Con fundamento en lo dispuesto en la Constitución Política de Colombia y particularmente en la Ley 1581 de 2012, su Decreto Reglamentario 1377 de 2013, la Ley 1266 de 2008, parcialmente Reglamentada por el Decreto 1081 de 2015 y al compromiso institucional y empresarial en cuanto al tratamiento de la información, PERSONAL SOFT S.A.S., da a conocer la presente Política de Tratamiento de Datos e Información bajo la cual lleva a cabo la recolección, almacenamiento, uso, circulación, supresión y, en general, el tratamiento de los datos de los titulares de la información, sean estos clientes actuales o potenciales, especialistas, proveedores, subcontratistas, colaboradores y aspirantes durante el procesode selección laboral. Así mismo, esta política de tratamiento contiene las condiciones de seguridad y confidencialidad con la que será procesada dicha información y los procedimientos establecidos para que los titulares de los datos puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

PERSONAL SOFT S.A.S, para el desarrollo de su objeto social, continuamente está recopilando y tratando datos personales e información financiera de algunos actores de los cuales es responsable en el marco de la regulación vigente; así las cosas, el objeto de esta política consiste en establecer los lineamientos óptimos para obtener la autorización de los titulares, efectuar el tratamiento de los datos personales, financieros, las finalidades de uso, los derechos que le asisten a sus titulares, los canales de atención, así como los procedimientos internos para el respectivo tratamiento. De la siguiente manera:

• Estableciendo pautas para proteger la privacidad de los datos personales de los titulares.
  Definiendo la finalidad de la recolección de la información.
• Estableciendo pautas para almacenar y desarrollar cualquier actividad en la que se incluyan los datos personales.
• Estableciendo procedimientos internos que deberán llevarse a cabo para el tratamiento adecuado de los datos personales.
• Determinando el marco para la atención de consultas, peticiones quejas y reclamos acerca del tratamiento de los datos de carácter personal que recoja y maneje.
• Definiendo procedimientos para conocer, actualizar, rectificar y revocar la información por parte de los titulares.

La presente política aplica a las bases de datos personales que se encuentren en poder de la sociedad PERSONAL SOFT S.A.S y los encargados del tratamiento de datos personales que obren en nombre de ella, con las limitaciones y restricciones que establece la Ley.

Esta política aplica para toda la información personal y financiera registrada en las bases de datos de PERSONAL SOFT S.A.S y todos los funcionarios, contratistas y terceros que tengan relación con este y que ejerzan tratamiento sobre las bases de datos personales, deben cumplir con esta política y los procedimientos establecidos para el tratamiento de los datos personales.

Así mismo, PERSONAL SOFT S.A.S como responsable del tratamiento de datos personales, utilizará este manual para fijar los principios y bases fundamentales sobre las cuales se llevará a cabo el tratamiento de datos personales que realice en el desarrollo de su objeto social.

TRATAMIENTO Y FINALIDAD DE LA INFORMACIÓN

Los datos personales y financieros de los titulares de la información serán recolectados, almacenados, usados, circulados, compartidos, procesados, según su vínculo contractual con PERSONAL SOFT S.A.S., en cada una de las bases de datos con las que esta cuenta.

Actualmente, la sociedad PERSONAL SOFT S.A.S ha identificado las siguientes bases de datos:

• Seguimiento Selección: Base de datos en formato Excel empleada para el monitoreo de las personas que se encuentran en proceso de selección. La información se obtiene directamente de las personas al enviar su hoja de vida para postularse a las vacantes de PERSONAL SOFT S.A.S. y/o al acceder a las hojas de vida que tienen postuladas en los portales de empleo a los cuales tiene acceso PERSONAL SOFT S.A.S. De estas hojas de vida se extrae información cómo: nombre completo de la persona, documento de identidad, ciudad de residencia, teléfonos (fijo y celular), correo electrónico, empresa en la que actualmente labora.

Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT
S.A.S. y a ella tiene acceso de consulta todo el equipo del área de Gestión Humana. La autorización de acceso a la base de datos deberá ser manifestada por el Coordinador de Gestión Humana o la Gerente Administrativa y Financiera, al área de Gestión Tecnológica para conceder dicho acceso. La base de datos solo podrá ser actualizada por los responsables de liderar el proceso de selección.

• Base de datos Empleados: Es una base de datos en formato Excel empleada para mapear a todos los colaboradores de PERSONAL SOFT S.A.S. Los datos se obtienen directamente de las personas al ingresar y al realizar las afiliaciones al sistema de seguridad social. La información que reposa en esta base de datos contiene: tipo de documento de identidad, número de documento de identidad, fecha de nacimiento, lugar de nacimiento, fecha de expedición documento de identidad, lugar de expedición documento de identidad, nombres y apellidos, género, RH, teléfono fijo, teléfono móvil, dirección, correo corporativo, correo personal, número de hijos, estado civil, caja de compensación, EPS, AFP, ARL, tipo de cuenta bancaria, número de cuenta bancaria, fecha de ingreso, tipo de contrato, sede, cargo, jefe inmediato, área, gerencia, ubicación, cliente, nivel académico, profesión, salario de ingreso, fondo de cesantías, datos de contacto familiar (nombres y apellidos), teléfono contacto familiar, parentesco. Esta base de datos tiene como finalidad y/o es usada para:

– Administrar y operar, directamente o por conducto de terceros, los procesos de selección y vinculación de personal, incluyendo la evaluación y calificación de los participantes y la verificación de referencias laborales y personales.
– Para individualizar a los trabajadores directos de la sociedad.
– Para afiliar al sistema integral de seguridad social y caja de compensación familiar.
– Para el registro y sistema de nómina, realizando los pagos necesarios derivados de la ejecución del contrato de trabajo y/o su terminación, y las demás prestaciones sociales a que haya lugar de conformidad con la ley aplicable.
– Para desarrollar programas de gestión humana: Bienestar y calidad de vida para empleados activos y jubilados, salud ocupacional, promoción interna de cargos y programas de formación.
– Para realizar exámenes médicos y registros de programa de Seguridad y Salud en el Trabajo.
– Notificar a contactos autorizados en caso de emergencias durante el horario de trabajo o con ocasión del desarrollo del mismo.

Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT S.A.S. y a ella tiene acceso de consulta todo el equipo del área de Gestión Humana. La autorización de acceso a la base de datos deberá ser manifestada por el Coordinador de Gestión Humana o la Gerente Administrativa y Financiera, al área de Gestión Tecnológica para conceder dicho acceso. La base de datos solo podrá ser actualizada por los responsables de liderar el proceso de contratación.

• Cuentas: Es una base de datos generada por la aplicación SUGAR y es usada para el monitoreo de las cuentas de los clientes. Los datos se obtienen directamente delcliente cuando se tiene algún acuerdo comercial con ellos, de estos se obtiene información cómo: Nit, Nombre, Teléfono Principal, Teléfono Alternativo, Web, Fax, Contacto Principal, Dirección de Facturación, Ciudad de Facturación, Estado/Provincia de Facturación, Código Postal de facturación, País de Facturación, Dirección de Envió , Ciudad de Envió, Estado/Provincia de Envió, Código Postal de envió, País de Envió, Descripción de la empresa, Sector, Cantidad de Empleados, Ingresos Anuales.

Esta base de datos tiene como finalidad y/o es usada:

– Para realizar actos de promoción y publicidad de nuestros productos y/o servicios.
– Para establecer comunicación directa cuando sea necesario.
– Para informar novedades y cambios en las políticas comerciales de la sociedad.
– Para desarrollar estrategias de fidelización, mantenimiento y retención de clientes.
– Para enviar información referente a la cartera.
– Para adelantar actualizaciones de las bases de datos y demás actividades de mercadeo, estadísticas y administrativa que resulten necesarias en el normal desarrollo del objeto social de la sociedad.

