POLÍTICA DE TRATAMIENTO DE DATOS BOOKS AND TOONS COLOMBIA

Establecer las directrices generales para el tratamiento de la información personal recolectada y administrada por BOOKS AND TOONS S.A.S. 

Esta política es aplicable al tratamiento de los datos de carácter personal que estén contenidos en las diferentes bases de datos de la Compañía BOOKS AND TOONS S.A.S.

Los términos utilizados en la presente Política, relacionados en orden alfabético, tendrán el significado establecido a continuación:

● Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.

● Base de datos: Conjunto organizado de los datos personales que serán objeto de tratamiento.

● Causahabiente: Persona que por sucesión o sustitución adquiere los derechos de otra persona.

● Consulta: Es el derecho del Titular a ser informado por el responsable del tratamiento, previa solicitud, respecto al origen, uso y finalidad que les han dado a sus datos personales.

● Dato público: Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas y que no estén sometidas a reserva.

● Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

● Dato privado: Es un dato personal que, por su naturaleza íntima o reservada, solo interesa a su Titular y para su tratamiento requiere de su autorización previa, informada y expresa. Puede estar contenido en bases de datos que contengan números telefónicos y correos electrónicos personales, datos laborales, infracciones administrativas o penales, administrados por entidades tributarias, financieras, gestoras y de servicios comunes de la Seguridad Social; bases de datos sobre solvencia patrimonial o de crédito, bases de datos con información suficiente para evaluar la personalidad del Titular y bases de datos de los responsables de operadores que presten servicios de comunicación electrónica.

● Dato sensible: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen su origen racial o étnico, su orientación política, sus convicciones religiosas o filosóficas, su pertenencia a sindicatos, organizaciones sociales o de derechos humanos, o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

● Datos biométricos: Los datos personales, como las imágenes de los titulares, se consideran datos biométricos y de carácter sensible cuando son tratados por medios técnicos específicos que permitan la identificación o la autenticación unívoca de una persona física.

● Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

● Incidencia: Los incidentes se refieren a cualquier evento en los sistemas de información o bases de datos manuales o sistematizados que atenten contra la seguridad de los datos personales en ellos almacenados.

● Oficial de Protección de Datos: Es la persona natural que asume la función de coordinar la implementación del marco legal en protección de datos personales, que dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y demás normas concordantes.

● Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y su tratamiento.

● Responsable de administrar las bases de datos: Colaborador encargado de controlar y coordinar la adecuada aplicación de la Política de tratamiento de los datos una vez almacenados en una base específica, así como de poner en práctica las directrices que dicten el responsable del tratamiento y el Oficial de Protección de Datos.

● Reclamo de corrección: Derecho del Titular a que se actualicen, rectifiquen o modifiquen aquellos datos parciales, inexactos, incompletos, fraccionados o que induzcan a error.

● Reclamo de infracción: Derecho del Titular a solicitar que se subsane el incumplimiento de la normativa en materia de protección de datos.

● Reclamo de revocación: Derecho del Titular a dejar sin efecto la autorización previamente prestada para el tratamiento de sus datos personales.

● Reclamo de supresión: Derecho del Titular a que se supriman los datos que resulten inadecuados, excesivos o que no respeten los principios, derechos y garantías constitucionales y legales.

● Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

● Tratamiento: Cualquier operación o conjunto de operaciones sobre los datos personales del Titular, tales como la recolección, almacenamiento, uso, circulación o supresión.

● Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

● Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un tratamiento determinado por cuenta de la persona encargada (responsable).

BOOKS AND TOONS S.A.S., sociedad colombiana identificada con el NIT 900419057 - 4, domiciliada en la ciudad de Bogotá D. C., en cumplimiento de la normatividad vigente que regula la protección de datos personales y establece las garantías legales que amparan a todas las personas en Colombia para asegurar el debido tratamiento de sus datos, establece la siguiente Política para el tratamiento de datos personales.

BOOKS AND TOONS S.A.S., concibe la presente política en cumplimiento de la siguiente normatividad vigente:

● Constitución Política de Colombia de 1991, artículos 15 y 20.

● Ley 1581 de 2012.

