POLÍTICA DE TRATAMENTO DE DADOS PESSOAIS sivar s.a.s.

1. Informações da empresa responsável pelo tratamento de informações pessoais

A SIVAR S.A.S., sociedade identificada com NIT 901.292.678-3, informa a todos os interessados que os dados pessoais obtidos em virtude das operações celebradas com a sociedade serão tratados de acordo com os princípios e deveres definidos na Lei 1581 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Decreto Único 1074 de 2015 e demais normas que tratam e regulamentam esta matéria. Em razão de sua condição de Responsável pelo Tratamento de Dados Pessoais, em conformidade com a referida regulamentação, torna pública a presente POLÍTICA DE TRATAMENTO DE DADOS PESSOAIS (doravante, a “Política”), cuja aplicação é obrigatória para todas as pessoas físicas ou jurídicas que realizem tratamento de dados pessoais registrados nas bases de dados da SIVAR S.A.S.

Para todos os fins pertinentes, o endereço da SIVAR S.A.S. será Carrera 30 #7AA-207, Edifício Torre Scaglia, cidade de Medellín, telefone: (57) 3128039189. E-mail: proyectos@sivargroup.com – info@sivargroup.com e página web: http://www.sivargroup.com.

2. Objeto

A presente Política tem por objeto fornecer as informações necessárias e suficientes aos diferentes grupos de interesse, como clientes, usuários, clientes potenciais, fornecedores, empregados, contratados, aliados comerciais e acionistas; bem como estabelecer as diretrizes que garantam a proteção dos dados pessoais objeto de tratamento, por meio dos procedimentos da SIVAR S.A.S., de forma a cumprir a lei, as políticas e os procedimentos de atendimento aos direitos dos titulares, bem como os critérios de coleta, armazenamento, uso, circulação e eliminação dos dados pessoais.

3. Destinatários

Esta política será aplicada a todas as bases de dados físicas e digitais que contenham dados pessoais e que sejam objeto de Tratamento pela SIVAR S.A.S., considerada como Responsável. Igualmente, será aplicada nos casos em que atue como Encarregada do tratamento de dados pessoais. A política tem como objetivo que os clientes, usuários, clientes potenciais, fornecedores, empregados, contratados, aliados comerciais e acionistas da SIVAR tenham à sua disposição as informações necessárias e suficientes sobre os diferentes tratamentos e finalidades aos quais seus dados serão submetidos, bem como os direitos que podem exercer perante a SIVAR quando esta atuar como responsável pelo tratamento de seus dados pessoais.

Esta política é de conhecimento e cumprimento obrigatório para todas as pessoas físicas ou jurídicas responsáveis pela administração das bases de dados pessoais da SIVAR, e para aqueles funcionários que recebam, atendam e respondam direta ou indiretamente às solicitações (consultas ou reclamações) de informações relacionadas à lei de proteção de dados pessoais.

4. Alcance

Garantir o exercício do direito à intimidade das pessoas e ao habeas data, mediante a proteção dos dados pessoais contidos nas bases de dados da SIVAR e que se encontrem no âmbito da Lei 1581 de 2011, do Decreto 1373 de 2013 e das demais normas que a modifiquem ou regulamentem.
Dar trâmite ágil e legal às diferentes solicitações e reclamações feitas pelos Titulares da Informação, bem como por seus sucessores ou outra pessoa devidamente autorizada.
Cumprir as exigências da regulamentação vigente em matéria de Proteção de Dados Pessoais, assim como qualquer exigência originada no princípio da responsabilidade demonstrada (accountability).
Proporcionar a devida proteção aos interesses e necessidades dos Titulares da Informação pessoal tratada pela SIVAR.

5. Definições

No desenvolvimento, interpretação e aplicação da Lei, regulamentações e normas vigentes, aplicar-se-ão, de forma harmônica e integral, as seguintes definições:

a) Área responsável pela proteção de dados: É a área dentro da SIVAR que tem como função a supervisão e o controle da aplicação da Política de Proteção de Dados Pessoais.
b) Área responsável pelo atendimento de petições, queixas, reclamações e consultas: As petições, queixas, reclamações e consultas formuladas pelos titulares dos dados serão atendidas pela SIVAR por meio da figura do Encarregado de Proteção de Dados, vinculada à mesma.
c) Autorização: Consentimento prévio, expresso e informado do Titular para realizar o Tratamento de dados pessoais.
d) Aviso de Privacidade: Comunicação verbal ou escrita gerada pelo Responsável, dirigida ao Titular para o Tratamento de seus dados pessoais, por meio da qual se informa a existência das políticas de Tratamento da informação que lhe serão aplicáveis, a forma de acessá-las e as finalidades do Tratamento que se pretende dar aos dados pessoais.
e) Base de Dados: Conjunto organizado de dados pessoais objeto de Tratamento.
f) Qualidade do dado: O dado pessoal submetido a tratamento deverá ser verdadeiro, completo, exato, atualizado, comprovável e compreensível. Quando houver dados pessoais parciais, incompletos, fragmentados ou que induzam a erro, a SIVAR deverá abster-se de submetê-los a Tratamento ou solicitar ao Titular a complementação ou correção da informação.
g) Circulação restrita: Os dados pessoais só serão tratados pelo pessoal da SIVAR ou por aqueles que, no exercício de suas funções, tenham a seu cargo a realização de tais atividades. Os Dados Pessoais não poderão ser entregues a quem não conte com autorização ou não tenha sido habilitado pela SIVAR para tratá-los.
h) Confidencialidade: Elemento de segurança da informação que permite estabelecer quem e em quais circunstâncias pode acessá-la.
i) Dado pessoal: Qualquer informação vinculada ou que possa ser associada a uma ou várias pessoas naturais determinadas ou determináveis.
j) Dado público: É o dado que não seja semiprivado, privado ou sensível. São considerados dados públicos, entre outros, os dados relativos ao estado civil das pessoas, à sua profissão ou ofício e à sua qualidade de comerciante ou servidor público. Pela sua natureza, os dados públicos podem estar contidos, entre outros, em registros públicos, documentos públicos, gazetas e boletins oficiais e sentenças judiciais devidamente transitadas em julgado que não estejam sujeitas a reserva.
k) Dado semiprivado: É a informação que não é de natureza íntima, reservada nem pública e cujo conhecimento ou divulgação pode interessar não apenas ao seu titular, mas também a determinado setor ou grupo de pessoas ou à sociedade em geral, como ocorre com dados financeiros, creditícios ou de atividades comerciais.
l) Dado sensível: Dado que afeta a intimidade do titular ou cujo uso indevido pode gerar discriminação, como aqueles que revelem origem racial ou étnica, orientação política, convicções religiosas ou filosóficas, filiação a sindicatos, organizações sociais, de direitos humanos ou que promovam interesses de qualquer partido político ou garantam os direitos e garantias de partidos políticos de oposição, bem como dados relativos à saúde, à vida sexual e dados biométricos.
m) Encarregado do Tratamento: Pessoa física ou jurídica, pública ou privada, que por si mesma ou em associação com outras, realize o Tratamento de dados pessoais por conta do responsável pelo Tratamento.
n) Informação digital: Toda informação armazenada ou transmitida por meios eletrônicos e digitais, como correio eletrônico ou outros sistemas de informação.
o) Responsável pelo Tratamento: Pessoa física ou jurídica, pública ou privada, que por si mesma ou em associação com outras decida sobre a base de dados e/ou o Tratamento dos dados.
p) Titular: Pessoa natural cujos dados pessoais sejam objeto de Tratamento.
q) Transmissão: Tratamento de dados pessoais que implica a comunicação dos mesmos dentro ou fora do território da República da Colômbia quando tiver por objeto a realização de um Tratamento pelo Encarregado por conta do responsável.
r) Transferência: O responsável e/ou encarregado do Tratamento de dados pessoais, localizado na Colômbia, envia a informação ou os dados pessoais a um receptor, que por sua vez é Responsável pelo Tratamento e se encontra dentro ou fora do país.
s) Tratamento: Qualquer operação ou conjunto de operações sobre dados pessoais, tais como coleta, armazenamento, uso, circulação ou eliminação.