Esta base de datos se encuentra alojada en un servidor en la nube de uno de los proveedores de PERSONAL SOFT S.A.S, a la cual tienen acceso el área comercial, mercadeo y ventas y las gerencias (General, Administrativa y Financiera, Operaciones), por medio de un usuario y clave, los cuales son asignados por el áreade Gestión Tecnológica y esta misma es quien inactiva el acceso a la aplicación cuando se retira un colaborador de PERSONAL SOFT S.A.S. La base de datos puede ser consultadas por las áreas mencionadas anteriormente, pero solo es alimentadapor el área comercial.

• Contactos: Es una base de datos generada por la aplicación SUGAR y es usada para el monitoreo de los contactos de clientes actuales y prospectos. Los datos se obtienen directamente del cliente cuando se tiene algún acercamiento a ellos sin necesidad de tener un acuerdo comercial, de estos se obtiene información cómo: Nombre, Apellidos, Cuenta, Área de la Organización, Cargo, Teléfono Móvil, Teléfono de Oficina, Ext, Correo Electrónico, Fax, Dirección Principal, Ciudad, Estado/Provincia, Código Postal, País.

Esta base de datos se encuentra alojada en un servidor en la nube de uno de los proveedores de PERSONAL SOFT S.A.S, a la cual tienen acceso el área comercial, mercadeo y ventas y las gerencias (General, Administrativa y Financiera, Operaciones), por medio de un usuario y clave, los cuales son asignados por el área de Gestión Tecnológica y esta misma es quien inactiva el acceso a la aplicación cuando se retira un colaborador de la empresa. La base de datos puede ser consultadas por las áreas mencionadas anteriormente, pero solo es alimentada por el área comercial.

• Proveedores: Es una base de datos almacenada en carpetas (una por cada proveedor) y es de uso administrativo e informativo. Los datos se obtienen directamente de cada proveedor al realizarles una compra; de estos se obtiene información cómo: RUT de la empresa o personal natural, cedula del representante legal, cámara de comercio (de ser el caso), referencia bancaria y formato de creación de proveedores.

La recolección de información a través de esta base de datos es usada:

– Para invitar a participar en procesos de selección de proveedores y estudios de mercado.

– Para suscribir órdenes de compra, órdenes de servicios y contratos, así como otros documentos contractuales.

– Para adelantar futuras actualizaciones de las bases de datos y demás actividades de mercadeo, estadísticas y administrativas que resulten necesarias en el normal desarrollo objeto social de la sociedad.

– Para la evaluación del cumplimiento de sus obligaciones.

– Para hacer el registro en los sistemas y bases de datos de la sociedad.

– Para realizar pagos.

Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT S.A.S. y a ella tiene acceso de consulta todo el equipo del área de Administrativa y Financiera. La autorización de acceso a la base de datos deberá ser manifestada por la Gerente Administrativa y Financiera, al área de Gestión Tecnológica para conceder dicho acceso. La base de datos solo podrá ser actualizada por los responsables de liderar el proceso de compras.

• Registro Único de Proveedores: Es una base de datos en formato Excel que se actualiza cada que se crea un proveedor nuevo en la carpeta proveedores, su finalidad es contar con información respectiva de cada uno y obtener los datos fiscales para la validación de los productos que ofrece según las necesidades de PERSONAL SOFT S.A.S. En esta base de datos se almacena información cómo: Nombre Proveedor, NIT, Clasificación, Insumos/Servicios Ofrecidos, Ciudad Dirección, Contacto, Teléfono, Celular, Email, Actividad Económica Principal, Actividad Económica Secundaria y Observaciones.

Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT S.A.S. y a ella tiene acceso de consulta todo el equipo del área de Administrativa y Financiera. La autorización de acceso a la base de datos deberá ser manifestada por la Gerente Administrativa y Financiera, al área de Gestión Tecnológica para conceder dicho acceso. La base de datos solo podrá ser actualizada por los responsables de liderar el proceso de compras.

