1. PRESENTACIÓN

El presente manual para la protección de datos personales (en adelante, el “Manual”), fue elaborado con el fin de documentar las políticas y los procedimientos desarrollados e implementados por Avenida Colombia Management Company S.A.S. (en adelante, “Avenida”) y evidenciar que ha implementado medidas apropiadas y efectivas para cumplir con las disposiciones legales sobre datos personales establecidas en la legislación colombiana, esto es, la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias compiladas en el Decreto 1074 de 2015. En dicho sentido, este Manual garantiza:

(i)  La existencia de una estructura proporcional al tamaño empresarial de Avenida.

(ii)  La adopción de mecanismos internos para poner en práctica las políticas contenidas en este Manual, incluyendo herramientas de implementación, entrenamiento y programas de educación.

(iii)  La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares.

En dicho sentido, este Manual pretende establecer qué información personal es recolectada por Avenida en el giro ordinario de su negocio, los diferentes tipos de tratamiento que se realiza sobre dicha información personal, qué mecanismos ha implementado Avenida para garantizar que los titulares de la información puedan ejercer en cualquier momento su derecho fundamental al Habeas Data, así como la forma mediante la cual Avenida cumple con sus obligaciones legales en su calidad de responsable del tratamiento de los datos personales, entre otros. Para el efecto, el Oficial de Cumplimiento designado por la Gerencia General promovió la implementación de un sistema para la protección de Datos Personales, sirvió de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal de las políticas contenidas en este Manual, entre otras actividades.

Las disposiciones contenidas en este Manual son de carácter confidencial y de obligatorio cumplimiento para Avenida, todos sus representantes, directores y empleados, y deben ser periódicamente revisadas con el fin de asegurar su cumplimiento en todas las áreas de nuestra compañía.

En caso de tener alguna inquietud sobre las disposiciones contenidas en este Manual y su aplicabilidad, agradecemos comunicarse con el Oficial de Cumplimiento al correo electrónico juridico@avenidacap.com.

Compromiso de Avenida.- Las personas involucradas en la protección de datos personales son la Gerencia General y el Oficial de Cumplimiento.

La Gerencia General de Avenida está comprometida con la implementación de prácticas responsables de protección de datos, y para el efecto ha ejecutado las siguientes acciones:

(i)  Designó el cargo que tiene la función de protección de datos dentro de la organización.

(ii)  Adoptó el presente Manual para la Protección de Datos Personales.

(iii)  Informará de manera periódica a los órganos directivos sobre la aplicación del Manual.

(iv)  Destinó asesores externos y recursos para el área encargada de la función de protección de datos.

Por su parte, el Oficial de Cumplimiento tendrá las funciones previstas en la regulación aplicable, esto es en la Ley 1581 y el Decreto 1377.

2. DEFINICIONES

Para la adecuada interpretación de este Manual, los términos que aparezcan en mayúsculas iniciales tendrán el significado que se les atribuye en este documento, los cuales han sido basados en los conceptos estipulados en la Ley Estatutaria 1581 de 2012, la Ley Estatutaria 1266 de 2008 y el Decreto 1377 de 2013. Los términos definidos en singular incluyen su acepción en plural cuando a ella hubiere lugar, y aquellos definidos en género masculino incluyen su acepción en género femenino cuando a ello hubiere lugar. Los términos que no sean expresamente definidos deberán entenderse de acuerdo con el sentido que les confiera el lenguaje técnico respectivo o por su significado y sentido naturales y obvios, de conformidad con su uso general.

Los términos utilizados en el texto de este Manual se entenderán en el marco de los significados que a continuación se establecen:

2.1.  “Autorización”: Es el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales por parte del Responsable.

2.2.  “Avenida”: Significa Avenida Colombia Management Company S.A.S.

2.3.  “Base de Datos”: Es el conjunto organizado de Datos Personales que sea objeto

2.4.  “Dato Financiero”: Es aquel dato de contenido financiero, crediticio, comercial o de servicios a que se refiere la Ley Estatutaria 1266 de 2008 que se usa con el fin de realizar la valoración y/o análisis de riesgo crediticio.

2.5.  “Dato Personal: Es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

2.6.  “Dato Privado”: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.

2.7.  “Dato Público”: Es el dato que no sea semiprivado, privado o sensible.

2.8.  “Dato Semiprivado”: Es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.

2.9. “Dato Sensible”: Es aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

2.10. “Decreto 1074”: Es el Decreto 1074 de 2015 que, entre otros, compiló el Decreto 1377 de 2013 y el Decreto 886 de 2014.

2.11.  “Encargado”: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable.

2.12.  “Habeas Data”: Es el derecho constitucional que tienen los Titulares de autorizar o no la recolección de sus Datos Personales, de conocer la finalidad o uso que se le dará esos datos y a conocer, actualizar y rectificar los Datos Personales contenidos en Bases de Datos.

2.13.  “Ley 1581”: Es la Ley Estatutaria 1581 de 2012 por la que se dictan disposiciones generales para la protección de datos personales.

2.14.  “Menor de Edad”: Es aquel individuo menor de dieciocho (18) años de edad, esto es, que no haya llegado a cumplirlos.