6. Princípios orientadores

Dentro do compromisso legal e corporativo da SIVAR de definir claramente o marco de proteção de dados pessoais, o exercício do direito de habeas data e garantir a confidencialidade da informação pessoal, adota os princípios gerais para o tratamento, transferência e transmissão de dados pessoais aos quais tenha acesso.

a) Princípio da Legalidade em Matéria de Tratamento de Dados: O Tratamento é uma atividade regulamentada que deve sujeitar-se ao estabelecido na Lei 1581 de 17 de outubro de 2012, decretos regulamentares e demais disposições que a desenvolvam.
b) Princípio da Finalidade: O Tratamento deve obedecer a uma finalidade legítima de acordo com a Constituição e a Lei, a qual deve ser informada ao Titular.
c) Princípio da Liberdade: O Tratamento só pode ser exercido com o consentimento prévio, expresso e informado do Titular. Os dados pessoais não poderão ser obtidos ou divulgados sem autorização prévia, ou na ausência de mandado legal ou judicial que dispense o consentimento.
d) Princípio da Veracidade ou Qualidade: A informação sujeita a Tratamento deve ser verdadeira, completa, exata, atualizada, comprovável e compreensível. É proibido o Tratamento de Dados parciais, incompletos, fragmentados ou que induzam a erro.
e) Princípio da Transparência: No Tratamento deve ser garantido o direito do Titular de obter do responsável pelo Tratamento ou do Encarregado do Tratamento, a qualquer momento e sem restrições, informação sobre a existência de dados que lhe digam respeito.
f) Princípio de Acesso e Circulação Restrita: O Tratamento se sujeita aos limites derivados da natureza dos dados pessoais, das disposições da lei e da Constituição. Nesse sentido, o Tratamento só poderá ser realizado por pessoas autorizadas pelo Titular e/ou pelas pessoas previstas em lei.
g) Princípio da Segurança: A informação sujeita a Tratamento pelo responsável ou encarregado a que se refere a lei deverá ser manejada com as medidas técnicas, humanas e administrativas necessárias para conferir segurança aos registros, evitando sua adulteração, perda, consulta, uso ou acesso não autorizado ou fraudulento.
h) Princípio da Confidencialidade: Todos os empregados e contratados que intervenham no Tratamento de Dados Pessoais que não tenham natureza pública são obrigados a garantir a reserva da informação, inclusive após finalizada sua relação com alguma das tarefas que compreendem o Tratamento, podendo apenas realizar fornecimento ou comunicação de dados pessoais quando isso corresponder ao desenvolvimento das atividades autorizadas pela lei e nos termos desta. A SIVAR se compromete a tratar os dados pessoais dos titulares, tal como definido na alínea g) do artigo 3 da Lei 1581 de 2012, de forma absolutamente confidencial, utilizando-os exclusivamente para as finalidades contidas nesta política, desde que o titular não tenha se oposto a tal tratamento. A SIVAR informa que possui implementadas as medidas de segurança de caráter técnico e organizacional necessárias que garantem a segurança de seus dados pessoais e evitem sua alteração, perda, tratamento e/ou acesso não autorizado.
i) Princípio da temporalidade: Os dados pessoais serão conservados unicamente pelo tempo razoável e necessário para cumprir as finalidades que justificaram o tratamento, atendendo às disposições aplicáveis à matéria de que se trate e aos aspectos administrativos, contábeis, fiscais, jurídicos e históricos da informação. Os dados serão conservados quando isso for necessário para o cumprimento de uma obrigação legal ou contratual. Uma vez cumprida a finalidade do tratamento e os prazos estabelecidos anteriormente, proceder-se-á à eliminação dos dados.
j) Interpretação integral dos direitos constitucionais: Os direitos serão interpretados em harmonia e em equilíbrio com o direito à informação previsto no artigo 20 da Constituição e com os direitos constitucionais aplicáveis.
k) Princípio da Necessidade: Os dados pessoais tratados devem ser estritamente necessários para o cumprimento das finalidades perseguidas com a base de dados.

7. Responsabilidade

Toda pessoa que tenha acesso para consultar e realizar qualquer tipo de tratamento aos dados pessoais contidos em bases de dados sob responsabilidade da SIVAR é responsável em caráter pessoal, devendo cumprir a Política.