• Active Directory Office 365: Es una base de datos de información de los colaboradores de PERSONAL SOFT S.A.S., la cual permite el acceso a las aplicaciones contratadas en la plataforma office 365 (Office 365 pro plus, visio, project). En esta se almacena información de los colaboradores cómo: Nombre, correo corporativo, cedula y sede donde está ubicado; dicha información se obtiene desde el área de Gestión Humana.

Esta base de datos reposa en la infraestructura cloud del proveedor del servicio, Microsoft. La información aquí contenida, es administrada por el personal de Gestión Tecnológica quien posee los privilegios administrativos y es actualizada cada vez que hay un retiro o nuevo ingreso.

• G Suite: Es una base de datos de información de los colaboradores de PERSONAL SOFT S.A.S., la cual permite el acceso a las aplicaciones contratadas en la plataforma G Suite. En esta se almacena información de los colaboradores cómo: nombre y correo corporativo; dicha información obtiene desde el área de Gestión Humana.

Esta base de datos reposa en la infraestructura cloud del proveedor del servicio, GSuite (Google Apps). La información aquí contenida, es administrada por el personal de Gestión Tecnológica quien posee los privilegios administrativos y es actualizada cada vez que hay un retiro o nuevo ingreso.

• Active Directory On-Premise: Es una base de datos que permite el acceso y control de los colaboradores a la infraestructura de PERSONAL SOFT S.A.S. y los servicios prestados desde el área de Gestión Tecnológica.
Esta base de datos tiene como finalidad administrar y controlar el personal de la compañía dentro del dominio PERSONALSOFT, regular y parametrizar los roles y permisos con seguridad establecidos en la Matriz de Accesos y Privilegios.
En esta se almacena información de los colaboradores cómo: nombre, correo corporativo, extensión y sede donde está ubicado; dicha información se obtiene área de Gestión Humana. Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT S.A.S. La información aquí contenida, es administrada y gestionada de forma manual por el personal de Gestión Tecnológica quien posee los privilegios administrativos y es actualizada cada vez que hay un retiro o nuevo ingreso.

• GLPI: Es una base de datos usada para la administración de los activos fijos asignados a cada colaborador y permite la autogestión por medio de requerimientos transversales a PERSONAL SOFT S.A.S. En esta se almacena información de los colaboradores cómo: nombre, correo corporativo, extensión y sede donde está ubicado; dicha información es alimentada desde el Active Directory On-Premise.

Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT

S.A.S. y se gestiona de forma automática al sincronizarse con el Active Directory On-Premise.

• Intranet: Es una base de datos que permite consultar información de contacto de los colaboradores activos de PERSONAL SOFT S.A.S. En esta se almacena información cómo: nombre, correo corporativo, extensión y sede donde está ubicado; dicha información es alimentada desde el Active Directory On-Premise. Esta base de datos reposa en los servidores internos que posee PERSONAL SOFT
S.A.S. y se gestiona de forma automática al sincronizarse con el Active Directory On-Premise; el acceso está permitido a todos los colaboradores de PERSONAL SOFT S.A.S.

Estas bases de datos y cualquiera que se llegue a crear en ejercicio de su actividad, serán tratadas de conformidad con la legislación vigente.

PERSONAL SOFT S.A.S., reconoce la titularidad que de los datos personales ostentan las personas y en consecuencia ellas de manera exclusiva pueden decidir sobre los mismos. Por lo tanto,

• Deberá contar con la autorización individual de los titulares para realizar el tratamiento de los datos.
• Deberá guardar prueba de las autorizaciones de los titulares mientras la base de datos esté activa.