2.15.  “Oficial de Cumplimiento”: Es la persona designada por la Gerencia General de Avenida para asegurarse que ésta cumple con el régimen legal de protección de Datos Personales y, en este sentido, asesorar y guiar a todos los empleados en la aplicación de este Manual. Para efectos de Avenida, el cargo de Oficial de Cumplimiento será desempeñado por la Directora Legal.

2.16.  “PQR’s”: Significa consultas, peticiones, quejas y reclamos.

2.17.  “Responsable”: Es Avenida Colombia Management Company S.A.S., persona jurídica privada, que por sí misma o en asocio con otros, decide sobre la Base de Datos y/o el Tratamiento de los Datos Personales.

2.18.  “Titular”: Es la persona natural cuyos datos personales son objeto de Tratamiento.

2.19. “Transferencia”: Es el envío de Datos Personales por parte del Responsable y/o Encargado, ubicado en Colombia, a un receptor que, a su vez, es Responsable y se encuentra dentro o fuera del país.

2.20. “Transmisión”: Es el Tratamiento de Datos Personales que implica su comunicación dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

2.21. “Tratamiento”: Es cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

3. APLICABILIDAD

Las disposiciones contenidas en este Manual son aplicables únicamente al Tratamiento de Datos Personales de que trata la Ley 1581 y el Decreto 1377 y, por tanto, excluye a los Datos Financieros. En caso de tener alguna inquietud sobre los requisitos para poder recolectar Datos Financieros o la normatividad aplicable a los mismos, agradecemos comunicarse con el Oficial de Cumplimiento de la compañía.

Avenida se encuentra comprometida con los Titulares de Datos Personales a garantizar oportuna y debidamente su derecho al Habeas Data. Para tal propósito, es necesario que todos nuestros empleados conozcan y apliquen este Manual cada vez que realicen el Tratamiento de Datos Personales. En caso de tener alguna inquietud sobre cómo aplicar este Manual o alguna iniciativa que implique la recolección y uso de Datos Personales distintas a las aquí previstas, agradecemos comunicarse oportunamente con el Oficial de Cumplimiento de Avenida.

En caso de que algún tema relacionado con Datos Personales no se encuentre expresamente regulado en el presente Manual, se deberán aplicar las normas legales vigentes contenidas en la Ley 1581, el Decreto 1074 y demás normas que las modifiquen, adicionen o reemplacen.

4. TRATAMIENTO DE DATOS PERSONALES

Dentro del giro ordinario de sus negocios Avenida podrá recolectar distintos tipos de Datos Personales de sus empleados, clientes y proveedores, como por ejemplo datos de contacto y ubicación, Datos Financieros e información tributaria de la persona, entre otros.

Todos los Datos Personales que son recolectados por Avenida sirven un propósito determinado de acuerdo con la calidad del Titular y, en dicho sentido, pueden ser usados para establecer o mantener una relación comercial o contractual, para realizar gestiones administrativas internas, así como para cumplir con nuestras obligaciones legales, entre otros. Los Tratamientos y finalidades a las cuales se ven sometidos los Datos Personales que recolectamos siempre son informados al Titular de manera previa y expresa, antes de realizar el Tratamiento de la información personal, en caso de que esto sea necesario, dependiendo de la naturaleza del Dato Personal.

Es obligación de funcionarios de Avenida verificar que se cuente o se obtenga autorización previa del Titular antes de la recolección o Tratamiento de Datos Personales, en caso de que la misma sea requerida conforme lo previsto en este Manual.

En el presente capítulo se expondrán los Datos Personales que recolecta Avenida de sus empleados, clientes y proveedores, para qué finalidades se utilizan los mismos, dónde se recolectan los datos, cómo se obtienen las correspondientes autorizaciones, así como modelos de estas, entre otros. Lo establecido en este capítulo constituye instrucciones y políticas de obligatoria observancia para todos los empleados y directivos vinculados a Avenida.

En caso de que los Datos Personales que usted vaya a recolectar y/o usar no se encuentren cobijados dentro de alguna de las autorizaciones expuestas en este Capítulo, le agradecemos comunicarse con el Oficial de Cumplimiento de Avenida con el fin de diseñar una autorización que se ajuste a sus necesidades y cumpla con los requisitos legales.

4.1. Empleados

4.1.1. Datos que se recolectan: Avenida recolecta Datos Personales de sus empleados suministrados por los candidatos en su hoja de vida al momento de aplicar para alguna posición dentro de la compañía, así como aquellos que se generen en virtud o con ocasión de la relación laboral.

Avenida recolecta información general y específica de identificación del empleado y su grupo familiar (dentro de esta puede incluirse Datos Personales de Menores de Edad, bajo el entendido que solo recolectan sus Datos Públicos y/o información autorizada por sus padres o representantes legales en beneficio del Menor de Edad), información de ubicación, esto es actividad comercial o profesional y de ubicación relacionados con la actividad privada, Datos Financieros, datos socioeconómicos, información tributaria y patrimonial, datos relacionados con la actividad económica información sobre el nivel educativo e historia laboral.

Adicionalmente, Avenida recolecta Datos Sensibles, esto es, datos biométricos (fotos e imágenes captadas por las cámaras de seguridad) y aquellos relacionados con la salud de la persona en cuanto al estado de salud de la persona que incluye resultados de pruebas, laboratorios, estudios, diagnósticos médicos, generales o especializados, psicológicos, psiquiátricos, medicamentos y/o tratamientos médicos o terapéuticos de cualquier tipo, así como información sobre población vulnerable.