● Decreto 1074 de 2015: capítulos 25 y 26, compilatorio de los Decretos 1377 de 2013 y 886 de 2014.

● Circular Externa 005 de 2017.

● Decreto 1115 de 2017 (plazos de inscripción bases de datos).

● Demás disposiciones concordantes.

Los principios que regirán el tratamiento y la protección de datos personales en la Compañía son:

● Confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan naturaleza de públicos, están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012 y en los términos de la misma.

● Finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al Titular, al momento de la recolección del dato.

● Legalidad: El tratamiento de los datos es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 de 2012, el Decreto 1377 de 2013 compilado en el Capítulo 25 del Decreto 1074 de 2015 y en las demás disposiciones concordantes.

● Libertad: El tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

● Seguridad: La información sujeta a tratamiento por las personas encargadas se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

● Veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

● Acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet y otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la Ley.

● Transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del responsable o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.

Responsable: BOOKS AND TOONS S.A.S., es responsable del manejo y control del tratamiento de datos personales suministrado por los titulares, contenidos en sus bases de datos; su información de contacto es la siguiente:

● NIT: 900419057 - 4

● Correo electrónico: booksandtoons.edit@gmail.com

En desarrollo de su actividad empresarial, la Compañía podrá recolectar, usar y tratar datos personales conforme a la Política de Tratamiento de Datos Personales contenida en este documento y las finalidades autorizadas por cada Titular de los datos, siendo estas informadas de manera previa y expresa con observancia de los requisitos legales que señala la ley y la Constitución Política.

De acuerdo con la normatividad vigente, el tratamiento que dará la Compañía a los datos personales requiere de una autorización previa e informada del Titular, la cual se obtendrá por cualquier medio, con antelación al tratamiento, y podrá ser objeto de consulta posterior, excepto en los casos expresamente excluidos por la Ley. La Compañía obtendrá la autorización antes mencionada, mediante el uso de formatos de solicitud de autorización físicos, de audio o digitales, en los cuales se informará al Titular:

● El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.

● El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de menores de edad.

● Los derechos que le asisten como Titular y los canales de atención.

● La identificación, la dirección física o electrónica y el teléfono de la Compañía.

● La Compañía conservará de manera física y/o digital las autorizaciones diligenciadas por los titulares, para atender solicitudes de los mismos o de las entidades de control.

En el evento en que la Compañía, en desarrollo de su actividad empresarial o en cumplimiento de alguna norma legal, requiera obtener datos personales de menores de edad, solicitará al Representante Legal del menor la autorización para el tratamiento de los mismos, previa validación de su acreditación como representante o apoderado. La Compañía velará por el uso legal y adecuado de los datos pertenecientes a menores de edad asegurando que se respeten sus intereses y derechos fundamentales.

Los datos biométricos almacenados en las bases de datos serán recolectados y tratados por motivos estrictamente de seguridad, para verificar la identidad personal y realizar control de acceso a los empleados, clientes y visitantes. Los mecanismos biométricos de identificación capturan, procesan y almacenan información relacionada con, entre otros, los rasgos físicos de las personas (las huellas dactilares, reconocimiento de voz y los aspectos faciales), para establecer o “autenticar” la identidad de cada sujeto. La administración de las bases de datos biométricos se ejecutará con medidas de seguridad que garantizarán el debido cumplimiento de los principios y las obligaciones derivadas de la Ley Estatutaria en Protección de Datos asegurando, además, la confidencialidad y reserva de la información de los titulares.

La información sujeta a tratamiento por el responsable será manejada con las medidas técnicas para brindar seguridad a los registros, evitando su adulteración, pérdida, consulta y acceso no autorizado, teniendo en cuenta los siguientes aspectos:

● Administración de los riesgos: La Compañía identificará y evaluará de manera periódica los riesgos que atentan contra la seguridad de los datos personales objeto de tratamiento, en función de su probabilidad de ocurrencia e impacto, estableciendo controles que mitiguen de manera razonable dichos riesgos. La efectividad de los controles se monitoreará regularmente, de modo que se puedan implementar acciones correctivas y de mejora.