• Deberá cumplir tanto con los Deberes de Responsable del Tratamiento como los del Encargado del Tratamiento con forme lo dispuesto en los artículos 17 y 18 de la Ley 1581 de 2012.
• No podrá entregar a terceros datos personales de los titulares sin autorización expresa e individual de estos.
• Deberá garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• En caso de convenios empresariales PERSONAL SOFT S.A.S. solicitará, por un medio que permita su reproducción, la autorización de(los) titular(es) interesados en beneficiarse con el mismo.
• En todo caso, PERSONAL SOFT S.A.S., no entregará a terceros información sensible de los titulares, salvo en caso de solicitud expresa y formal de un ente gubernamental.
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos.
• Buscar el medio para obtener la autorización expresa por parte del titular de los datos para realizar cualquier tipo de tratamiento y conservar copia de dicha autorización.
• Informar de manera clara y expresa a los titulares de datos personales, el tratamiento al cual serán sometidos los datos, la finalidad de dicho tratamiento y los derechos que le asisten por virtud de la autorización otorgada.
• Informar a los titulares de los datos para cada caso, el carácter facultativo de responder y otorgar la información solicitada.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Informar la identificación, dirección física o electrónica y teléfono de la persona o área que atenderá la calidad de responsable de tratamiento.
• Garantizar al titular de la información, el pleno y efectivo ejercicio del derecho al hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, solicitar la actualización o corrección de datos y tramitar consultas, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos previstos en la presente política.
• Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada se mantenga actualizada.
• Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente política.
• Exigir al encargado del tratamiento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
• Tramitar las consultas, reclamos y solicitudes formulados en los términos señalados en la ley y en la presente política.
• Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la solicitud y no haya finalizado el trámite respectivo.
• Informar a la autoridad de protección de datos cuando se presenten violaciones a

los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

PERSONAL SOFT S.A.S., requiere del consentimiento libre, previo, expreso e informado del titular de los datos personales para el tratamiento de los mismos, excepto en los casos expresamente autorizados en la ley.

Si PERSONAL SOFT S.A.S., modifica o cambia la finalidad contenida en la Autorización, informará a los titulares con el fin de obtener la Autorización para realizar un tratamiento legítimo de los datos.

En todo caso, PERSONAL SOFT S.A.S., no solicitará Autorización de los titulares para realizar auditorías, verificación de antecedentes judiciales, investigaciones relacionadas con la infracción de las políticas de la compañía, fraude, conductas contrarias a la Ley, para evitar dar aviso a los sospechosos permitiendo que estos puedan ocultar, destruir pruebas, influenciar testigos, etc., todo lo anterior dentro del cumplimiento de la Ley aplicable.

PERSONAL SOFT S.A.S., no tratará datos personales para los que no tenga Autorización, en caso de que sea necesario realizar dicho tratamiento primero solicitará la Autorización del Titular dándole a éste la oportunidad de negarse al tratamiento. PERSONAL SOFT S.A.S.no hará tratamiento de datos sensibles para propósitos diferentes a los Autorizados salvo en caso de ser necesario para cumplir con la normatividad laboral, de impuestos y demás normas aplicables.

De acuerdo con lo establecido en la Ley 1581 de 2012 y de conformidad con las autorizaciones impartidas por los titulares de la información, PERSONAL SOFT S.A.S realizará operaciones que incluyen recolección de datos, su almacenamiento, uso, circulación y/o supresión.

Este Tratamiento de datos se realizará exclusivamente para las finalidades autorizadas y previstas en la presente política y aquellas informadas y aceptadas por los titulares de los datos en el momento de su recolección. De la misma forma se realizará tratamiento de datos personales cuando exista una obligación legal o contractual para ello.

· Integridad de los Datos

PERSONAL SOFT S.A.S., sólo recolecta y trata los datos personales necesarios para cumplir con la finalidad Autorizada. Cuando un titular solicita la supresión de algún dato personal porque éste ha dejado de ser necesario para la finalidad, la empresa procederá con la destrucción del dato, siempre que no deba conservarlo por un periodo específico de tiempo en cumplimiento de la Ley.