La recolección de Datos Personales distintos a los aquí indicados es viable siempre que la autorización correspondiente haya sido otorgada por parte del empleado o sea requerido por alguna autoridad.

4.1.2. Finalidades del Tratamiento: Avenida utiliza los Datos Personales mencionados en el numeral 4.1.1. anterior para (i) realizar gestiones internas, como por ejemplo administración del personal, promoción y selección de personal, relaciones laborales y condiciones de trabajo; (ii) cumplir con los fines internos de la compañía requeridos por la regulación aplicable, como por ejemplo la inspección y control de seguridad y protección social, el reconocimiento y pago de pensiones, subsidios y otras prestaciones económicas, el pago de nómina, archivo y retención documental, así como las demás estipuladas en las normas laborales vigentes; (iii) ser transmitida a terceros dentro y/o fuera de la República de Colombia, incluyendo proveedores del área de recursos humanos, como por ejemplo bancos, empresas proveedoras de servicios de salud, así como a terceros con los cuales se contrate algún beneficio para los empleados de Avenida; y (iv) para efectos de monitoreo de seguridad y video vigilancia.

En relación con los Datos Sensibles de los empleados, éstos serán usados por Avenida únicamente para el cumplimiento de sus obligaciones laborales legales frente a sus empleados, como es el reconocimiento y pago de incapacidades médicas, entre otros.

Ninguna persona dentro de Avenida está autorizada para darle un tratamiento distinto al aquí indicado a los Datos Personales de empleados.

4.1.3.Transmisión y/o Transferencia: Avenida podrá transmitir los Datos Personales de sus empleados a Bancos y entidades financieras a través de las cuales Avenida realiza el pago de nómina, así como a los terceros proveedores a los cuales sea necesario compartir información personal de los empleados para efectos de obtener beneficios para éstos últimos. De igual forma, podrá transmitir la información personal de sus empleados a terceros ubicados dentro y/o fuera de la República de Colombia, para que realicen cualquier tratamiento de la información que se encuentre expresamente contenido en la autorización.

En relación con la Transferencia de Datos Personales de sus empleados, Avenida entrega esta información a Empresas Promotoras de Salud (EPS), Administradoras de Riesgos laborales (ARL), DIAN, y demás entidades a las cuales Avenida tiene que realizar aportes, solicitar el reconocimiento de incapacidades, y/o enviar información periódica para cumplir con sus obligaciones legales. Toda transferencia se hace en cumplimiento de obligaciones legales.

Ninguna persona dentro de Avenida está autorizada para transferir Datos Personales de empleados para fines distintos a aquéllos relacionados con el cumplimiento de obligaciones legales.

4.1.4.Departamentos con acceso a la Base de Datos de empleados: Los siguientes departamentos de Avenida podrán tener acceso a las Bases de Datos de empleados: Recursos Humanos, Nómina, Tesorería, Contabilidad, Gerencia De Proyectos y Gerencia General. Ninguna otra área de Avenida está autorizada para tener acceso a los Datos Personales de empleados.

4.1.5.Autorización para el Tratamiento de Datos Personales: Todos los empleados de Avenida tendrán la facultad de autorizar el Tratamiento de sus Datos Personales de conformidad con el modelo de autorización adjuntos a este Manual como Anexo 1, el cual es suscrito al momento de su vinculación contractual a la compañía según lo requerido por el departamento de Recursos Humanos. Por su parte, por el hecho de suministrar su hoja de vida para ser considerado para ocupar una vacante en Avenida, ésta entiende que el Tratamiento de los Datos Personales ha sido autorizado por el Titular mediante conducta concluyente, únicamente para efectos de ser considerado para un proceso de selección en la compañía.

En todo caso, y con excepción de los Datos Públicos o respecto de los cuales no se requiera autorización, no se permite la recolección de Datos Personales sin la correspondiente autorización previa por parte del Titular.

4.1.6.Conservación de las autorizaciones: Las autorizaciones otorgadas por los empleados para el Tratamiento de sus Datos Personales son conservadas en las carpetas físicas de cada empleado, las cuales se encontrarán en el archivo físico de la compañía, a cargo del departamento de Recursos Humanos.

4.1.7. Conservación de los Datos Personales: Avenida conserva los Datos Personales suministrados por los empleados mientras exista una relación laboral vigente y subsistan obligaciones legales en cabeza de Avenida, conforme lo estipulado en el Código Sustantivo del Trabajo y el artículo 28 de la Ley 962 de 2005, o las normas que los adicionen, modifiquen y/o reemplacen.

4.2. Proveedores

4.2.1. Datos que se recolectan: Avenida podrá recolectar Datos Personales suministrados por sus proveedores esto es, información general y específica de identificación de la persona, datos de ubicación relacionados con actividad comercial o profesional, Datos Financieros e información tributaria, datos relacionados con la actividad económica de la persona, así como datos relacionados con la afiliación y aportes al sistema integral de seguridad social, entre otros.