8. Tratamento de dados sensíveis

É proibido o Tratamento de dados sensíveis, exceto quando:

a) O Titular tiver dado autorização explícita para tal Tratamento, salvo nos casos em que a lei não exija tal autorização.
b) O Tratamento for necessário para salvaguardar o interesse vital do Titular e este se encontrar física ou juridicamente incapacitado. Nestes eventos, os representantes legais deverão conceder sua autorização.
c) O Tratamento se referir a dados necessários para o reconhecimento, exercício ou defesa de um direito em processo judicial.
d) O Tratamento tiver finalidade histórica, estatística ou científica. Neste caso, deverão ser adotadas medidas destinadas à supressão da identidade dos Titulares.

Autorização especial de dados pessoais sensíveis: A SIVAR S.A.S. informará, por meio dos diversos meios de obtenção de autorização, a todos os seus Titulares que, em virtude da Lei 1581 de 2012 e normas regulamentares, eles não são obrigados a conceder autorização para o tratamento de dados sensíveis. Os dados sensíveis biométricos tratados têm como finalidade a identificação das pessoas, a segurança e a adequada prestação dos serviços.

Direitos das crianças e adolescentes: O tratamento de dados pessoais de crianças e adolescentes é proibido, exceto quando se trate de dados de natureza pública, conforme estabelecido no artigo 7 da Lei 1581 de 2012, e quando tal Tratamento cumpra os seguintes parâmetros e requisitos:

Que responda e respeite o interesse superior das crianças e adolescentes.
Que assegure o respeito de seus direitos fundamentais.

Cumpridos os requisitos anteriores, o representante legal da criança ou adolescente concederá a autorização após o exercício do direito do menor de ser ouvido, opinião que será avaliada levando em conta sua maturidade, autonomia e capacidade de compreender o assunto.

9. Tratamento e Finalidades

De acordo com o estabelecido na Lei 1581 de 2012 e em conformidade com as autorizações concedidas pelos titulares da informação, a SIVAR S.A.S. realizará operações ou conjunto de operações que incluem coleta de dados, armazenamento, uso, transmissão, transferência, circulação e/ou eliminação. Este Tratamento de dados será realizado exclusivamente para as finalidades autorizadas e previstas na presente Política e nas autorizações específicas concedidas pelo titular. Os dados pessoais serão tratados de acordo com o grupo de interesse e na proporção da finalidade ou finalidades de cada tratamento; da mesma forma, o tratamento de Dados Pessoais será realizado quando houver obrigação legal ou contratual para tanto, sempre sob as diretrizes das políticas de Segurança da Informação.

A SIVAR, atendendo às diferentes relações que mantém com os titulares dos dados pessoais, poderá tratá-los para finalidades especiais; os diferentes tipos de titulares podem ser: clientes, usuários, clientes potenciais, fornecedores, empregados, contratados, aliados comerciais e acionistas da SIVAR.

a. Clientes, usuários e clientes potenciais

O tratamento de Dados Pessoais pela SIVAR S.A.S. terá as seguintes finalidades:

a) Controlar as solicitações relacionadas com os serviços prestados pela Empresa.
b) Encaminhar as respostas às petições, queixas e reclamações aos clientes e usuários.
c) Realizar os trâmites relacionados com a prestação do serviço ou a entrega do produto.
d) Realizar gestões de cobrança.
e) Enviar informação comercial e publicitária relacionada aos produtos e serviços oferecidos pela empresa.
f) Realizar campanhas, atividades de divulgação, capacitações e webinars.
g) Atualizar bases de dados.
h) Elaborar estudos, estatísticas, pesquisas e análises de tendências relacionadas com as preferências dos clientes e usuários.
i) Transferir informação a terceiros. A transferência de dados a terceiros poderá implicar contraprestação econômica por parte do terceiro em favor da SIVAR S.A.S.
j) Contatar clientes potenciais para a prospecção de negócios.
k) Prestar os serviços e comercializar os produtos oferecidos pela SIVAR.
l) Realizar campanhas e atividades de divulgação relacionadas a promoções, ofertas, tarifas especiais, eventos e demais publicidade de interesse do cliente.
m) Elaborar estudos, estatísticas, pesquisas, análises de tendências e comportamento de consumo relacionados aos produtos e serviços prestados pela SIVAR.
n) Gerenciar a informação necessária para o cumprimento das obrigações tributárias, contratuais, comerciais e de registros comerciais, corporativos e contábeis.
o) Avaliar a qualidade dos serviços prestados.
p) Melhorar as iniciativas promocionais da oferta de prestação de serviços e atualização de produtos da SIVAR.
q) As demais finalidades determinadas nos processos de obtenção de Dados Pessoais para seu tratamento e, em qualquer caso, de acordo com a Lei.

b. Trabalhadores

a) Controlar o cumprimento de requisitos relacionados ao Sistema Geral de Seguridade Social.
b) Realizar campanhas de bem-estar laboral.
c) No caso de dados biométricos capturados por meio de sistemas de videovigilância ou gravação, seu tratamento terá como finalidade a identificação, a segurança e a prevenção de fraude interna e externa.
d) No caso dos participantes em processos de seleção, os dados pessoais tratados terão como finalidade realizar as gestões dos processos seletivos; os currículos serão geridos garantindo o princípio de acesso restrito.
e) Reportar pagamentos por parte da empresa, emissão de certificados de rendimentos e retenções.
f) Realizar campanhas do SG-SST.

c. Fornecedores, contratados e aliados comerciais

a) Para todos os fins relacionados com o objeto dos processos de seleção, conhecimento da contraparte, contratuais ou relacionados com estes.
b) Realizar todos os trâmites internos e o cumprimento de obrigações contábeis, tributárias e legais.
c) Reportar pagamentos e emitir certificados.
d) Consulta de relatórios nas centrais de risco financeiro.
e) Gerenciar a cadeia orçamentária da SIVAR no que se refere a pagamentos, emissão de certificados de rendimentos e retenções (pessoas físicas e jurídicas) e relações de pagamentos.
f) Gerenciar o processo contábil da SIVAR.
g) Realizar todas as atividades necessárias para o cumprimento das diferentes etapas contratuais nas relações com fornecedores, contratados, distribuidores e aliados comerciais.
h) Expedir as certificações contratuais solicitadas pelos contratados ou por órgãos de controle.
i) Emitir ordens de compra para solicitação de serviços e/ou produtos.
j) Para o processamento, recebimento e pagamento dos serviços e/ou produtos prestados e comercializados por contratados, fornecedores, distribuidores e aliados comerciais.
k) Manter um arquivo digital que permita contar com a informação correspondente a cada contrato.
l) As demais finalidades que se determinem nos processos de obtenção de Dados Pessoais para seu tratamento e, em qualquer caso, de acordo com a Lei e no âmbito das funções atribuíveis à SIVAR.

d. Acionistas

Para todos os fins relacionados ao governo corporativo da sociedade, em especial, aquelas atividades acionárias, econômicas, financeiras, comerciais e estratégicas, assim como as definidas no Código de Comércio e na regulamentação mercantil frente aos acionistas.