· Datos Personales de los menores

Cuando PERSONAL SOFT S.A.S., recopila datos de menores de edad, lo hace previa autorización de sus padres, respetando sus derechos fundamentales y única y exclusivamente con fines de bienestar laboral de sus empleados (concursos, fiesta del día niño, obsequios). Estos datos no son compartidos ni transferidos a terceros.

Los titulares pueden, en cualquier momento, conocer, actualizar, rectificar, pedir la supresión de sus datos y solicitar prueba de la autorización del tratamiento de sus datos personales poniéndose en contacto con:

Teléfono: 604 403 72 50

Dirección de Correspondencia: Centro Empresarial Ciudad del Río C2 | Cra. 48 #20-114 Oficina 1026

Ciudad: Medellín

Correo electrónico: contactenos@personalsoft.com.co

PERSONAL SOFT S.A.S., responderá la solicitud dentro de los 10 días siguientes a la fecha de su solicitud

Los titulares de datos personales, sin importar el tipo de vinculación que tengan con PERSONAL SOFT S.A.S pueden ejercer sus derechos a conocer, actualizar, rectificar y suprimir información y/o revocar la autorizar otorgada de acuerdo con los siguientes procedimientos:

1. Procedimiento para solicitar prueba de la autorización otorgada: La solicitud se radicará a través de los datos de contacto aquí mencionados, indicando por lo menos, nombre completo del titular de la información y su número de identificación, lugar o dirección física o electrónica a la cual se le dará respuesta.

Recibida la solicitud se enviará copia de la autorización, dentro de quince (15) días hábiles contados a partir del día siguiente a la fecha de recibo de la solicitud. Cuando no fuere posible atenderla dentro de dicho término, se informarán al interesado los motivos de la demora y la fecha en que se atenderá; en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

1. Procedimiento para actualizar información. El titular de los datos personales que esté interesado en actualizar la información suministrada y bajo tratamiento por parte de la sociedad o el encargado del tratamiento, podrá enviar la información actualizada a través de alguno de los canales establecidos para tal fin, como el correo electrónico del área encargada del tratamiento de datos
2. Procedimiento para rectificar y suprimir información y/o revocar autorizaciones: Cuando el titular de la información pretenda rectificar, suprimir y/o revocar autorizaciones para el tratamiento de datos personales presentará una solicitud de acuerdo con lo siguiente:

• La solicitud deber ser presentada a través de los datos de contacto aquí mencionados, con la identificación del titular, la descripción de los hechos que dan lugar a la misma, la dirección y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer.
• Si la solicitud se encontrara incompleta, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción de ésta para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la misma.
• En caso de que quien reciba la solicitud no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
• Una vez recibida la solicitud completa, se incluirá en la base de datos una leyenda que diga “Reclamo en trámite” y el motivo de este, en un término no mayor a cinco (5) días hábiles. Dicha leyenda deberá mantenerse hasta que la solicitud sea decidida.
• El término máximo para atender la solicitud será de diez (10) días hábiles contados a partir del día siguiente a la fecha de su Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su solicitud, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

La solicitud de supresión de la información y la revocatoria de la autorización, no procederá cuando el titular tenga un deber legal o contractual con la sociedad.

PERSONAL SOFT S.A.S. puede transferir o compartir los datos personales propios con sus proveedores y/o aliados comerciales/clientes cuando sea necesario para el tratamiento de los datos, siempre y cuando tenga autorización del titular para ello. La empresa procurará que sus proveedores y/o aliados comerciales/clientes tengan mínimo su mismo nivel de seguridad para la protección de los datos entregados, buscando el cumplimiento de esta Política y evitando la divulgación no autorizada de datos personales.

En cumplimiento de este requerimiento PERSONAL SOFT S.A.S. ha diseñado cláusulas contractuales de protección de datos personales para los contratos suscritos con sus proveedores y/o aliados comerciales/clientes. Estas cláusulas son modelos de referencia y pueden ser modificadas en cuanto a su redacción, pero deberán conservar su objetivo de proteger los datos personales con un tratamiento responsable de los mismos de acuerdo con esta Directriz.