Los proveedores de Avenida son principalmente personas jurídicas respecto de las cuales no se predica el derecho al Habeas Data. No obstante lo anterior, dentro de la información recolectada se pueden encontrar eventualmente Datos Personales de funcionarios de los proveedores, a los que si los cobija el derecho al Habeas Data.

Avenida no recolecta Datos Sensibles ni de Menores de Edad de sus proveedores o de los funcionarios de éstos. La recolección de Datos Personales distintos a los aquí indicados es viable siempre que la autorización correspondiente haya sido otorgada o sea requerido por alguna autoridad.

4.2.2.Finalidades del Tratamiento: Avenida podrá utilizar los Datos Personales de sus proveedores para (i) realizar estudios o investigaciones comerciales o estadísticas; (ii) ofrecer productos o servicios de Avenida o de terceros; (iii) iniciar cobros prejudiciales o judiciales; (iv) que la información sea transferida a entidades legales que la requieran en virtud de un mandato legal, así como para ser transmitida a personas y/o entidades dentro y/o fuera de la República de Colombia para cualquiera de las finalidades previstas en la autorización; (v) como elemento de análisis para establecer y mantener una relación contractual o comercial, cualquiera que sea su naturaleza; (vi) que los Datos Financieros sean consultados, suministrados, reportados, procesados o divulgados; y (vii) para cumplir con sus obligaciones legales, incluyendo, pero no limitado a, aquellas relacionadas con SAGRILAFT y prevención de las conductas de soborno trasnacional, y retención documental requerida por las normas legales vigentes.

Ninguna persona dentro de Avenida está autorizada para darle un tratamiento distinto al aquí indicado a los Datos Personales.

4.2.3.Transmisión y/o Transferencia: Avenida transfiere los Datos Personales de sus proveedores a las entidades públicas que la requieran en virtud de mandatos legales, incluyendo, pero no limitado a, la Dirección de Impuestos y Aduanas Nacionales –DIAN-, para efectos de reportes de información requeridos por dicha entidad.

Por su parte, podrá realizar transmisión de los mismos a terceros ubicados dentro y/o fuera de la República de Colombia, para cualquiera de los fines previstos en la autorización, como por ejemplo, Bancos y entidades financieras para efectos de la realización de pagos, entre otros.

Ninguna persona dentro de Avenida está autorizada para transferir Datos Personales de conformidad con lo indicado en este Numeral 4.2.3 sin que existe mandato legal para el efecto.

4.2.4.Departamentos con acceso a la Base de Datos de proveedores: Las siguientes áreas de Avenida podrán tener acceso a las Bases de Datos de proveedores: Contabilidad, Gerencia de Proyectos, Comercial y Gerencia General. Ninguna otra área de Avenida está autorizada para tener acceso a los Datos Personales de proveedores.

4.2.5.Autorización para el Tratamiento de Datos Personales: Aunque el derecho al Habeas Data no se aplica a personas jurídicas, todos los proveedores de Avenida tienen la facultad de autorizar el Tratamiento de sus Datos Personales de conformidad con el modelo de autorización adjunta a este Manual como Anexo 2, el cual es suscrito al momento de su vinculación a la compañía por el Departamento de Contabilidad o la Gerencia de Proyectos, junto con los formatos de vinculación de proveedores. Avenida ha decidido obtener autorización de los proveedores, cuando así lo considere, por las siguientes razones: eventualmente se puede contratar con proveedores personas naturales, dentro de la información suministrada por los proveedores se encuentran Datos Personales de sus empleados o funcionarios, y aunque en principio la información relacionada con la profesión es un Dato Público o solo se recolectan Datos Públicos, Avenida considera apropiado obtener la correspondiente autorización, cuando lo estime conveniente.

En relación con los Datos Personales recolectados antes del 27 de junio de 2013, Avenida ha comunicado a sus Titulares sobre la recolección y tratamiento que de éstos realiza el Responsable, mediante el envío de una comunicación al correo electrónico registrado en los archivos de la empresa, conforme el modelo de comunicación que se adjunta a este Manual como Anexo 3.

Con excepción de los Datos Públicos o respecto de los cuales no se requiera autorización, no se permite la recolección de Datos Personales sin la correspondiente autorización previa por parte del Titular.

4.2.6.Conservación de las autorizaciones: Las autorizaciones otorgadas por los proveedores para el Tratamiento de sus Datos Personales son conservadas digitalmente por el Departamento de Contabilidad. En cuanto a la comunicación enviada por Avenida a los proveedores cuya información ha sido recolectada con anterioridad al 27 de junio de 2013, el Departamento de Contabilidad conserva evidencia del correo electrónico enviado a los proveedores conforme el modelo de comunicación adjunto a este Manual como Anexo 3.

4.2.7. Conservación de los Datos Personales: Avenida conserva los Datos Personales suministrados por los proveedores mientras exista una relación contractual y/o comercial vigente y subsistan obligaciones legales en cabeza de Avenida, conforme lo estipulado el artículo 28 de la Ley 962 de 2005, y las normas que lo adicionen, modifiquen y/o reemplacen.