Os dados e informações pessoais dos acionistas da SIVAR são considerados informação reservada, pois estão registrados nos livros comerciais e têm caráter sigiloso por disposição legal. Em consequência, o acesso a tal informação pessoal será realizado conforme as normas contidas no Código de Comércio que regulam a matéria. A SIVAR somente utilizará os dados pessoais dos acionistas para as finalidades derivadas da relação societária existente.

10. Transferência e transmissão de dados pessoais

A SIVAR poderá transferir e transmitir os dados pessoais a terceiros com os quais mantenha relação operacional e que lhe prestem serviços necessários para sua devida operação, ou em conformidade com as funções estabelecidas em lei. Nesses casos, serão adotadas as medidas necessárias para que as pessoas que tenham acesso aos seus dados pessoais cumpram a presente Política e os princípios de proteção de dados pessoais e obrigações estabelecidas na Lei.

Em todo caso, quando a SIVAR transmitir os dados a um ou mais encarregados localizados dentro ou fora do território da República da Colômbia, estabelecerá cláusulas contratuais ou celebrará contrato de transmissão de dados pessoais no qual indicará:

Alcances do tratamento.
As atividades que o encarregado realizará por conta do responsável para o tratamento dos dados pessoais.
As obrigações do Encarregado perante o titular e o responsável.

Por meio desse contrato, o Encarregado se comprometerá a aplicar as obrigações da SIVAR como Responsável, nos termos da política de Tratamento da informação fixada por esta, e a realizar o Tratamento dos dados de acordo com a finalidade autorizada pelos Titulares e com as leis vigentes aplicáveis.

Além das obrigações impostas pelas normas aplicáveis no citado contrato, deverão ser incluídas as seguintes obrigações a cargo do respectivo encarregado:

Dar Tratamento, em nome do responsável, aos dados pessoais conforme os princípios que os regem.
Salvaguardar a segurança das bases de dados que contenham dados pessoais.
Guardar confidencialidade em relação ao tratamento dos dados pessoais.

As transmissões internacionais de dados pessoais não exigirão ser informadas ao titular nem contar com seu consentimento ou autorização quando existir o contrato de transmissão.

Em caso de transferência, serão cumpridas as obrigações estipuladas na Lei 1581 de 2012 e nas normas regulamentares.

A SIVAR adotará a proibição de transferir dados pessoais a países que não proporcionem níveis adequados de proteção de dados. Somente poderá realizar a transferência de dados nos casos excepcionais previstos pela Lei ou sempre que a Superintendência de Indústria e Comércio tenha emitido declaração de conformidade, ou sempre que seja assinado contrato ou outro instrumento negocial, para realizar a transferência internacional, para o qual contará com presunção de viabilidade e com declaração de conformidade quando se consiga demonstrar os seguintes requisitos:

Devem ser indicadas as condições que regerão a transferência internacional e por meio das quais se garanta o cumprimento dos princípios que regem o tratamento de dados pessoais.
Devem ser determinadas as obrigações a cargo das partes.
Deve ser comunicada à Delegatura para a Proteção de Dados Pessoais da Superintendência de Indústria e Comércio a operação que se pretende realizar.
Deve ser declarado que foi assinado o contrato de transferência ou outro instrumento negocial que garanta a proteção de dados pessoais.

11. Coleta de dados

Os dados são fornecidos diretamente pelo titular, assim:

a. Informação de clientes e usuários

a) Ao preencher o formulário de solicitação de abertura de cliente.
b) Em atividades de posicionamento da marca, como webinars, capacitações e outras.
c) Ao atualizar e criar registros de usuário nos diferentes aplicativos e plataformas administrados pela SIVAR S.A.S.
d) Durante o contato telefônico e virtual com usuários e clientes.

b. Informação de trabalhadores

a) Ao apresentar a documentação solicitada na lista de documentos do empregado.
b) Informação contida nos currículos entregues nos processos de contratação.
c) Informação obtida em campanhas do SG-SST.
d) Informação obtida para desenvolver programas de bem-estar laboral.

c. Informação de fornecedores

a) Ao apresentar a documentação solicitada na lista de documentos do prestador de serviços.
b) Solicitação de documentos para criação na base de dados (Registro Único Tributário, Certificado de Existência e Representação Legal, Certificação Bancária).
c) Envio de circularizações de fornecedores.
d) Atualização de dados de contato.

PARÁGRAFO. A coleta e o tratamento dos dados são realizados com a autorização prévia do titular.

12. Tipo de informação que consta em nossas bases de dados

Os dados que constam em nossas bases de dados são os seguintes:

a) Dados de identificação: Nome, sobrenome, tipo de identificação, número de identificação, data e local de expedição, nome, estado civil, sexo, assinatura, nacionalidade, dados familiares, outros documentos de identificação, local e data de nascimento, idade, impressão digital etc.
b) Dados de localização: Como os relacionados à atividade comercial ou privada das pessoas, como endereço, telefone, celular, e-mail etc.
c) Dados de conteúdo socioeconômico: Como estrato, propriedade da moradia, dados financeiros, creditícios e/ou de caráter econômico, dados patrimoniais como bens móveis e imóveis, receitas, despesas, investimentos, histórico laboral, experiência de trabalho, cargo, datas de ingresso e desligamento, anotações, advertências, nível educacional, capacitação e/ou histórico acadêmico, responsabilidades tributárias etc.
d) Dados sensíveis: Como os relacionados à saúde da pessoa no que diz respeito a exames médicos ocupacionais.
e) Especificações de produtos e preços de nossos clientes: Como os preços dos produtos e serviços oferecidos por nossos clientes, quantidade e características dos produtos oferecidos e vendidos.