En relación con lo anterior, todo proceso que conlleve el tratamiento de datos personales por parte de la sociedad deberá tener en cuenta, los derechos que le asisten a los titulares, así:

1. Conocer, actualizar, rectificar y consultar sus datos personales en cualquier momento frente a la sociedad o los encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada a la sociedad, o cualquier otra que suscriba el titular de los datos personales para tal efecto, salvo cuando expresamente se exceptúe como requisito para el tratamiento de datos de conformidad con la ley.
3. Presentar ante la autoridad competente quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen, para hacer valer su derecho al habeas data.
4. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la ley 1581 de 2012 y a la Constitución.

1. Acceder en forma gratuita a los datos personales que hayan sido objeto de tratamiento, cuando la sociedad se encargue de conservar y archivar de forma segura y confiable los formatos de autorización de cada uno de los titulares de datos personales, debidamente otorgados.

Dando cumplimiento al principio de seguridad establecido en la normatividad vigente, PERSONAL SOFT S.A.S. adoptará las medidas técnicas, humanas y administrativas que sean necesarias para salvaguardar los datos personales contra pérdida, manipulación indebida, acceso no autorizado, modificación, divulgación y/o destrucción. La sociedad se compromete a conservar la información almacenada en servidores que cumplen con los estándares de seguridad necesarios para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento y así garantizar el ejercicio del derecho de hábeas data. Si bien nos esforzamos para proteger la información, PERSONAL SOFT S.A.S no puede garantizar al 100% que la información que se transmite será siempre privada, excluyendo cualquier tipo de responsabilidad por fuerza mayor o caso fortuito. La información es administrada con absoluta confidencialidad y conforme lo dispone la legislación vigente en Colombia y el Manual de Ética Organizacional.

La Autorización podrá ser a través de mecanismos predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Puede ser:

• Por escrito
• De forma oral
• Mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.

En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

Los incidentes de seguridad pueden clasificarse dependiendo del grado de pérdida de las siguientes características de la información:

• Confidencialidad
• Integridad
• Disponibilidad

•  MEDIDAS PREVENTIVAS

• Revisar periódicamente las condiciones del Tratamiento de datos en contratos y acuerdos.
• Realizar auditorías internas, externas o mixtas.
• Ajustar las evaluaciones de impacto en datos personales.
• Establecer esquemas de trabajo a corto, mediano y largo Así como los roles y responsabilidades en el tratamiento de datos.

•  EQUIPO DE RESPUESTA ANTE UN INCIDENTE DE SEGURIDAD Responsables

• Head of Administration & Finance
• Head of Quality Management
• Líderes Áreas / Procesos Involucrados

PERSONALSOFT S.A.S cuenta con un procedimiento de Gestión de Incidentes en el Manual de Riesgos y Seguridad de la Información (GEODC43_ManualdeRiesgosySeguridaddelaInformación) en el Numeral 22.3 Fases de Continuidad del Negocio, la tercera fase corresponde a Gestión de incidentes donde una vez finalizada la contingencia se debe surtir el paso a paso, con el objetivo de identificar las causas que generaron la contingencia y tomar medidas que prevengan su ocurrencia.

1. Contener el incidente y realizar una evaluación

Una vez que se tenga conocimiento de la ocurrencia de un incidente de seguridad, el equipo de respuesta encargado deberá adoptar las medidas inmediatas para limitar esa falla y evitar cualquier compromiso adicional a la información de carácter personal bajo su cuidado.

