Por medio de este documento y en cumplimiento de lo establecido en el literal k) del artículo 17 de la Ley
Estatutaria1581 de 2012, Multisponsor S.A.S. (en adelante la “Agencia”) adopta su manual interno de políticas
y procedimientos para garantizar el correcto tratamiento de los datos personales y en particular para establecer
el procedimiento que se debe seguir la atención de las consultas, quejas y reclamos realizadas por los titulares
de los datos personales.
1. Aspectos Generales
1.1.Definiciones
Para la adecuada interpretación y aplicación del presente documento y de acuerdo con lo
establecido en el artículo 3 de la Ley 1581 de 2012 y el artículo 3 del Decreto 1377 de 2013, se
entiende por:
i. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales;
ii. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
iii. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables;
iv. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma
o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable
del Tratamiento;
v. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
vi. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
vii. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión.
viii. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida
al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca
de la existencia de las políticas de Tratamiento de información que le serán aplicables, la
forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los
datos personales.
ix. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos
públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u
oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos
públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén
sometidas a reserva.
x. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del
Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual,
y los datos biométricos.
xi. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado
del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos
personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro
o fuera del país.
xii. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos
dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la
realización de un Tratamiento por el Encargado por cuenta del Responsable.
1.2.Principios
El presente manual y el Tratamiento de los Datos Personales será aplicado teniendo en cuenta los
principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación
restringida, seguridad y confidencialidad establecidos en el artículo 4 de la Ley 1581 de 2012.
1.3.Derechos
El Titular de los datos personales tendrá los siguientes derechos:
i. Conocer, actualizar y rectificar sus datos personales frente a los Responsables del
Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente
a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos
cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
ii. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando
expresamente se exceptúe como requisito para el Tratamiento;
iii. Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa
solicitud, respecto del uso que le ha dado a sus datos personales;
iv. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo
dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o
complementen;
v. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se
respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o
supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado
que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a
esta ley y a la Constitución;
vi. f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
1.4.Deberes
En los casos en los que la Agencia actúe como Responsable del Tratamiento, la Agencia se obliga
a cumplir con los siguientes deberes de acuerdo con lo establecido en el artículo 17 de la Ley 1581
de 2012:
i. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data;
ii. Solicitar y conservar copia de la respectiva autorización otorgada por el Titular;
iii. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la autorización otorgada;
iv. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
v. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible;
vi. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y adoptar
las demás medidas necesarias para que la información suministrada a este se mantenga
actualizada;
vii. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del
Tratamiento;
viii. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
ix. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del Titular;
x. Tramitar las consultas y reclamos formulados en los términos señalados en la presente Ley
1581 de 2012;
xi. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la Ley 1581 de 2012 y en especial, para la atención de consultas y
reclamos;
xii. Informar al Encargado del Tratamiento cuando determinada información se encuentra en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo;
xiii. Informar a solicitud del Titular sobre el uso dado a sus datos;
xiv. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos
de seguridad y existan riesgos en la administración de la información de los Titulares;
xv. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
En los casos en los que la Agencia actúe como Responsable del Tratamiento, la Agencia se obliga
a cumplir con los siguientes deberes de acuerdo con lo establecido en el artículo 18 de la Ley 1581
de 2012:
i. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data;
ii. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
iii. Realizar oportunamente la actualización, rectificación o supresión de los datos en los
términos de la Ley 1581 de 2012;
iv. Actualizar la información reportada por los Responsables del Tratamiento dentro de los
cinco (5) días hábiles contados a partir de su recibo;
v. Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en la presente ley;
vi. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos
por parte de los Titulares;
vii. Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula
en la presente ley;
viii. Insertar en la base de datos la leyenda “información en discusión judicial” una vez
notificado por parte de la autoridad competente sobre procesos judiciales relacionados con
la calidad del dato personal;
ix. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
x. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a
ella;
xi. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a
los códigos de seguridad y existan riesgos en la administración de la información de los
Titulares;
xii. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
2. Autorización de Tratamiento de Datos Personales
La Autorización para el Tratamiento de Datos Personales es el consentimiento previo expreso e
informado otorgado por el Titular al Responsable del Tratamiento o al Encargado del Tratamiento por
medio del que autoriza el Tratamiento de sus Datos Personales. Esta autorización debe constar en
cualquier medio que pueda ser objeto de consulta posterior.
En los casos en los que se requiere la autorización para el Tratamiento de un Dato Sensible se le
informará al titular cuales son los Datos Sensibles y cual será su Tratamiento, que este tipo de Datos
Personales cuentan con una protección reforzada, que por tratarse de Datos Sensibles no está obligado
a autorizar su Tratamiento, y que ninguna actividad será condicionada al suministro de los Datos
Personales Sensibles.