13. Tratamento ao qual os dados pessoais são submetidos

Todos os membros da SIVAR, ao realizarem as atividades próprias de seu cargo, assumirão as responsabilidades e obrigações no manejo adequado da informação pessoal, desde sua coleta, armazenamento, uso, circulação até sua disposição final.

Este é o tratamento que damos aos dados pessoais fornecidos por você:

Segurança da informação. Restringimos o acesso às informações pessoais de nossos clientes, clientes potenciais, usuários, empregados, contratados, fornecedores e prestadores. Os empregados que necessitam conhecer tais informações para processá-las em nosso nome são obrigados a assinar um acordo de confidencialidade e poderão ser sancionados ou demitidos se não cumprirem as obrigações nele estabelecidas.

Armazenamento dos dados pessoais.
O armazenamento da informação digital e física é realizado em meios ou ambientes que contam com controles adequados para a proteção dos dados. Isso envolve controles de segurança física e informática, tecnológicos e ambientais em áreas restritas, em instalações próprias e/ou centros de computação ou centros documentais gerenciados por terceiros.

Uso da informação.
A informação de caráter pessoal contida nas bases de dados deve ser utilizada e tratada de acordo com as finalidades descritas na presente política.

Caso alguma área identifique novos usos diferentes dos descritos nesta política de tratamento de dados pessoais, deverá informar ao Encarregado de Proteção de Dados Pessoais ou à área que exerça suas funções, que avaliará e administrará, quando aplicável, sua inclusão na presente política.

Da mesma forma, devem ser considerados os seguintes supostos:

a. Caso uma área diferente daquela que inicialmente coletou o dado pessoal necessite utilizar os dados pessoais obtidos, isso poderá ser feito sempre que se trate de um uso previsível pelo tipo de serviços oferecidos pela SIVAR e para uma finalidade contemplada nesta Política de Tratamento de Dados Pessoais.

b. Cada área deve garantir que, nas práticas de reciclagem de documentos físicos, não sejam divulgadas informações confidenciais nem dados pessoais. Portanto, não poderão ser reciclados currículos, títulos acadêmicos, certificações acadêmicas ou laborais, resultados de exames médicos nem qualquer documento que contenha informação que permita identificar uma pessoa.

c. Caso um encarregado tenha fornecido dados pessoais ou bases de dados a alguma área para um fim determinado, a área que solicitou os dados pessoais não deve utilizar essa informação para finalidade diferente da relacionada na Política de Tratamento de Dados Pessoais; ao finalizar a atividade, é dever da área que solicitou a informação eliminar a base de dados ou os dados pessoais utilizados, evitando o risco de desatualização da informação ou casos em que, durante esse tempo, um titular tenha apresentado alguma reclamação.

d. Os funcionários não poderão tomar decisões que tenham impacto significativo na informação pessoal, ou que tenham implicações legais, com base exclusivamente na informação fornecida pelo sistema de informação, devendo validá-la por meio de outros instrumentos físicos ou de forma manual e, se necessário, diretamente com o titular do dado, nos casos em que isso seja necessário.

e. Somente os funcionários e contratados autorizados podem inserir, modificar ou anular os dados contidos nas bases de dados ou documentos objeto de proteção. As permissões de acesso dos usuários são concedidas pela Área de tecnologia e informática ou por quem exerça suas funções, de acordo com os perfis estabelecidos, que serão previamente definidos pelos líderes dos processos em que se exija o uso de informação pessoal.

f. Qualquer uso da informação diferente do estabelecido será previamente consultado com o Encarregado de Proteção de Dados Pessoais ou com a área responsável pela proteção de dados.

Destruição.
A destruição de meios físicos e eletrônicos será realizada por meio de mecanismos que não permitam sua reconstrução. Será realizada somente nos casos em que não constitua descumprimento de nenhuma norma legal, deixando sempre a respectiva rastreabilidade da ação.

A destruição compreende a informação contida em poder de terceiros, bem como em instalações próprias.

14. Direitos dos titulares

De conformidade com o estabelecido no artigo 8 da Lei 1581 de 2012 e no Decreto 1377 de 2013, o titular dos dados pessoais tem os seguintes direitos perante a empresa responsável pelo tratamento de dados:

a) Conhecer, atualizar e retificar seus dados pessoais perante a SIVAR S.A.S. como responsável e encarregada do tratamento. Este direito poderá ser exercido, entre outros, diante de dados parciais, inexatos, incompletos, fragmentados, que induzam a erro, ou aqueles cujo tratamento esteja expressamente proibido ou não tenha sido autorizado.
b) Solicitar prova da autorização concedida à SIVAR S.A.S. como responsável e encarregada do tratamento, salvo quando expressamente se excetue como requisito para o tratamento, de conformidade com o previsto no artigo 10 da Lei 1581 de 2012.
c) Ser informado pela SIVAR S.A.S., mediante solicitação, sobre o uso dado aos dados pessoais do titular.
d) Apresentar perante a Superintendência de Indústria e Comércio reclamações por infrações ao disposto na Lei 1581 de 2012 e nas demais normas que a modifiquem, uma vez esgotado o trâmite de consulta ou reclamação perante o responsável pelo Tratamento.
e) Revogar a autorização e/ou solicitar a eliminação do dado quando no Tratamento não se respeitem os princípios, direitos e garantias constitucionais e legais. A revogação e/ou eliminação procederá quando a Superintendência de Indústria e Comércio tenha determinado que, no tratamento, o responsável ou encarregado incorreram em condutas contrárias à Lei 1581 de 2012 e à Constituição. A revogação procederá sempre que não exista obrigação legal ou contratual de conservar o dado pessoal.
f) Acessar gratuitamente seus dados pessoais que tenham sido objeto de Tratamento.

Sem prejuízo das exceções previstas em lei, o tratamento exige autorização prévia e informada do titular, a qual deverá ser obtida por qualquer meio que possa ser objeto de consulta posterior. Entender-se-á que a autorização cumpre com esses requisitos quando se manifeste: (i) por escrito, (ii) de forma oral ou (iii) mediante condutas inequívocas do titular que permitam concluir de forma razoável que concedeu a autorização.

As informações solicitadas pelos titulares da informação pessoal serão fornecidas principalmente por meios eletrônicos, ou por qualquer outro meio somente se assim o exigir o titular. A informação fornecida pela SIVAR será entregue sem barreiras técnicas que impeçam seu acesso; seu conteúdo será de fácil leitura, acesso e deverá corresponder integralmente àquela que conste na base de dados.