En esta primera etapa, el personal deberá comenzar una investigación inicial sobre el evento u ocurrencia. La indagación preliminar les ayudará a responder las siguientes preguntas respecto del incidente de seguridad:

• ¿Cómo se produjo?
• ¿Cuándo y dónde tuvo lugar?
• ¿Cuál fue la naturaleza y quién lo detectó?
• ¿Se continúa compartiendo o divulgando información personal sin Autorización?
• ¿Quién tiene acceso a la información personal?
• ¿Qué se puede hacer para asegurar la información o detener el acceso, divulgación o disponibilidad no autorizada y reducir el riesgo de daños a los afectados?
• ¿Es un incidente de seguridad relacionado con Datos Personales que requiere la notificación a las personas tan pronto como sea posible?

Durante esta etapa preliminar, el personal debe actuar con sumo cuidado para no destruir la evidencia que pueda ser valiosa para establecer la causa del incidente de seguridad, identificar todos los riesgos generados a los Titulares de la información e informar y responder los requerimientos de la SIC y otras autoridades.

2. Evaluar los riesgos e impactos asociados con el incidente.

La adecuada gestión de riesgos requiere un profundo y juicioso proceso de identificación y evaluación del nivel de severidad del incidente de seguridad; la probabilidad de daño para los Titulares de la Información; el nivel de riesgo para sus derechos y libertades; y el Tratamiento que se dará a esos riesgos.

Un incidente de seguridad puede tener una variedad de efectos adversos sobre las personas que puede dar lugar a problemas de discriminación, suplantación de identidad o fraude, pérdidas financieras, daño reputacional, pérdida del carácter confidencial de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo.

•  NIVELES DE RIESGO EN LOS INCIDENTES DE SEGURIDAD

Bajo riesgo: es improbable que el incidente de seguridad tenga un impacto en las personas, y de generarlo, este sería mínimo.

Riesgo medio: el incidente de seguridad puede tener un impacto en las personas, pero es poco probable que el impacto sea sustancial.

Riesgo alto: el incidente de seguridad puede tener un impacto considerable en las personas afectadas.

Riesgo grave: el incidente de seguridad puede tener un impacto crítico, extenso o peligroso en las personas afectadas.

3. Identificar los daños para las personas, socios, organizaciones y público en general.

En general, los daños pueden ser:

• Riesgo de seguridad física.
• Extorsión
• Hurto de identidad
• Pánico económico
• Pérdida reputacional
• Pérdida de clientes
• Pérdida de activos
• Riesgos de demanda

4. Notificar a la Superintendencia de Industria y comercio.

La ocurrencia del incidente de seguridad debe ser reportada ante la SIC sin dilación indebida y a más tardar dentro los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La notificación de un incidente de seguridad en Datos Personales debe contener, como mínimo, la información que establece el Registro Nacional de Bases de Datos (RNBD).

5. Comunicar a los titulares de la información.

La comunicación a los Titulares de la Información brinda la oportunidad para que ellos mismos puedan adoptar las medidas necesarias para protegerse de las consecuencias de un incidente de seguridad. Por ejemplo, cambiar su nombre de usuario y contraseña; monitorear su historial crediticio; cancelar su tarjeta de crédito; etc.

• ¿Cuándo comunicar?
• ¿Cómo comunicar?
• ¿Quién debe comunicar?
• ¿Qué debe incluirse en la comunicación?

Las comunicaciones deben ser suficientes claras y precisas para permitir que los Titulares de la información comprendan la importancia del incidente y que tomen las medidas, si es posible, para reducir los riesgos que podría resultar de su ocurrencia. Es primordial no incluir información personal innecesaria en el aviso para evitar una posible divulgación no autorizada.

PERSONAL SOFT S.A.S. se reserva el derecho de realizar cambios en esta Política de Privacidad de información en cualquier momento. Los cambios efectuados serán notificados mediante un aviso a los titulares por cualquiera de los medios utilizados por PERSONAL SOFT S.A.S. para mantenerse en contacto con sus colaboradores, contratistas, clientes y proveedores.

Esta política de Privacidad de Información estará siempre publicada en la página web www.personalsoft.com

VIGENCIA

La presente Política está vigente desde el 17 de abril de 2013. Modificada 22 de febrero de 2022.