4.3. Clientes y posibles clientes

4.3.1. Datos que se recolectan: Avenida podrá recolectar Datos Personales suministrados por sus clientes y personas interesadas en ser clientes, esto es, información específica y general de identificación, datos de ubicación relacionados con la actividad comercial o profesional y privada de las personas, Datos Financieros, información socioeconómica, tributaria, patrimonial, datos relacionados con la actividad económica de las personas, información sobre su historia laboral y nivel educativo, así como gustos e intereses particulares.

Avenida no recolecta Datos Personales Sensibles ni de Menores de Edad en relación con sus clientes.

La recolección de Datos Personales distintos a los aquí indicados es viable siempre que la autorización correspondiente haya sido otorgada por parte del Titular o sea requerido por alguna autoridad.

4.3.2.Finalidades del Tratamiento: Según lo previsto en la respectiva autorización, Avenida podrá utilizar los Datos Personales de sus clientes para (i) realizar gestiones de la operación de la compañía, tales como estadísticas internas, gestión de cobros y pagos, facturación, histórico de relaciones comerciales, análisis de perfiles y envío de comunicaciones y publicidad de sus productos y/o de los de terceros; (ii) iniciar cobros prejudiciales o judiciales; (iii) que la información sea transmitida a entidades ubicadas dentro y/o fuera de la República de Colombia, para cualquiera de los fines previstos en la autorización, incluyendo, pero no limitado a, bancos y entidades financieras para efectos del ofrecimiento por parte de éstas últimas de facilidades de pago, así como contratistas y proveedores de Avenida para gestionar modificaciones a los productos de ésta; (iv) para transferir la información personal a entidades fiduciarias, notarias públicas, la copropiedad de los inmuebles que sean construidos por Avenida, y empresas filiales de Avenida ubicadas dentro y/o fuera de la República de Colombia, tal como Avenida Colombia Management Company S.A.S.; (v) que los Datos Financieros sean consultados, suministrados, reportados, procesados o divulgados; (vi) como elemento de análisis para establecer y mantener una relación contractual o comercial, cualquiera que sea su naturaleza; (vii) como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas; y (viii) para cumplir con sus obligaciones legales, incluyendo, pero no limitado a, aquellas relacionadas con SAGRILAFT, prevención de las conductas de soborno trasnacional, garantía post-venta y retención documental requerida por las normas legales vigentes.

Ninguna persona dentro de Avenida está autorizada para darle un tratamiento distinto al aquí indicado a los Datos Personales de clientes.

4.3.3.Transmisión y/o Transferencia: Previa autorización y solicitud del Titular, Avenida transfiere los Datos Personales de sus clientes a notarías públicas (realización de trámites notariales), fiduciarias (otorgamiento de facilidades de pago), la copropiedad de los inmuebles construidos, y empresas filiales de Avenida ubicadas dentro y/o fuera de la República de Colombia, tal como Avenida Colombia Management Company S.A.S., para efectos del ofrecimiento de los productos y/o servicios de éstas últimas, así como a entidades legales que la requieran en virtud de un mandato legal, como por ejemplo la Dirección de Impuestos y Aduanas Nacionales –DIAN.

Por su parte, podrá realizar transmisión de estos a terceros ubicados dentro y/o fuera de la República de Colombia, para cualquiera de los fines previstos en la autorización.

Ninguna persona dentro de Avenida está autorizada para transferir Datos Personales de clientes sin que existe mandato legal para el efecto.

4.3.4.Departamentos con acceso a la Base de Datos de clientes: Los siguientes departamentos de Avenida podrán tener acceso a las Bases de Datos de clientes: Departamento Comercial, Contabilidad, Gerencia de Proyectos y Gerencia General. Ninguna otra área de Avenida está autorizada para tener acceso a los Datos Personales de clientes.

4.3.5.Autorización para el Tratamiento de Datos Personales: De acuerdo con el medio a través del cual el Titular suministre sus Datos Personales, Avenida cuenta con distintas formas de obtener la autorización. En dicho sentido, cuando el Titular suministra sus Datos Personales a través de teléfono a cualquiera de los números del personal de ventas y/o comercial, se entiende que ha autorizado mediante conducta concluyente la recolección y Tratamiento de sus Datos Personales para efectos de contacto y de envío de información sobre los productos y servicios de Avenida.

En caso de que se otorgue directamente en las oficinas de Avenida, el Titular suscribe las autorizaciones escritas que se encuentran disponibles en éstas, y cuyo modelo se adjunta a este Manual como Anexo 4.

De igual forma, en el evento en que se recolecte información a través de ferias y/o eventos, los Titulares podrán autorizar la recolección de sus Datos Personales a través de los modelos de autorización que se adjuntan a este Manual como Anexo 5.

En relación con los Datos Personales recolectados antes del 27 de junio de 2013, Avenida ha comunicado a sus Titulares sobre la recolección y tratamiento que de éstos realiza el Responsable, mediante el envío de una comunicación al correo electrónico registrado en los archivos de la empresa, conforme el modelo de comunicación que se adjunta a este Manual como Anexo 6.

Con excepción de los Datos Públicos o respecto de los cuales no se requiera autorización, no se permite la recolección de Datos Personales sin la correspondiente autorización previa por parte del Titular.