A SIVAR, no momento de solicitar ao titular a autorização, deverá informá-lo de maneira clara e expressa sobre o seguinte:

a) O tratamento ao qual seus dados pessoais serão submetidos e a finalidade do mesmo.
b) O caráter facultativo da resposta às perguntas feitas, quando estas se refiram a dados sensíveis.
c) Os direitos que assistem ao titular.
d) A identificação, endereço físico ou eletrônico e telefone do responsável pelo tratamento.

A SIVAR, como responsável pelo tratamento, deverá conservar prova do cumprimento do previsto neste item e, quando o titular solicitar, fornecer-lhe cópia desta.

15. Pessoas às quais se pode fornecer a informação

A informação que reúna as condições estabelecidas em lei poderá ser fornecida às seguintes pessoas:

a) Aos Titulares, seus sucessores ou seus representantes legais.
b) Às entidades públicas ou administrativas no exercício de suas funções legais ou por ordem judicial.
c) Aos terceiros autorizados pelo Titular ou pela lei.

16. Deveres dos responsáveis pelo tratamento

A SIVAR, como responsável pelo tratamento, deverá cumprir os seguintes deveres, sem prejuízo das demais disposições previstas em lei e em outras que regem sua atividade:

a) Garantir ao Titular, em todo tempo, o pleno e efetivo exercício do direito de habeas data.
b) Solicitar e conservar, nas condições previstas em lei, cópia da respectiva autorização concedida pelo Titular.
c) Informar devidamente ao Titular sobre a finalidade da coleta e os direitos que lhe assistem em virtude da autorização concedida.
d) Conservar a informação sob as condições de segurança necessárias para impedir sua adulteração, perda, consulta, uso ou acesso não autorizado ou fraudulento.
e) Garantir que a informação fornecida ao encarregado do Tratamento seja verdadeira, completa, exata, atualizada, comprovável e compreensível.
f) Atualizar a informação, comunicando de forma oportuna ao Encarregado do Tratamento todas as novidades a respeito dos dados que lhe tenham sido previamente fornecidos e adotar as demais medidas necessárias para que a informação fornecida a este se mantenha atualizada.
g) Retificar a informação quando estiver incorreta e comunicar o pertinente ao Encarregado do Tratamento.
h) Fornecer ao Encarregado do Tratamento, conforme o caso, unicamente dados cujo Tratamento esteja previamente autorizado de conformidade com o previsto em lei.
i) Exigir do Encarregado do Tratamento, a todo momento, o respeito às condições de segurança e privacidade da informação do Titular.
j) Tramitar as consultas e reclamações formuladas nos termos estabelecidos em lei.
k) Adotar procedimentos específicos para garantir o adequado cumprimento da lei e, em especial, para o atendimento de consultas e reclamações.
l) Informar ao Encarregado do Tratamento quando determinada informação se encontre em discussão por parte do Titular, uma vez apresentada a reclamação e não finalizado o respectivo trâmite.
m) Informar, a pedido do titular, sobre o uso de seus dados.
n) Informar à autoridade de proteção de dados quando ocorrerem violações dos códigos de segurança e existirem riscos na administração da informação dos titulares.
o) Adotar e conservar o Aviso de Privacidade para cumprir com o dever de dar a conhecer aos titulares a existência de políticas de tratamento da informação e a forma de acessá-las, enquanto se tratem dados pessoais conforme o mesmo e perdurem as obrigações dele decorrentes.

17. Deveres dos encarregados do tratamento

Os encarregados do Tratamento, e no caso em que a SIVAR atue como encarregada, deverão cumprir os seguintes deveres, sem prejuízo das demais disposições previstas em lei e em outras que regem sua atividade:

a) Garantir ao titular, em todo tempo, o pleno e efetivo exercício do direito de habeas data.
b) Conservar a informação sob as condições de segurança necessárias para impedir sua adulteração, perda, consulta, uso ou acesso não autorizado ou fraudulento. Os encarregados deverão cumprir as condições mínimas de segurança definidas no Registro Nacional de Bases de Dados, as quais podem ser consultadas em: https://www.sic.gov.co/
c) Realizar oportunamente a atualização, retificação ou eliminação dos dados nos termos da Lei 1581 de 2012 e demais normas concordantes e vigentes.
d) Atualizar a informação reportada pelos responsáveis pelo Tratamento dentro de cinco (5) dias úteis contados a partir de seu recebimento.
e) Tramitar as consultas e reclamações formuladas pelos Titulares nos termos estabelecidos na presente política.
f) Adotar um Manual interno de políticas e procedimentos para garantir o adequado cumprimento da lei e, em especial, para o atendimento de consultas e reclamações por parte dos Titulares.
g) Registrar nas bases de dados a legenda “reclamação em trâmite” na forma regulada pela lei.
h) Inserir na base de dados a legenda “informação em discussão judicial” uma vez notificado pela autoridade competente sobre processos judiciais relacionados à qualidade do dado pessoal.
i) Abster-se de circular informação que esteja sendo controvertida pelo Titular e cujo bloqueio tenha sido ordenado pela Superintendência de Indústria e Comércio.
j) Permitir o acesso à informação somente às pessoas que possam ter acesso a ela.
k) Informar à Superintendência de Indústria e Comércio quando ocorrerem violações dos códigos de segurança e existirem riscos na administração da informação dos Titulares.
l) Cumprir as instruções e requerimentos emitidos pela Superintendência de Indústria e Comércio.
m) Verificar que o responsável pelo Tratamento possui a autorização para o tratamento dos dados pessoais do Titular.

18. Área perante a qual o titular pode exercer seus direitos

A SIVAR S.A.S. conta com uma infraestrutura administrativa destinada, entre outras funções, a assegurar a devida atenção de petições, consultas, queixas e reclamações relativas à proteção de dados, a fim de garantir o exercício dos direitos contidos na Constituição e na lei, especialmente o direito de conhecer, atualizar, retificar e eliminar informação pessoal; bem como o direito de revogar o consentimento concedido para o tratamento de dados pessoais.

Para petições, consultas, queixas e reclamações, ou para o exercício dos direitos que lhe assistem como titular da informação, você poderá comunicar-se com a SIVAR S.A.S. pelo telefone: (57) 3128039189 e pelo e-mail: info@sivargroup.com ou através da página web http://www.sivargroup.com.

