Políticas manejo de información y datos personales de MATISSES

El presente documento tiene como objetivo acatar las disposiciones del derecho al HÁBEAS DATA estipulado en la ley Estatuaría 1581 de 2012 el cual otorga al Usuario conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellos en bases de datos o archivos.

Matisses acoge tales disipaciones teniendo en cuenta que para el desarrollo de su objeto social, continuamente estará recopilando y efectuando diversos tratamientos a bases de datos tanto de clientes, accionistas, proveedores, aliados comerciales y empleados. En virtud de lo anterior, dentro del deber legal y corporativo de Matisses de proteger el derecho a la privacidad de las personas, así como la facultad de conocer, actualizar o solicitar la información que sobre ellas se archive en bases de datos, la firma ha diseñado la presente política de manejo de información de carácter personal y bases de datos en la cual se describe y explica el Tratamiento de la información personal a la que se tiene acceso a través de nuestro sitio web, correos de política de Manejo de Información y datos personales electrónicos, información física, mensajes de texto, mensajes de voz, App, llamadas telefónicas, cara a cara, medios físicos o electrónicos, actuales o que en el futuro se desarrollen como otras comunicaciones enviadas así como por internet de terceros que participen en nuestra relación comercial o legal con todos nuestros clientes, empleados, proveedores, accionistas, aliados estratégicos y vinculados.

La presente información se irá ajustando en la medida en que se vaya reglamentando la normatividad aplicable a la materia y entre nuevas disposiciones.

Con la implementación de ésta política, se pretende garantizar la reserva de la información y la seguridad sobre el Tratamiento que se le dará a la misma y a todos los clientes, proveedores, empleados y terceros de quienes Matisses ha obtenido legalmente información y datos personales conforme a los lineamientos establecidos por la ley regulatoria del derecho al Habeas Data.


DERECHOS QUE LE ASISTEN AL TITULAR

LEY 1581 DE 2012 – Por la cual se dictan disposiciones generales para la protección de datos personales (Ley de Habeas Data)

Artículo 8°. Derechos de los Titulares. El Titular de los datos personales tendrá los siguientes derechos:

a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;

c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la Constitución;

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Artículo 9°. Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

Artículo 11.Suministro de la información. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

El Gobierno Nacional establecerá la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deberán suministrar la información del Titular, atendiendo a la naturaleza del dato personal, Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley.

CASOS EN LOS CUALES MATISSES NO REQUIERE AUTORIZACIÓN PARA EL TRATAMIENTO DE LOS DATOS QUE TENGA EN SU PODER.

  1. Cuando la información sea solicitada a la compañía por una entidad pública o administrativa que esté actuando en ejercicio de sus funciones legales o por orden judicial.

  2. Cuando se trate de datos de naturaleza pública debido a que éstos no son protegidos por el ámbito de aplicación de la norma.

  3. Eventos de urgencia médica o sanitaria debidamente comprobadas.

  4. En aquellos eventos donde la información sea autorizada por la ley para cumplir con fines históricos, estadísticos y científicos.

  5. Cuando se trate de datos relacionados con el registro civil de las personas debido a que ésta información no es considerada como un dato de naturaleza privada.

A QUIENES SE LES PUEDE ENTREGAR INFORMACIÓN POR PARTE DE MATISSES SIN NECESIDAD DE CONTAR CON AUTORIZACIÓN DE LOS TITULARES DE LOS DATOS

  1. A los titulares de los datos, sus herederos o representantes en cualquier momento y a través de cualquier medio cuando así lo soliciten MATISSES.

  2. A las entidades judiciales o administrativas en ejercicio de funciones que eleven algún requerimiento a la compañía para que le sea entregada la información.

  3. A los terceros que sean autorizados por alguna ley de la república de Colombia.

  4. A los terceros que el Titular del dato autorice expresamente entregar la información y cuya autorización sea entregada a MATISSES.


Política Manejo de Información y Datos Personales

A los terceros que el Titular del dato autorice expresamente entregar la información y cuya autorización sea entregada a MATISSES.


DEBERES QUE TIENE MATISSES RESPECTO A LOS TITULARES DE LOS DATOS

Matisses se hace Responsable del Tratamiento que dé a los datos de información personal recolectados, reconociendo que estos son propiedad del titular y que solo él puede proporcionarlos. Matisses será el responsable de buscar el medio por el cual el titular autoriza cualquier tipo de Tratamiento para sus datos, igualmente informará de manera clara a sus clientes, empleados, proveedores y terceros en general de quienes obtenga bases de datos del Tratamiento al cual serán sometidos los mismos y la finalidad de dicho Tratamiento. Para ello, deberá diseñar la estrategia a través de la cual para cada evento, mecánica o solicitud de datos que se realice, informará a los mismos el respectivo Tratamiento de que se trate. Algunos de estos medios pueden ser: el envío de mensajes de texto, diligenciamiento de formatos físicos, a través de los sitios web de Matisses, entre otros.

Matisses debe informar a los titulares de los datos para cada caso, el carácter facultativo de responder y otorgar la respectiva información solicitada. Además en todos los casos en los que se recopilen datos, se deberá informar los derechos que le asisten a todos los titulares respecto a sus datos.