Cuando se requiera realizar el Tratamiento de Datos Personales de menores de edad, serán sus padres
o representantes legales quienes otorguen o no la autorización una vez hayan escuchado al menor.
La solicitud de la autorización no será obligatoria cuando:
i. La información es requerida por una entidad pública o administrativa en ejercicio de sus
funciones legales o por orden judicial;
ii. Datos de naturaleza pública;
iii. Casos de urgencia médica o sanitaria;
iv. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o
científicos;
v. Datos relacionados con el Registro Civil de las Personas.
2.1. Mecanismos para obtener la autorización de tratamiento
Los Titulares podrán manifestar su autorización para el Tratamiento de sus Datos Personales:
i. Por escrito;
ii. De forma oral;
iii. Mediante conductas inequívocas del Titular de los Datos Personales que le permitan al
Responsable del Tratamiento y/o al Encargado del Tratamiento que se otorgó la
autorización.
2.2.Aviso de privacidad
El Responsable o Encargado del tratamiento puede informar al Titular de forma verbal o escrita
sobre la existencia y las formas de acceder a las políticas de tratamiento de la información y el
objetivo de su recolección y uso.
El aviso de privacidad deberá informar el nombre y la razón social de la Agencia junto con los
datos de contacto, la finalidad y el tipo del Tratamiento, los derechos del Titular, los mecanismos
dispuestos para que el Titular conozca la Política de Tratamiento de Datos Personales y los cambios
que pueda tener. En caso de que los Datos recolectados sean Datos Sensibles, se informará su
carácter sensible y la no obligatoriedad de informarlos.
3. PROCEDIMIENTO PARA ATENDER CONSULTAS, RECLAMACIONES QUEJAS Y RECLAMOS.
En cualquier momento y de forma gratuita el Titular, su representante o su causahabiente previa
acreditación de su condición puede solicitar a la Agencia información sobre el uso de sus Datos
Personales, hacer consultas o reclamos para, actualizar, modificar o suprimir los Datos Personales.
En los casos en los que el representante o causahabiente no acredite su condición, la Agencia le
informará que tramitará la solicitud hasta que presente el documento o los documentos que acrediten
su condición de representante o causahabiente.
Prixila Tobón Directora de Campañas de Multisponsor S.A.S., es la persona encargada de tramitar las
solicitudes, quejas y reclamos de los Titulares de los Datos personales a través del teléfono (57) 4
6071313 y del correo electrónico
[email protected].
3.1. CONSULTAS
De acuerdo con el artículo 14 de la Ley Estatutaria 1581 de 2012 los Titulares, su representante o
sus causahabientes podrán consultar la información personal del Titular que repose en cualquier
base de datos de la Agencia, por lo tanto, la Agencia deberá suministrar toda la información
contenida en el registro individual del Titular y/o toda la información que este vinculada con la
identificación del Titular.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la
fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término,
se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se
atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al
vencimiento del primer término.
3.2. RECLAMACIONES
El Titular, su representante o sus causahabientes que consideren que la información contenida en
una base de datos debe ser objeto de corrección, actualización o supresión (eliminación total o
parcial), o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos
en la Ley 1581 de 2012, podrán presentar un reclamo el cual será tramitado bajo las siguientes
reglas:
i. El reclamo se formulará mediante solicitud dirigida a la Agencia o al Encargado del
Tratamiento de la Base de Datos, con la identificación del Titular, la descripción de los
hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera
hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco
(5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos
(2) meses desde la fecha del requerimiento, sin que el solicitante presente la información
requerida, se entenderá que ha desistido del reclamo.
En caso de que la Agencia no sea competente para resolverlo, dará traslado a quien
corresponda en un término máximo de dos (2) días hábiles e informará de la situación al
interesado.
ii. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga
“reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles.
Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
iii. El término máximo para atender el reclamo será de quince (15) días hábiles contados a
partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo
dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en
que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles
siguientes al vencimiento del primer término.
Cuando la Agencia sea la Encargada de las Bases de Datos, podrá acordar con el Responsable de las
Bases de Datos la administración directa de las consultas y reclamaciones. Cuando esto ocurra, será
informado a los Titulares de los Datos Personales por medio de un aviso en el que se informarán los
canales de comunicación y los procedimientos que se deberán adelantar.