19. Procedimento para que os titulares possam exercer seus direitos

A SIVAR S.A.S. garante o exercício de seus direitos aos titulares, assim:

a) Consultas

A SIVAR S.A.S. e/ou os Encarregados garantem aos titulares de dados pessoais contidos em suas bases de dados, ou a seus sucessores ou pessoas autorizadas, o direito de consultar toda a informação contida em seu registro individual ou toda aquela vinculada à sua identificação, conforme se estabelece na presente Política de Tratamento de Dados Pessoais.

Responsável pelo atendimento de consultas:
O Encarregado de Proteção de Dados Pessoais ou quem exerça suas funções será o responsável por receber e tramitar as solicitações remetidas, nos termos, prazos e condições estabelecidos na Lei 1581 de 2012 e nas presentes políticas.

As consultas dirigidas à SIVAR deverão conter, no mínimo, as seguintes informações:

a. Nomes e sobrenomes do Titular e/ou seu representante e/ou sucessores.
b. O que se pretende consultar.
c. Endereço físico, eletrônico e telefone de contato do Titular e/ou seus sucessores ou representantes.
d. Assinatura, número de identificação ou procedimento de validação correspondente.
e. Ter sido apresentada pelos meios de consulta habilitados pela SIVAR.

Para o atendimento de solicitações de consulta de dados pessoais, a SIVAR S.A.S. colocou à disposição dos titulares o telefone: (57) 3128039189 e o e-mail: info@sivargroup.com.

Em qualquer caso, independentemente do mecanismo implementado para o atendimento das solicitações de consulta, estas serão atendidas em um prazo máximo de dez (10) dias úteis contados a partir da data de seu recebimento. Quando não for possível atender a consulta dentro desse prazo, o interessado será informado antes do vencimento dos 10 dias, expressando os motivos do atraso e indicando a data em que sua consulta será atendida, a qual em nenhum caso poderá superar cinco (5) dias úteis seguintes ao vencimento do primeiro prazo.

Reclamações

Direitos garantidos mediante o procedimento de reclamação

a) Correção ou Atualização: A SIVAR e/ou os Encarregados garantirão aos titulares de dados pessoais contidos em suas bases de dados, ou a seus sucessores, o direito de corrigir ou atualizar os dados pessoais constantes em suas bases de dados, mediante apresentação de reclamação, quando considerarem que se cumprem os parâmetros estabelecidos pela lei ou os indicados nesta Política de Tratamento de Dados Pessoais para que o pedido de Correção ou Atualização seja procedente.

b) Revogação da autorização ou Eliminação dos dados pessoais: A SIVAR e/ou os Encarregados garantirão aos titulares de dados pessoais contidos em suas bases de dados, ou a seus sucessores, o direito de solicitar a Revogação da autorização ou solicitar a eliminação da informação contida em seu registro individual ou toda aquela vinculada à sua identificação quando considerarem que se cumprem os parâmetros estabelecidos pela lei ou os indicados nesta Política de Tratamento de Dados Pessoais. Da mesma forma, garante-se o direito de apresentar reclamações quando advertirem o presumido descumprimento da Lei 1581 de 2012 ou da presente Política de tratamento de dados pessoais.

Responsável pelo atendimento de Reclamações:
O Encarregado de Proteção de Dados Pessoais ou quem exerça suas funções será o responsável por receber e tramitar as solicitações remetidas, nos termos, prazos e condições estabelecidos na Lei 1581 de 2012 e nas presentes políticas.

As reclamações apresentadas deverão conter, no mínimo, as seguintes informações:

A reclamação será formulada mediante solicitação dirigida ao responsável pelo Tratamento ou ao Encarregado do Tratamento, com a identificação do Titular, a descrição dos fatos que dão origem à reclamação, o endereço e os documentos que se queira fazer valer. Se a reclamação resultar incompleta, o interessado será requerido dentro dos cinco (5) dias seguintes à sua recepção para que sane as falhas. Transcorridos dois (2) meses desde a data do requerimento, sem que o solicitante apresente a informação requerida, entender-se-á que desistiu da reclamação.

Caso quem receba a reclamação não seja competente para resolvê-la, encaminhará a quem corresponda no prazo máximo de dois (2) dias úteis e informará a situação ao interessado.

Uma vez recebida a reclamação completa, será incluída na base de dados uma legenda que diga “reclamação em trâmite” e o motivo da mesma, em prazo não superior a dois (2) dias úteis. Tal legenda deverá ser mantida até que a reclamação seja decidida.

O prazo máximo para atender a reclamação será de quinze (15) dias úteis contados a partir do dia seguinte à data de seu recebimento. Quando não for possível atender a reclamação dentro desse prazo, o interessado será informado dos motivos da demora e da data em que sua reclamação será atendida, a qual em nenhum caso poderá superar oito (8) dias úteis seguintes ao vencimento do primeiro prazo.

Procedimento de eliminação de dados pessoais

No caso de resultar procedente a eliminação dos dados pessoais do titular da base de dados conforme a reclamação apresentada, a SIVAR realizará operacionalmente a eliminação de forma que não permita a recuperação da informação; no entanto, o Titular deverá ter em conta que, em alguns casos, certa informação deverá permanecer em registros históricos para o cumprimento de deveres legais da organização, razão pela qual sua eliminação se referirá ao tratamento ativo dos mesmos e de acordo com a solicitação do titular.

PARÁGRAFO: O Titular ou sucessor somente poderá apresentar queixa perante a Superintendência de Indústria e Comércio uma vez esgotado o trâmite de consulta ou reclamação perante a SIVAR S.A.S.

20. Procedimento de gestão de incidentes com dados pessoais

Entende-se por incidente qualquer anomalia que afete ou possa afetar a segurança das bases de dados ou da informação nelas contida, e se materializa quando falham ou não são tomadas as medidas preventivas adequadas para salvaguardar a confidencialidade da informação.

O incidente pode ter uma variedade de efeitos adversos sobre os titulares, podendo dar lugar a problemas de discriminação, usurpação de identidade ou fraude, perdas financeiras, dano reputacional, perda do caráter confidencial de dados sujeitos ao sigilo profissional ou qualquer outro tipo de prejuízo econômico ou social significativo.