● Gestión documental: La Compañía establecerá procedimientos y medidas de seguridad para las bases de datos no automatizadas que contengan datos personales, aplicando los criterios que aseguren su custodia, conservación, localización, disposición final y que permitan a los titulares ejercer su derecho de consulta y/o reclamo. Adicionalmente, implementará los controles necesarios para mitigar razonablemente los riesgos de acceso no autorizado, adulteración, pérdida, deterioro y reproducción indiscriminada.

● Seguridad informática: Con el propósito de proteger y preservar la integridad, confidencialidad y disponibilidad de los datos personales, la Compañía tiene establecidos procedimientos y estándares de seguridad de la información, los cuales serán susceptibles de actualización para ajustarlos a nuevas necesidades o cambios en la normatividad aplicable. La Compañía ejecuta y tiene documentadas las medidas de seguridad aplicables a la protección de datos personales.

En virtud de la existencia de un vínculo contractual con un tercero, y en caso de ser necesario suministrar datos personales, la Compañía suscribió un contrato de transmisión de datos personales debidamente avalado por el departamento jurídico y firmado por el Representante Legal de la Compañía, en el cual exigimos a nuestro Encargado de tratamiento:

● Contar con una política formal para el manejo de datos personales, que garantice el cumplimiento de la normatividad vigente en relación con la protección de datos personales y la atención oportuna de consultas y reclamos de los titulares.

● Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

● Realizar oportunamente la actualización, rectificación o supresión de los datos, según los requerimientos normativos y contractuales.

● Actualizar la información reportada por la Compañía, dentro de los cinco (5) días hábiles contados a partir de su recibo.

● Registrar oportunamente en la base de datos entregada por la Compañía las leyendas de “Reclamo en trámite” y/o “Información en discusión judicial”, según aplique.

● Dar tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.

● Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

● Guardar confidencialidad respecto del tratamiento de los datos personales.

● Demás obligaciones contenidas en la Ley 1581 de 2012.

● Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. De la misma forma, en dichos contratos la Compañía se obligará a:

o Garantizar que la información suministrada al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

o Actualizar la información, comunicando en forma oportuna al Encargado, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

o Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado.

o Suministrar al Encargado, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado por el Titular, de conformidad con la normatividad vigente.

o Demás obligaciones contenidas en la Ley 1581 de 2012. Las transmisiones internacionales de datos personales que se efectúen entre la Compañía y un Encargado para permitir que este realice el tratamiento por cuenta de la Compañía, no requerirán ser informados al Titular, ni contar con su consentimiento, siempre que se haya suscrito el Contrato de transmisión de datos personales.

En caso de que la Compañía decida efectuar transferencia de datos personales a países que no proporcionen estándares adecuados de seguridad y protección, la Compañía cumplirá con las disposiciones contenidas en el Título VIII de la Ley 1581 de 2012, la Circular Externa 005 de 2017 y demás normas concordantes.

Cuando una entidad pública o administrativa en ejercicio de sus funciones legales, o por orden judicial, solicite a la Compañía el acceso y/o entrega de datos personales contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición y la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se suscribió un acta de la entrega de la información personal solicitada, precisando la obligación de garantizar los derechos del Titular, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad requirente.

El término para registrar las bases de datos en el RNBD será el establecido legalmente. Las bases de datos que se creen con posterioridad a ese plazo deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.

De conformidad con el Artículo 25 de la Ley 1581 y sus decretos reglamentarios, BOOKS AND TOONS S.A.S., registrará sus bases de datos junto con la presente Política de Tratamiento de Datos Personales en el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio, de conformidad con el procedimiento establecido para el efecto.

La Compañía establecerá un procedimiento de notificación, gestión y respuesta de incidencias con el fin de garantizar la confidencialidad, disponibilidad e integridad de la información contenida en las bases de datos que están bajo su responsabilidad.