3.3. REVOCATORIA DE LA AUTORIZACIÓN
El Titular, su representante o causahabiente podrá revocar la autorización del Tratamiento de los
Datos Personales y solicitar la supresión del dato cuando: (i) no se respeten los principios, derechos
y garantías constitucionales y legales, caso en el cual, en aras de garantizar el debido proceso, la
Superintendencia de Industria y Comercio deberá determinar que en el Tratamiento el Responsable
o Encargado han incurrido en conductas contrarias al ordenamiento y (ii) en virtud de la solicitud
libre y voluntaria del Titular del dato, cuando no exista una obligación legal o contractual que
imponga al Titular el deber de permanecer en la referida base de datos.
En el primer caso la revocatoria o supresión sólo procederla cuando la Superintendencia de
Industria y Comercio haya determinado que en el Tratamiento de los Datos Personales se incumplió
con la Ley 1581 de 2012 y sus Decretos Reglamentarios. En el Segundo caso, se aplicará el
procedimiento establecido para las reclamaciones.
4. SEGURIDAD DE LA INFORMACIÓN
En virtud del principio de seguridad establecido en el literal g) del artículo 4 de la Ley 1581 de 2012,
la Agencia ha implementado las medidas técnicas, humanas y administrativas necesarias para
garantizar la seguridad de los Datos Personales para evitar su adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento.
La Agencia ha implementado los siguientes protocolos mínimos de seguridad los cuales son de
obligatorio cumplimiento:
i. Procedimiento de Gestión de Accesos, por medio del cual se garantiza la asignación de manera
segura de las cuentas de usuario y la correcta gestión de los privilegios de acceso y contraseñas
de las plataformas o sistemas de la Agencia.
ii. El empleo de herramientas de seguridad de la información, razonablemente aceptadas en la
industria, tales como firewalls, procedimientos de control de acceso, entre otros.
iii. Suscripción de acuerdos de confidencialidad con empleados, contratistas, clientes, proveedores
y en general con cualquier persona que esté involucrada o que pueda llegar a estar involucrada
con el Tratamiento de los Datos.
iv. Acceso autorizado y restringido a los empleados de la Agencia involucrados en el Tratamiento
de los Datos Personales. Una vez el acceso es autorizado se informa sobre la prohibición de
compartir contraseñas de acceso a archivos en los que están almacenados los Datos Personales,
descarga y/o copia de archivos en los que están almacenados Datos Personales.
v. Brindar capacitación a los empleados de la Agencia en los aspectos relativos a la seguridad de
la información establecida por la Agencia.
vi. Cuenta con controles de acceso y mecanismos automatizados para monitorear sus instalaciones
y activar alarmas en caso de intentos de intrusión por parte de sus empleados, contratistas o
terceros, o de presentarse condiciones inapropiadas para operar sistemas informáticos debido a
fuego, temperatura, energía eléctrica, humedad, entre otros
vii. Procedimientos de destrucción y borrado de la información de forma segura.
viii. Registro de incidentes ocurridos durante el Tratamiento de los Datos que puedan afectar la
confidencialidad o la integridad de los Datos Personales.
ix. Implementación de controles que limitan o imposibilitan la transferencia de Bases de Datos.
x. Cuando la Agencia debe recibir Bases de Datos de sus clientes para fungir como Encargada de
los Datos Personales, la Agencia junto con el Responsable del Tratamiento establecen de forma
previa cuales Datos Personales serán entregados y la forma más segura posible en la que serán
compartidos a la Agencia (Encriptados, usando una base de datos SQL, el programa Sharefile
o un SFTP destinado exclusivamente a los Datos Personales que serán compartidos).
xi. Cuando la Agencia es contratada por una entidad por un cliente para informar campañas
publicitarias por medio de llamadas, mensajes de texto, correspondencia física y/o correos
electrónicos:
• Por regla general, la Agencia únicamente recibe por parte del Responsable del
Tratamiento el Dato Personal que fue autorizado por el Titular para recibir
comunicaciones junto con un identificador del Titular del Dato Personal para que así
sea imposible para la Agencia el reconocimiento del Titular del Dato Personal.
• En los casos en los que la Agencia deba recibir más Datos Personales, acordará con el
Responsable del Tratamiento de forma previa los Datos Personales que requiere para
ejecutar la campaña publicitaria.
• Al recibir la Base de Datos, la Agencia realizará un informe de recepción de Datos
Personales.
• El Responsable del Tratamiento únicamente compartirá la información de los Titulares
que hagan parte del segmento al que irá dirigida la publicidad.
• La Agencia actuará como Encargada de la Base de Datos y únicamente podrá utilizarla
para la campaña publicitaria señalada por el cliente.