POLITICA DE TRATAMIENTO DE DATOS PERSONALES

Los datos personales que el CONGLOBAL AUDITORES S.A.S.  recolecte, almacene, use, circule, actualice y suprima, serán utilizados de acuerdo y en proporción a las finalidades que tenga cada tratamiento:

Estado: El Tratamiento de los datos se realizará para gestionar la información y actividades en las cuales se relacionan los agentes, organismos o entidades del Estado con CONGLOBAL AUDITORES S.A.S.
Accionistas: El Tratamiento de los datos se realizará para los fines relacionados con el desarrollo de las actividades que permitan la permanente comunicación, información, registro, inscripción, actualización, aseguramiento, atención, tramitación, y demás actuaciones en las cuales se relacionan o vinculan los accionistas e inversionistas con CONGLOBAL AUDITORES S.A.S.

Recurso Humano: El Tratamiento de los datos se realizará para la vinculación, desempeño de funciones o prestación de servicios, retiro o terminación, dependiendo del tipo de relación establecida (incluye, entre otros, empleados, ex empleados, practicantes y aspirantes a cargos).

Clientes: El Tratamiento de los datos se realizará para gestionar la relación comercial, comunicación, registro, actualización y atención, al igual que las demás actividades en las cuales se relacionan los clientes con CONGLOBAL AUDITORES S.A.S.

Proveedores y Contratistas: El Tratamiento de los datos se realizará para los fines relacionados con el desarrollo del proceso de gestión contractual de productos o servicios que el CONGLOBAL AUDITORES S.A.S. requiera para su funcionamiento de acuerdo a la normatividad vigente.

• Todas las bases de datos personales que el CONGLOBAL AUDITORES S.A.S.  trate, deben tener la garantía de recuperación (Back up).
• Se tendrá acceso limitado a las bases de datos personales.
• Periódicamente CONGLOBAL AUDITORES S.A.S. debe propiciar campañas para la actualización de sus bases de datos personales.
• El Responsable del tratamiento de datos personales, garantizará el cumplimento de la política y de la Ley, al igual que el adecuado manejo por parte de los Encargados de las bases de datos.
• CONGLOBAL AUDITORES S.A.S. adopta en esta política, la no transferencia de la información de sus bases de datos a ningún tercero, salvo que medie una orden judicial o solicitud expresa del titular de los datos personales.

Recurso Humano: CONGLOBAL AUDITORES S.A.S.  pone a disposición de este grupo de interés, la Línea de Atención al Empleado (+51) 3522474 y el correo electrónico gerencia@conglobal.com.co, donde los titulares podrán elevar sus solicitudes para que el CONGLOBAL AUDITORES S.A.S. como responsable, adelante las acciones necesarias para el cumplimiento de los derechos del titular a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

Accionistas: CONGLOBAL AUDITORES S.A.S.  pone a disposición de este grupo de interés, el Área de Atención al Accionista, bajo responsabilidad de la Administración, ubicada en la Cra 43ª # 1ª sur -69 ed Tempo. Además de la línea telefónica (+51) 3522474 y el correo electrónico gerencia@conglobal.com.co, donde los titulares podrán elevar sus solicitudes para que  CONGLOBAL AUDITORES S.A.S. como responsable, adelante las acciones necesarias para el cumplimiento de los derechos del titular a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

Demás grupos de interés: CONGLOBAL AUDITORES S.A.S. pone a disposición de los demás grupos de interés la línea telefónica (+51) 300 02 52 y el correo electrónico gerencia@conglobal.com.co donde los titulares podrán elevar sus solicitudes para que CONGLOBAL AUDITORES S.A.S.  como responsable, adelante las acciones necesarias para el cumplimiento de los derechos del titular a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

CAPÍTULO 25 REGLAMENTA PARCIALMENTE LA LEY 1581 DE 2012
SECCIÓN 1
DISPOSICIONES GENERALES
Artículo 2.2.2.25.1.1. Objeto. El presente capítulo tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.
(Decreto 1377 de 2013, art. 1)
Artículo 2.2.2.25.1.2. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2 de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha ley y del presente capítulo, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales.
(Decreto 1377 de 2013, art. 2)
Artículo 2.2.2.25.1.3. Definiciones. Además de las definiciones establecidas en el artículo 3 de la Ley 1581 de 2012, para los efectos del presente capítulo se entenderá por:
a. Aviso de privacidad. Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
b. Dato público. Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
c. Datos sensibles. Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
d.Transferencia.La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
e.Transmisión.Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
(Decreto 1377 de 2013, art. 3)