Os incidentes podem afetar tanto bases de dados digitais quanto físicas e gerarão as seguintes atividades:

a. Notificação de Incidentes

Quando se presumir que um incidente possa afetar ou tenha afetado bases de dados com informação pessoal ou dados pessoais, deverá ser informado ao Encarregado de Proteção de Dados Pessoais, que gerenciará seu reporte no Registro Nacional de Bases de Dados.

b. Gestão de Incidentes

É responsabilidade de cada funcionário, contratado, consultor ou terceiro reportar de maneira oportuna qualquer evento suspeito, fraqueza ou violação de políticas que possam afetar a confidencialidade, integridade e disponibilidade dos ativos e da informação pessoal da SIVAR.

c. Identificação

Todos os eventos suspeitos ou anormais, como aqueles em que se observe potencial perda de reserva ou confidencialidade da informação, devem ser avaliados para determinar se são ou não um incidente e devem ser reportados ao nível adequado na organização. Qualquer decisão que envolva autoridades de investigação e judiciais deve ser tomada em conjunto entre o Encarregado de Proteção de Dados Pessoais e a área jurídica responsável. A comunicação com tais autoridades será realizada por eles mesmos.

d. Reporte

Todos os incidentes e eventos suspeitos devem ser reportados o mais rápido possível por meio dos canais internos estabelecidos pela Superintendência de Indústria e Comércio.

Se a informação sensível ou confidencial for perdida, divulgada a pessoal não autorizado ou houver suspeita de algum desses eventos, o Encarregado de Proteção de Dados Pessoais deve ser notificado imediatamente.

Os funcionários devem reportar ao seu superior direto e ao Encarregado de Proteção de Dados Pessoais qualquer dano ou perda de computadores ou qualquer outro dispositivo, quando estes contenham dados pessoais sob posse da SIVAR.

A menos que exista uma solicitação da autoridade competente devidamente fundamentada e justificada, nenhum funcionário deve divulgar informação sobre sistemas de computação e redes que tenham sido afetados por crime informático ou abuso de sistema. Para a entrega de informação ou dados em virtude de ordem de autoridade, a Assessoria Jurídica deverá intervir a fim de prestar o assessoramento adequado.

e. Contenção, Investigação e Diagnóstico

O Encarregado de Proteção de Dados Pessoais ou quem exerça suas funções deve garantir que sejam tomadas ações para investigar e diagnosticar as causas que geraram o incidente, bem como deve garantir que todo o processo de gestão do incidente seja devidamente documentado, com apoio da Área de tecnologia e informática.

Caso se identifique um delito informático, nos termos estabelecidos na Lei 1273 de 2009, o Encarregado de Proteção de Dados Pessoais e a área jurídica responsável reportarão tal informação às autoridades de investigação judicial correspondentes.

Durante os processos de investigação, deverá ser garantida a “Cadeia de Custódia” a fim de preservá-la caso seja necessário instaurar ação legal.

A SIVAR comunicará aos titulares o incidente relacionado com seus dados pessoais e as possíveis consequências do mesmo, além de lhes proporcionar ferramentas para minimizar o dano potencial ou causado.

A comunicação deve ser suficiente, clara e precisa para permitir que os titulares da informação compreendam a importância do incidente e adotem medidas para se proteger e reduzir os riscos.

Uma vez tomadas as medidas para mitigar os riscos associados ao incidente, a SIVAR executará um plano de prevenção para evitar futuros eventos que possam afetar os dados pessoais tratados.

f. Solução

A Área de tecnologia e informática ou quem exerça suas funções, assim como qualquer área comprometida e os diretamente responsáveis pela gestão de dados pessoais, devem prevenir que o incidente de segurança volte a ocorrer, corrigindo todas as vulnerabilidades existentes.

g. Encerramento do Incidente e Acompanhamento

A Área de tecnologia e informática ou quem exerça suas funções, juntamente com o Encarregado de Proteção de Dados Pessoais e as áreas que usam ou requerem a informação, iniciarão e documentarão todas as tarefas de revisão das ações executadas para remediar o incidente de segurança.

O Encarregado de Proteção de Dados Pessoais preparará uma análise anual dos incidentes reportados. As conclusões deste relatório serão utilizadas na elaboração de campanhas de conscientização que ajudem a minimizar a probabilidade de incidentes futuros.

h. Reporte de incidentes perante a SIC como autoridade de controle

Serão reportados como novidades os incidentes de segurança que afetem a base de dados, de acordo com as seguintes regras:

Na parte inferior do menu de cada base de dados registrada no sistema, apresentam-se duas (2) opções para informar as novidades.

A violação dos códigos de segurança ou a perda, roubo e/ou acesso não autorizado de informação de uma base de dados administrada pelo responsável pelo Tratamento ou por seu Encarregado deverão ser reportados ao Registro Nacional de Bases de Dados dentro dos quinze (15) dias úteis seguintes ao momento em que forem detectados e levados ao conhecimento da pessoa ou área encarregada de atendê-los.

Os líderes de processo e/ou proprietários de ativos de informação reportarão internamente os incidentes associados a dados pessoais ao Encarregado de Proteção de Dados Pessoais, que, dentro do prazo legal, procederá a reportá-los ao Registro Nacional de Bases de Dados.

21. Período de vigência da base de dados

As bases de dados da SIVAR terão o período de vigência correspondente à finalidade para a qual foi autorizado seu tratamento e às normas especiais que regulem a matéria.

22.

De conformidade com o artigo 25 da Lei 1581 de 2012 e seus decretos regulamentares, a SIVAR registrará suas bases de dados juntamente com a presente política de tratamento de Dados Pessoais no Registro Nacional de Bases de Dados administrado pela Superintendência de Indústria e Comércio, conforme o procedimento estabelecido para esse fim.

23. Vigência da política de tratamento da informação

A presente política de tratamento de dados pessoais entra em vigor a partir de sua assinatura e complementa as políticas associadas, com vigência por prazo indeterminado.

Qualquer mudança substancial nas políticas de Tratamento de dados pessoais será comunicada oportunamente aos titulares dos dados por meio dos meios habituais de contato.

Para os titulares que não tenham acesso a meios eletrônicos ou aqueles com os quais não seja possível entrar em contato, a comunicação será feita por meio de avisos abertos na sede principal do estabelecimento.

Carlos Augusto Gallego Salazar
Representante legal
SIVAR S.A.S.