4.3.6.Conservación de las autorizaciones: Las autorizaciones otorgadas por los clientes para el Tratamiento de sus Datos Personales son conservadas digitalmente y/o físicamente por el Departamento Comercial o el Departamento Comercial de la compañía. En cuanto a la comunicación enviada por Avenida a los clientes cuya información ha sido recolectada con anterioridad al 27 de junio de 2013, el Departamento Comercial o el Departamento Comercial conserva evidencia del correo electrónico enviado a los clientes conforme el modelo de comunicación adjunto a este Manual como Anexo 7.

4.3.7. Conservación de los Datos Personales: Avenida conserva los Datos Personales suministrados por los clientes y sus posibles clientes mientras exista una relación contractual y/o comercial vigente y subsistan obligaciones legales en cabeza de Avenida, conforme lo estipulado el artículo 28 de la Ley 962 de 2005, y las normas que lo adicionen, modifiquen y/o reemplacen. En relación con los potenciales Clientes, Avenida conserva los Datos Personales por un término de hasta diez (10) años.

5. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

Avenida cuenta con una política para el tratamiento de datos personales, en la cual se establecen los datos de identificación y contacto de Avenida en su calidad de Responsable, el Tratamiento y las finalidades a las cuales se ven sometidos los Datos Personales recolectados por Avenida, los derechos que le asisten al Titular, el procedimiento a través del cual el Titular puede ejercer sus derechos al Habeas Data, así como el área encargada de absolver cualquier inquietud del Titular frente a la política de tratamiento, todo lo anterior, de conformidad con las estipulaciones legales vigentes.

En caso de que se requiera hacer una modificación a la mencionada política, dicha modificación será comunicada oportunamente a los Titulares, por correo electrónico enviada a la dirección registrada en las Bases de Datos de Avenida, antes de que se implementen los cambios.

Para consultar la política de privacidad de Avenida se puede obtener copia de esta a través del correo electrónico juridico@avenidacap.com. Copia de la mencionada política de tratamiento de datos personales de Avenida se adjunta a este Manual como Anexo 8.

6. DERECHOS DEL TITULAR

El derecho al Habeas Data se encuentra protegido constitucionalmente como un derecho fundamental a través del cual todas las personas “tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”, razón por la cual el mismo puede ser protegido por el Titular vía tutela.

Este derecho se manifiesta en la Ley 1581 a través de las siguientes facultades del Titular:

(i)  Conocer, actualizar y rectificar sus Datos Personales frente a los Responsables o Encargados. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

(ii)  Solicitar prueba de la autorización otorgada al Responsable salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581;

(iii)  Ser informado por el Responsable o el Encargado, previa solicitud, respecto del uso que le ha dado a sus Datos Personales;

(iv)  Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 y las demás normas que la modifiquen, adicionen o complementen;

(v)  Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución; y

(vi)  Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

Los anteriores derechos podrán ser ejercidos por las siguientes personas:

(i)  Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el Responsable.

(ii)  Por sus causahabientes, quienes deberán acreditar tal calidad.

(iii)  Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

(iv)  Por estipulación a favor de otro o para otro.

(v)  Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos, esto es sus padres, custodios o tutores legales.

7. CONSULTAS, PETICIONES, QUEJAS Y RECLAMOS (PQR’s)

Para efectos de que los Titulares puedan ejercer cualquiera de sus derechos o presentar PQR’s, Avenida ha dispuesto de los siguientes mecanismos y procedimientos, los cuales se encuentran basados en las normas legales vigentes aplicables, y que deberán ser cumplidos por Avenida, sus representantes y empleados debida y oportunamente, atendiendo las reglas dispuestas en este capítulo.

7.1.  Consultas:

Los Titulares o las personas que puedan ejercer sus derechos de conformidad con lo dispuesto en el capítulo 6 anterior, podrán consultar la información personal del Titular que repose en cualquier Base de Datos de Avenida.

De acuerdo con la Política de Tratamiento, para efectos de realizar la consulta, se deberá enviar un correo electrónico a la dirección juridico@avenidacap.com. Dentro del cuerpo del correo se deberá indicar el nombre completo del Titular, así como el tipo y número de identificación del Titular, y adjuntar copia de este último documento. Lo anterior, con el fin de poder constatar que quien presenta el reclamo es efectivamente el Titular de la información, y poder así garantizar su derecho a la intimidad y confidencialidad en relación con sus Datos Personales. En caso de que quien presente la consulta sea una persona distinta al Titular, se deberá adjuntar igualmente el documento que prueba la calidad con la que actúa, esto es el correspondiente poder con las formalidades de ley, o el registro civil de nacimiento, entre otros.

Una vez recibida la comunicación con el cumplimiento de los anteriores requisitos, el Oficial de Cumplimiento deberá revisar el contenido de esta, así como sus respectivos anexos, en caso de que hubiera, con el fin de que se responda la consulta debida y oportunamente. En caso de que el Oficial de Cumplimiento requiera del apoyo de cualquier otro departamento de Avenida para contestar oportunamente la consulta, ésta deberá ser atendida por dicho departamento de manera prioritaria y urgente.

La consulta deberá ser respondida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta.

Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

7.2.  Reclamos:

Los Titulares o las personas que puedan ejercer sus derechos de conformidad con lo dispuesto en el capítulo 6 anterior, podrán presentar reclamos a Avenida cuando consideren que los Datos Personales contenidos en una Base de Datos de Avenida debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de algún deber legal de Avenida, o cuando requieran que se revoque la autorización para el Tratamiento del Dato Personal.

