de la misma; (4) mantener como documentos históricos las evaluaciones de impacto y las de amenazas a la seguridad y riesgos; (5) actualizar y aclarar las comunicaciones externas para explicar las políticas de tratamiento de datos personales; (6) las demás que se le asignen en virtud de la ley o por disposición estatutaria. 

19.2. La persona que detente la calidad de Gerente de HIMED SOLUTIONS S.A.S. fungirá como Oficial de Protección de Datos, quien podrá a su vez delegar el cumplimiento de una o más funciones en sus subalternos o en áreas especializadas de la EMPRESA.  

 

  1. XX. ENTREGA DE DATOS PERSONALES A AUTORIDADES.

Cuando las autoridades del Estado soliciten a HIMED SOLUTIONS S.A.S., el acceso y/o entrega de datos de carácter personal contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riegos que conllevan su indebido uso e inadecuado tratamiento. 

  1. XXI. RESTRICCIONES EN EL USO DE ESTA NORMA

Esta norma de protección de datos personales es para uso exclusivo de HIMED SOLUTIONS S.A.S., por tanto, está prohibida su copia, reproducción, distribución, cesión, publicación, traducción y cualquiera otro uso por persona distinta a HIMED SOLUTIONS S.A.S., en atención al respeto de la propiedad intelectual que ostentan sus creadores, así como por razones de seguridad de la información. 

  1. XXII. NOTIFICACIONES

Para todos los efectos de la presente política de manejo de base de datos, HIMED SOLUTIONS S.A.S. tendrá como oficina abierta al público de carácter permanente para recibir todas las peticiones y consultas del TITULAR o todos los avisos, documentos y demás comunicaciones que conforme al presente documento se requieran la siguiente dirección: 

Dirección: Calle 11B #43A-27 Edificio Los Cedros Torre 2 Oficina 205, Medellín, Colombia

Teléfono: +57 (60 4) 424 3960 Ext 100.

Email: ayudamed@himedsolutions.com

  1. XXIII. DE LA ADOPCIÓN DE AVISOS DE PRIVACIDAD

23.1. HIMED SOLUTIONS S.A.S. incluirá Aviso de Privacidad al interior de los módulos y plataformas ofrecidos a sus clientes, los cuales permitan a los USUARIOS de la plataforma identificar de forma ágil y sencilla la información relevante para la protección de sus datos personales. 

 

23.1.1. Cuando LA EMPRESA se encuentre en calidad de responsable del tratamiento de datos personales sobre la información almacenada en la base de datos fuente de la aplicación, el Aviso de Privacidad expresará, de conformidad a lo consagrado en el Decreto Reglamentario 1377 de 2013, (1) Nombre o razón social y datos de contacto del responsable del tratamiento; (2) El Tratamiento al cual serán sometidos los datos y la finalidad del mismo; (3) Los derechos que le asisten como TITULAR; (4) Los mecanismos dispuestos para que el TITULAR conozca la política de Tratamiento de la información del Responsable; (5) la información que permita al USUARIO acceder o consultar la política de Tratamiento de información del Responsable del Tratamiento. 

 

23.1.2. Cuando LA EMPRESA se encuentre en calidad de Encargado del tratamiento de datos personales sobre la información almacenada en la base de datos fuente de la aplicación, el Aviso de Privacidad será el para el efecto le suministre el cliente, al cual se le añadirá: (1) la calidad de Encargado de HIMED SOLUTIONS S.A.S.;  (2) Nombre o razón social y datos de contacto del Encargado del tratamiento; y (3) la información que permita al USUARIO acceder o consultar la política de Tratamiento de información del Encargado del Tratamiento.

 

23.1.3. La calidad que ostenta HIMED SOLUTIONS S.A.S. frente a los datos personales suministrados por el USUARIO;

  1. XXIV. VIGENCIA

La presente política de tratamiento de protección de datos operará como lineamiento a los TITULARES de los datos personales autorizados al momento de entrar en relación con la EMPRESA sea mediante contacto directo, zona transaccional o primer acceso a la plataforma, quedando en este caso quedando clasificado como USUARIO navegante y/o USUARIO registrado con el aviso de privacidad.

La presente política de Seguridad de la Información, Manejo de Base de Datos y Tratamiento de Datos Personales rige a partir de su fecha de publicación en el sitio web de HIMED SOLUTIONS S.A.S.