Matisses debe informar la identificación, dirección física o electrónica y teléfono de la persona o área que tendrá la calidad de responsable del Tratamiento, dentro de los cuales se podrá tener la página web Matisses, la Línea Nacional de Servicio al Cliente y las oficinas de Servicio al Cliente de Matisses de todo el país. Política Manejo de Información y Datos Personales.

Matisses, deberá garantizar en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho al hábeas data y del derecho de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, solicitar la actualización o corrección de datos y tramitar consultas, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos previstos en la presente política.

Matisses deberá conservar con las debidas seguridades los registros de datos personales almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento y realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que los titulares de los mismos le reporten novedades o solicitudes.


FINALIDADES EN LA CAPTURA, USO Y TRATAMIENTO DE DATOS PERSONALES

Matisses en desarrollo de su objeto social y sus relaciones con terceros, entiéndase por estos clientes, empleados, proveedores, acreedores, aliados estratégicos, filiales, subordinadas entre otros; recopila constantemente datos para llevar a cabo diversas finalidades y usos dentro de los cuales se pueden enmarcar fines administrativos, comerciales, promocionales, informativos, de mercadeo y ventas. También podrá ofrecer todo tipo de servicios comerciales; así como realizar campañas de promoción, marketing, publicidad y búsqueda de un conocimiento más cercano con todos sus clientes, proveedores, empleados y terceros vinculados.

Matisses podrá ejecutar las siguientes acciones:

Obtener, almacenar, compilar, intercambiar, actualizar, recolectar, procesar, reproducir y/o disponer de los datos o información parcial o total de aquellos titulares que le otorguen la debida autorización en los términos exigidos por la ley y en los formatos que para cada caso estime convenientes.

Clasificar, ordenar, separar la información suministrada por el titular de los datos. Política de Manejo de Información y Datos Personales.

Efectuar investigación, comprar, verificar y validar los datos que obtenga en debida forma con centrales de riesgo crediticio con las cuales se tenga relaciones comerciales.

Extender la información que obtenga en los términos de la ley habeas data, a las empresas con las que contratar los servicios de captura, almacenamiento y manejo de sus bases de datos previas las debidas autorizaciones que en ese sentido tenga.

Transferir los datos o información parcial o total a sus filiales, comercios, empresas y/o entidades afiliadas y aliados estratégicos.


Datos recolectados antes de la Ley 1581 de 2012

Frente a la información otorgada antes de la entrada en vigencia de la citada norma, los titulares pueden ser contactados para su autorización de Tratamiento de datos personales hacia nuestra empresa, mediante los modos anteriormente descritos, o a través de la utilización de medios masivos de comunicación de circulación amplia. Igualmente se puede verificar tal consentimiento por medio de los comunicados sobre Tratamiento de información enviados por correo electrónico o a través de nuestra página web de Matisses: www.matisses.co, medios a través de los cuales se indagará a los clientes que sean otorgantes de datos en nuestro depósito si están de acuerdo con que se siga usando y tratando su información personal.

Lo anterior es importante señalarlo al titular de la información, toda vez que a menos de que éste haya desaprobado dicho Tratamiento o uso en un plazo no mayor a treinta (30) días, la empresa entenderá un consentimiento inequívoco, expreso e informado por parte del titular para el Tratamiento de sus datos personales; en todo caso, la empresa dará cumplimiento al artículo 10 del Decreto Reglamentario 1377 de 2013.


LA AUTORIZACIÓN

A efectos de llevar a cabo los fines anteriormente mencionados, Matisses requiere de manera libre, previa ,expresa y debidamente informada de la autorización por parte de los titulares de los datos y para ello ha dispuesto mecanismos idóneos garantizando para cada caso que sea posible verificar el otorgamiento de dicha autorización. La misma podrá constar en cualquier medio, bien sea un documento físico, electrónico o en cualquier formato que garantice su posterior consulta a través de herramientas técnicas, tecnológicas y desarrollos de seguridad informática.

La autorización es una declaración que informa al titular de los datos la siguiente información:


  • Quien es el responsable o encargado de recopilar la información

  • Datos recopilados

  • Finalidades del Tratamiento

  • Procedimiento para el ejercicio de los derechos de acceso, corrección, actualización o supresión de datos

  • Información sobre recolección de datos sensibles


PROTECCIÓN DATOS PERSONALES DE MENORES DE EDAD Y ADOLESCENTES

En atención a lo dispuesto en la Ley Estatutaria 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, Matisses asegura que el Tratamiento de los datos personales de niños, niñas y adolescentes será realizado respetando sus derechos, razón por la cual, en las actividades comerciales y de mercadeo que realice, Matisses deberá contar con la autorización previa, expresa e informada del padre o la madre o del representante legal de la niña, niño o adolescente.