De acuerdo con la Política, para realizar el reclamo se deberá enviar un correo electrónico a la dirección electrónica juridico@avenidacap.com. Dentro del cuerpo del correo se deberá indicar el nombre completo del Titular, el tipo y número de identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y adjuntar copia del documento de identificación del Titular, así como cualquier otro documento que se quiera hacer valer. Lo anterior, con el fin de poder constatar que quien presenta el reclamo es efectivamente el Titular de la información, y poder así garantizar su derecho a la intimidad y confidencialidad en relación con sus Datos Personales.

En caso de que quien presente el reclamo sea una persona distinta al Titular, se deberá adjuntar igualmente el documento que prueba la calidad con la que actúa, esto es el correspondiente poder con las formalidades de ley, o el registro civil de nacimiento, entre otros.

Una vez recibido el reclamo por el Oficial de Cumplimiento éste contará con un término de cinco (5) días hábiles para verificar que el mismo cumple con los requisitos requeridos para su presentación, según lo antes lo mencionado. Dentro del mencionado término, y en caso de que considere que el reclamo no cumple con dichos requisitos, devolverá el mismo con un mensaje dirigido al reclamante en el cual se indiquen las razones por las cuales el reclamo no cumple con los requisitos señalados al inicio de este capítulo, con el fin de que el reclamante subsane y/o corrija los mismos.

En caso de que, luego de pasados dos (2) meses contados a partir de la fecha en que se haya reenviado el correo electrónico al reclamante solicitando que subsane y/o corrija su reclamación, éste no envía nuevamente el requerimiento con el lleno de los requisitos solicitados, se entenderá que el reclamo ha sido desistido y, por tanto, Avenida procederá a cerrar el caso.

Si dentro del mencionado plazo de dos (2) meses el reclamante reenvía nuevamente su reclamo mediante un correo electrónico a Avenida, el Oficial de Cumplimiento deberá verificar que el reclamo cumpla con los requisitos antes mencionados y darle trámite al reclamo debida y oportunamente.

El Oficial de Cumplimiento contará con un plazo de cinco (5) días hábiles para verificar que el reclamo haya sido efectivamente subsanado según lo estipulado en este numeral y, de ser así, dará traslado de este, para lo cual deberá solicitar al departamento de Avenida propietario de la Base de Datos que incluya en la misma una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. De igual forma, se deberá solicitar a los Encargados que tengan conocimiento del Dato Personal objeto de reclamación que incluyan la mencionada leyenda en sus respectivas Bases de Datos.

El Oficial de Cumplimiento de Avenida deberá atender y resolver el reclamo en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha en que haya sido enviado por el Titular del Dato Personal.

Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al reclamante los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Una vez surtido el reclamo, el Oficial de Cumplimiento deberá informar y solicitar realizar la correspondiente actualización, corrección o supresión del Dato Personal al Encargado, con el fin de que éste refleje la modificación de la información personal en su respectiva Base de Datos.

En caso de que el reclamo sea referente a la supresión del Dato Personal por parte del Responsable, la Compañía deberá proceder a eliminar todos los Datos Personales del Titular de sus archivos, excepto aquella información personal que deba ser conservada para el cumplimiento de una obligación legal o contractual de Avenida o que sea referente a un Dato Público.

El Oficial de Cumplimiento deberá reportar semestralmente la presentación de los reclamos que hayan sido realizados dentro del semestre inmediatamente anterior en el del Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, de conformidad con lo estipulado en el capítulo 11 de este Manual.

7.3. Tutelas:

En caso de que un Titular presente alguna tutela en contra de Avenida relacionada con el Tratamiento de sus Datos Personales, la misma será contestada por el Departamento Jurídico con ayuda del Oficial de Cumplimiento, de conformidad con los términos estipulados en el Decreto 2591 de 1991, y las normas que lo adicionen, modifiquen o reemplacen.

8. REPORTE DE INCIDENTES

En caso de que cualquier empleado conozca o tenga noticia de un incidente de seguridad que pueda poner en peligro los Datos Personales almacenados por Avenida, su confidencialidad, uso, circulación, pérdida, y modificación no autorizada, entre otros, deberá notificar inmediatamente y por escrito de dicho incidente al Oficial de Cumplimiento de Avenida, con el fin de que se surta el trámite correspondiente.

La notificación del incidente deberá contener la fecha y hechos que ocurrieron, la forma como tuvo conocimiento de este, y cualquier medio que permita probar su ocurrencia, en caso de contar con éstos.

Una vez tenga conocimiento del incidente, el Oficial de Cumplimiento deberá revisar las causas que ocasionaron el incidente, cuáles son sus efectos y riesgos, así como las medidas de seguridad que sean necesarias implementar para evitar otro incidente o su propagación.

El Oficial de Cumplimiento deberá reportar la ocurrencia del incidente en el del Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, dentro de los quince (15) días hábiles siguientes a la fecha en que haya tenido conocimiento de la ocurrencia de este.

9. MEDIDAS DE SEGURIDAD

Los Datos Personales se encuentran en Bases de Datos físicas. El acceso a las Bases de Datos está restringido a los empleados de Avenida que tengan un usuario y clave de acceso y/o privilegios de acceso para el caso de las Bases de Datos físicas. Los riesgos a los que están expuestas son los asociados con la tecnología de la información incluyendo accesos no autorizados o virus.