SECCIÓN 2
AUTORIZACIÓN
Artículo 2.2.2.25.2.1. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular
A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.
No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
(Decreto 1377 de 2013, art. 4)
Artículo 2.2.2.25.2.2. Autorización.  El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.
Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.
En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere a la sección 3 de este capítulo, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.
(Decreto 1377 de 2013, art. 5)
Artículo 2.2.2.25.2.3. De la autorización para el Tratamiento de datos personales sensibles. El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
a. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
b. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.
(Decreto 1377 de 2013, art. 6)
Artículo 2.2.2.25.2.4. Modo de obtener la autorización.  Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
(Decreto 1377 de 2013, art. 7)
Artículo 2.2.2.25.2.5. Prueba de la autorización.  Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.
(Decreto 1377 de 2013, art. 8)
Artículo 2.2.2.25.2.6. Revocatoria de la autorización y/o supresión del dato. Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
El responsable y el encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.
Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.
(Decreto 1377 de 2013, art. 9)
Artículo 2.2.2.25.2.7.Datos recolectados antes del 27 de junio de 2013.  Para los datos recolectados antes del 27 de junio de 2013, se tendrá en cuenta lo siguiente:
1. Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 2.2.2.25.2.4., a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.
2. Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.
3. Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.
Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno do comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.
A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.
4. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente capítulo, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.
5.  En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581 de 2012 y el presente capítulo. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.
Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del Decreto 1377 de 2013.
(Decreto 1377 de 2013, art. 10)
Artículo 2.2.2.25.2.8. Limitaciones temporales al Tratamiento de los datos personales. Los Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado deberán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
Los responsables y encargados del tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.
(Decreto 1377 de 2013, art. 11)
Artículo 2.2.2.25.2.9. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes. El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:
1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente capítulo.
La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente capítulo.
(Decreto 1377 de 2013, art. 12)

SECCIÓN 3
POLÍTICAS DE TRATAMIENTO
Artículo 2.2.2.25.3.1. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
Las políticas de tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:
1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
3. Derechos que le asisten como Titular.
4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.
Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 2.2.2.25.2.2. del presente Decreto deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.
(Decreto 1377 de 2013, art. 13)
Artículo 2.2.2.25.3.2. Aviso de privacidad. En los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.
(Decreto 1377 de 2013, art. 14)
Artículo 2.2.2.25.3.3. Contenido mínimo del Aviso de Privacidad.  El aviso de privacidad, como mínimo, deberá contener la siguiente información:
1. Nombre o razón social y datos de contacto del responsable del tratamiento.
2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
3. Los derechos que le asisten al titular.
4. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.
No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este capítulo.
(Decreto 1377 de 2013, art. 15)
Artículo 2.2.2.25.3.4. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información. Los Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.
(Decreto 1377 de 2013, art. 16)
Artículo 2.2.2.25.3.5. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
(Decreto 1377 de 2013, art. 17)
Artículo 2.2.2.25.3.6. Procedimientos para el adecuado tratamiento de los datos personales.  Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.
(Decreto 1377 de 2013, art. 18)
Artículo 2.2.2.25.3.7. Medidas de seguridad.  La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con las medidas de seguridad en el Tratamiento de datos personales.
(Decreto 1377 de 2013, art. 19

Archivo: Grupo de registros relacionados.
Atributos: Es una unidad básica e indivisible de información acerca de una entidad o una relación. Por ejemplo la entidad proveedor tendrá los atributos nombre, domicilio, población.
Base de datos: Base de Datos es un conjunto exhaustivo no redundante de datos estructurados organizados independientemente de su utilización y su implementación enmá3quina accesible en tiempo real y compatible con usuarios concurrentes con necesidad de información diferente y no predicable en tiempo.
Campo: Grupo de caracteres.
Claves: Campo o grupo de campos en un registro, que se usa para identificar a este último.
Clave Primaria: Campo o grupo de campos que identifican exclusivamente un registró.
Diagrama Entidad- Relación: Modelo de datos que usa símbolos gráficos para mostrar la organización y las relaciones entre los datos.
Dominios: Es el conjunto de valores que puede tomar cada atributo. Por ejemplo el dominio del atributo población, será la relación de todas las poblaciones del ámbito de actuación de nuestra empresa.
Entidades: Son objetos concretos o abstractos que presentan interés para el sistema y sobre los que se recoge información que será representada en un sistema de bases de datos. Por ejemplo, clientes, proveedores y facturas serían entidades en el entorno de una empresa.
Integridad de datos: Grado hasta el cual son exactos los datos en cualquier archivo individual.
Lenguaje de Consulta estructurado (SQL): Lenguaje de manipulación de datos estandarizado.
Métodos: Una operación que realiza acceso a los datos. Podemos definir método como un programa procedimental o procedural escrito en cualquier lenguaje, que está asociado a un objeto determinado y cuya ejecución sólo puede desencadenarse a través de un mensaje recibido por éste o por sus descendientes.
Métodos heredados: Están definidos en un objeto diferente, antepasado de éste (padre, "abuelo", etc.). A veces estos métodos se llaman método miembro porque el objeto los posee por el mero hecho de ser miembro de una clase.