PROCEDIMIENTO PARA LA ATENCIÓN Y RESPUESTA A CONSULTAS, PETICIONES Y RECLAMOS DE LOS TITULARES CON RESPECTO A CUALQUIER ASPECTO DEL TRATAMIENTO

Los ciudadanos podrán ejercer su derecho de Hábeas Data en cualquier momento y sus datos personales sólo podrán usarse para el propósito y la finalidad original, tal y como lo establece el Decreto 1377 de 2013, que reglamentó parcialmente la Ley General de Protección de Datos Personales, Ley 1581 de 2012. (Superintendencia de Industria y Comercio).

Se deja claridad sobre la posibilidad que tiene todo titular de solicitar la supresión de sus datos personales y de revocar la autorización otorgada para el Tratamiento de cualquier dato personal. En cualquier momento los titulares pueden ejercer su derecho de hábeas data para actualizar, corregir o eliminar su información.


RECLAMO O CONSULTA:

Artículo 20 Decreto Reglamentario 1377 de 2013 de la Ley de Habeas Data

Matisses propietaria de la marca y los establecimientos comerciales Matisses, en la siguiente dirección:


DISTRIBUCIONES BARÚ S.A (Matisses)

Dirección: Calle 52 sur N° 44-45 de Sabaneta del municipio de Sabaneta – Antioquia.

Tel: 444 04 34,opción: 1

Fax: 444-04-34, opción 5.

Página empresarial: www.matisses.co

Correo de contacto: servicioalcliente@matisses.co

Por los siguientes medios habilitados para tal fin:

  • Telefónicamente.

  • Presentándose personalmente en las instalaciones de la empresa.

  • Remitir correspondencia.

  • Página o correo electrónico.

Para una respuesta adecuada y oportuna al titular, causahabiente, representante legal y/o apoderado, la empresa obligatoriamente deberá:

  • Identificar plenamente a la persona con nombre y número de cédula.

  • Indagar si actúa como titular o en cualquier otra modalidad, en este último caso deberá acreditar su calidad mediante documentación idónea para ello.

  • Verificar ubicación por: Ciudad, dirección, teléfono fijo, móvil, correo electrónico, otros.

  • Generar una descripción clara, concisa y precisa de la novedad en los datos personales que el titular quiere tramitar.


LEY 1581 DE 2012 - Artículo 16. Requisito de procedibilidad. El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsables del Tratamiento o Encargado del Tratamiento.

En caso de consulta o reclamo ante la empresa y el titular de los datos, sus causahabientes, representante legal y/o apoderado o por poder, crean que no les han dado respuesta correcta o por fuera de los plazos establecidos por la ley, se deben poner en contacto con la Superintendencia de Industria y Comercio, en la siguiente dirección:

En Medellín, la Superintendencia de Industria y Comercio está ubicada en la siguiente dirección:

Carrera 49 53-19 piso 3. Edificio Bancoquia. Puede dirigir su petición a la dirección electrónica contactenos@sic.gov.co

  1. PROCESO JUDICIAL: La empresa inmediatamente debe informar al asesor jurídico para iniciar las acciones legales de defensa pertinentes.

LEY 1581 DE 2012 - Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;

d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

g) Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la presente ley;

h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.



POLÍTICAS DE SEGURIDAD INFORMÁTICA

Para Matisses es fundamental y prioritario adoptar medidas técnicas, jurídicas, humanas y administrativas que sean necesarias para procurar la seguridad de los datos de carácter personal protegiendo la confidencialidad, integridad, uso, acceso no autorizado y/o fraudulento. Asimismo, se permite informar que internamente la compañía ha implementado protocolos de seguridad de obligatorio cumplimiento para todo el personal con acceso a datos de carácter personal y a los sistemas de información.

Las políticas internas de seguridad bajo las cuales se conserva la información del titular para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, son las siguientes:

  1. Políticas en la Infraestructura tecnológica perimetral en la red de datos (Sistema de prevención de intrusos (IPS), Firewalls, correo seguro, control de contenido, control de acceso a la red (NAC) y antivirus.
  2. Políticas en la Infraestructura tecnológica y políticas de control de acceso a la información, aplicaciones y bases de datos (Plataforma MS directorio activo, módulos de seguridad, cifrado PGP)
  3. Políticas de implementación tecnológica que protegen los computadores y servidores de la organización de malware.
  4. Políticas de implementación tecnológica que impide la utilización de dispositivos USB de almacenamientos no autorizados. Política Manejo de Información y Datos Personales.
  5. Políticas de implementación tecnológica que controla el envío y transmisión electrónica caracterizada como confidencial (DLP - Data Loss Prevention-, Transfer).
  6. Uso de diferentes ambientes en las plataformas críticas, para que desarrolladores y consultores puedan trabajar sin problema (DEV desarrollo, QA calidad y PDN Productivo).
  7. Políticas de implementación tecnológica que respalda la información contenida en las distintas plataformas.
  8. Política escrita sobre seguridad de la información y uso de las herramientas de información.
  9. Acuerdo de confidencialidad con proveedores y terceros.
  10. Cláusula de confidencialidad en los contratos laborales de empleados.
  11. En todos los eventos que se realizan, en los cuales se captura información del cliente se incluye el párrafo de Habeas data, con sus respectivas implicaciones.

Sabaneta, Antioquia

Marzo de 2016