En cuanto a los Datos Personales que están en Bases de Datos físicas, las mismas se encuentran en las instalaciones de Avenida las cuales cuentan con dos controles de acceso, uno de la propiedad horizontal y otro ubicado en la recepción de las oficinas. El ingreso sólo es autorizado por empleados de Avenida, y el mismo queda registrado en los sistemas de video. Adicionalmente, las Bases de Datos físicas se encuentran en archivadores o cuartos asegurados. Los riesgos a los que están expuestas estas Bases de Datos consisten básicamente en el ingreso no autorizado por parte de terceros o empleados.

En todo caso, determinada información que contenga Datos Privados, Datos Financieros y/o Datos Sensibles, sea en Bases de Datos físicas y/o automatizadas, pueden tener un acceso controlado y restringido con el fin de resguardar la información, de tal forma que solo se podrán acceder a los mismos si se cuenta con la autorización previa y expresa del Gerente del respectivo departamento. Adicionalmente, Avenida ha implementado acuerdos de confidencialidad con todas las personas que puedan tener acceso a los Datos Personales, sea que estas se encuentren en medios físicos o automatizado.

Una vez finalice el período de conservación del Dato Personal, Avenida deberá proceder a eliminar inmediatamente todos los Datos Personales que no revistan del carácter de Dato Público o que no sean necesarios para el cumplimiento de sus deberes legales, a través de mecanismos y procedimientos que garanticen la supresión, archivo o destrucción final de la información, sean estos realizados directamente por Avenida o a través de terceros contratistas especializados, quienes en tal caso revestirán de la calidad de Encargados del Tratamiento y, por tanto, estarán sujetos al marco legal que regula su actividad.

10. AUDITORÍA, MONITOREO Y CAPACITACIÓN

Corresponde a todos los empleados de Avenida dar cumplimiento constante a las disposiciones contenidas en este Manual, y en dicho sentido, verificar periódicamente que se de aplicación al mismo.

En adición de lo anterior, el Oficial de Cumplimiento podrá realizar anualmente y en cualquier momento una auditoria a cualquier departamento de Avenida con el fin de verificar que estén cumpliendo con las disposiciones de este Manual y, en dicho sentido, con las estipulaciones legales vigentes en materia de Datos Personales y Habeas Data, de conformidad con la naturaleza específica de cada tipo de Dato Personal recolectado por Avenida.

Para efectos de realizar la auditoria, el Oficial de Cumplimiento deberá enviar un correo electrónico al Gerente del respectivo departamento de Avenida señalando la fecha en la cual se realizará la auditoria, así como los documentos y soportes que prueben que, en efecto, están cumpliendo debida y oportunamente con este Manual. En dicho sentido, se podrán requerir copias documentales, así como realizar entrevistas a empleados del departamento, las cuales podrán ser grabadas para efectos probatorios. En todo caso, el proceso de auditoría y los documentos que se requieran en virtud de la misma, deberán tener en cuenta la naturaleza del Dato Personal, las obligaciones estipuladas en este Manual y en la normatividad legal vigente que rige la materia.

Toda la información que se suministre en virtud de la auditoria será confidencial y se devolverá al respectivo departamento luego de su revisión.

El Oficial de Cumplimiento deberá realizar capacitaciones por lo menos una vez al año a los funcionarios que hacen parte de las áreas que tratan los Datos Personales.

11. REGISTRO DE BASES DE DATOS

El Oficial de Cumplimiento para la protección de datos personales de Avenida ha solicitado a los Asesores Legales el efectuar la inscripción de las Bases de Datos de empleados ante el Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, de conformidad con lo estipulado la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013.

Igualmente, deberá realizar la actualización de dicha inscripción (i) dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada; y (ii) anualmente antes del 31 de marzo.

Para efectos de lo anterior, se entenderán por cambios sustanciales aquellos que se relacionen con la finalidad de la Base de Datos, el Encargado, los canales de atención al Titular (PQR’s), la clasificación o tipos de Datos Personales almacenados en cada Base de Datos, las medidas de seguridad de la información implementadas, la política de Tratamiento de la información y la transferencia y transmisión internacional de Datos Personales.

Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, se deberá actualizar la información de los reclamos presentados por los Titulares en el semestre inmediatamente anterior, de acuerdo con lo estipulado en el numeral 7.2 del capítulo 7 de este Manual.

12. PUBLICACIÓN, MODIFICACIONES Y VIGENCIA DE ESTE MANUAL

12.1.  Este Manual se encontrará publicado en las oficinas principales de la compañía, y podrá ser consultado por los empleados de Avenida en cualquier momento.

12.2.  Cualquier modificación que se realice a este Manual se dará a conocer a través de comunicación enviada al correo electrónico de cada empleado por el Oficial de Cumplimiento. En todo caso, las modificaciones serán implementadas dentro de los cinco (5) días hábiles siguientes a la fecha en que se haya dado a conocer la respectiva modificación al Manual, según lo aquí previsto.

12.3.  Este Manual se encontrará vigente a partir del día 31 de mayo de 2022.