Todos los usuarios y responsables de procedimientos, así como cualquier persona que tenga relación con el almacenamiento, tratamiento o consulta de las bases de datos recogidas en este documento, conocerán el procedimiento para actuar en caso de incidencia. El procedimiento de notificación, gestión y respuesta ante incidencias es el siguiente:

● Cuando una persona tenga conocimiento de una incidencia (pérdida, hurto y/o acceso no autorizado) que afecte o pueda afectar la confidencialidad, disponibilidad e integridad de la información protegida de la empresa, alguno de los Encargados o administradores de las bases de datos deberá comunicarlo de manera inmediata al Oficial de protección de datos, describiendo detalladamente el tipo de incidencia producida, indicando las personas que hayan podido tener relación con la misma, la fecha y hora en que se produjo, la persona que notifica la incidencia, la persona a quien se le comunica y los efectos que ha producido.

● Una vez comunicada la incidencia se debe solicitar al Oficial de Protección de Datos un acuse de recibo en el que conste la notificación de la incidencia con todos los requisitos enumerados anteriormente.

● La Compañía llevará un registro de incidencias que debe contener: el tipo de incidencia (fraude interno o externo, daños a activos físicos, fallas tecnológicas, ejecución y administración de procesos), fecha y hora de la misma, persona que la notifica, persona a quien se le comunica, efectos de la incidencia y medidas correctoras cuando corresponda. Este registro es gestionado por el Oficial de Protección de Datos y quedará consignado en el reporte de incidencia junto con el plan de acción.

● Así mismo, debe implementar los procedimientos para la recuperación de los datos cuando aplica, indicando quien ejecuta el proceso, los datos restaurados y, en su caso, los datos que han requerido ser grabados manualmente en el proceso de recuperación.

Las bases de datos responsabilidad de la Compañía serán objeto de tratamiento durante el tiempo que sea razonable y necesario para la finalidad para la cual son recabados los datos, obedeciendo a intereses legítimos. En caso de ser revocado el consentimiento otorgado, la Compañía procederá a la supresión de los datos personales en su posesión, salvo que exista una obligación legal o contractual que requiera su conservación, la cual será notificada al Titular de los datos.

Los derechos de los titulares respecto a la protección de sus datos personales están establecidos en la Ley y corresponden a la consulta, acceso y/o suministro de información, prueba de autorización para el tratamiento de sus datos y reclamaciones. Estos derechos podrán ser exigidos por el Titular, sus causahabientes o representantes y/o apoderados legales, debidamente acreditados.

Una vez agotados los trámites de consulta o reclamo, el Titular, causahabiente, representante y/o apoderado legal podrá elevar quejas ante la Superintendencia de Industria y Comercio.

El Titular de los datos podrá realizar su consulta a BOOKS AND TOONS S.A.S., por los siguientes canales: correo electrónico booksandtoons.edit@gmail.com, indicando en el asunto la solicitud; en la sección de Contáctenos de nuestra página web https://booksandtoons.com/inicio, La solicitud deberá tener los siguientes datos:

● Nombre y apellidos del Titular.

● Petición en que se concreta la solicitud de acceso o consulta.

● Dirección para notificaciones, fecha y firma del solicitante.

● Documentos acreditativos de la petición formulada, cuando corresponda.

De acuerdo con lo establecido en la Ley, el término de la Compañía para resolver estas consultas es de diez (10) días hábiles contados a partir de la fecha de recibo de la misma, y dará respuesta a través de correo ordinario o electrónico. Cuando no es posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso puede superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

El Titular de los datos podrá realizar su consulta a BOOKS AND TOONS S.A.S., por los siguientes canales: correo electrónico booksandtoons.edit@gmail.com, indicando en el asunto la solicitud; en la sección de Contáctenos de nuestra página web https://booksandtoons.com/inicio, La solicitud deberá tener los siguientes datos:

● Nombre y apellidos del Titular.

● Petición en que se concreta la solicitud de acceso o consulta.

● Dirección para notificaciones, fecha y firma del solicitante.

● Documentos acreditativos de la petición formulada, cuando corresponda.

De acuerdo con lo establecido en la Ley, el término de la Compañía para resolver estas consultas es de diez (10) días hábiles contados a partir de la fecha de recibo de la misma, y dará respuesta a través de correo ordinario o electrónico. Cuando no es posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso puede superar los cinco (5) días hábiles siguientes al vencimiento del primer término.