POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN
La presente política se expide en cumplimiento de la Ley 1581 de 2012, Decreto 1377 de 2013 Decreto 1074 del 2015 y normas que modifiquen o adicionen el régimen de protección de datos personales y busca garantizar que EXTRUSIONES S.A. en su condición de responsable de manejo de información personal, realice el Tratamiento de esta en estricto cumplimiento de la normatividad aplicable, garantizando los derechos a los Titulares de la información que les asiste.
1. INFORMACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN
La empresa responsable del tratamiento de los datos personales es:
• Razón social: EXTRUSIONES S.A.
• Domicilio: Itagüí – Colombia
• Dirección: Calle 25No.41-166
•Email: oficialdecumplimiento@extrusiones.com.co
•Teléfono: 322 23 07
2. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y SU FINALIDAD.
Esta Política establece la forma en que EXTRUSIONES S.A. recoge, almacena, da tratamiento, maneja, administra, transfiere, transmite y/o comparte la información que Usted (también el “Usuario” o el “Titular”) suministra o provee de cualquier forma, lo cual incluye cuando nos consulta de cualquier forma o por cualquier medio, cuando nosotros lo contactamos directamente, cuando Usted adquiere productos de nosotros, cuando ingresa a nuestro sitio web, al sitio móvil o cualquier otra plataforma digital, medio o canal que se desarrolle en el futuro por EXTRUSIONES S.A. (el “Sitio”), o de cualquier forma utiliza o se beneficia de nuestros productos y/o servicios (conjuntamente los “Servicios”).
Cualquiera sea la naturaleza de la información, su tratamiento, manejo, almacenamiento, transferencia, transmisión y/o administración por parte de EXTRUSIONES S.A. se respetarán las normas aplicables sobre protección de datos personales, y se requerirá el consentimiento libre, previo, expreso e informado del Titular. EXTRUSIONES S.A. en todo momento dejará constancia de la autorización entregada por el Titular, a través de los medios idóneos que garanticen que la misma fue otorgada de manera expresa, libre, previa e informada, como lo son las autorizaciones por escrito, en medios electrónicos u otorgadas al aceptar términos y condiciones de servicios y/o productos, la política correspondiente que soporta el Tratamiento de los Datos Personales o cualquier otro mecanismo que permite acreditar y demostrar un registro, acceso o vinculación a servicios y/o productos de EXTRUSIONES S.A.
2.1 Tratamientos de datos personales de niñas, niños y/o adolescentes.
El Tratamiento de datos personales de niños, niñas y/o adolescentes que sean de naturaleza pública cumplirá con los siguientes parámetros y requisitos:
a) Que responda y respete el interés superior de los niños, niñas y adolescentes.
b) Que se asegure el respeto de sus derechos fundamentales.
c) Valoración de la opinión del menor cuando este cuente con la madurez, autonomía y capacidad para entender el asunto.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente podrá otorgar la autorización para el Tratamiento, previo ejercicio del derecho del menor de su derecho de ser escuchado, opinión que deberá valorar teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
2.2 Tratamiento de datos sensibles:
EXTRUSIONES S.A. observará estrictamente las limitaciones legales al Tratamiento de datos sensibles, por lo cual se asegurará que:
a) El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
2.3 Video vigilancia
EXTRUSIONES S.A. utiliza diversos medios de video vigilancia instalados en diferentes lugares de sus instalaciones u oficinas.
La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización.
3. FINALIDADES DEL TRATAMIENTO.
Las finalidades del Tratamiento de Datos personales realizada por EXTRUSIONES S.A. son las siguientes:
Grupo de interés
Clientes: Este grupo incluye todos los datos personales recolectados con ocasión de la prestación de los servicios de EXTRUSIONES S.A. – Permitirle adquirir y/o acceder a los Servicios de EXTRUSIONES S.A. e invitarlos a programas de beneficios de EXTRUSIONES S.A. de terceros.
Finalidades
– Permitir o mejorar el contenido de los Servicios.
– Ofrecerles los Servicios y ofertas y promociones relacionados con los Servicios de EXTRUSIONES S.A.
– Responder a peticiones, quejas y reclamos
– Reportar la información financiera, bancaria o crediticia a bases de datos de riesgo crediticio o de cualquier otra naturaleza.
– Adoptar medidas tendientes a la prevención de actividades ilícita, incluyendo cualquier información relacionada con el lavado de activos y el financiamiento del terrorismo
– Transferir y/o transmitir datos con compañías, o con otros terceros con el objetivo de iniciar, ejecutar y finalizar las acciones y actividades derivadas y/o relacionadas con un vínculo contractual con EXTRUSIONES S.A.
Grupo de interés
Empleados: Este grupo incluye todos los datos personales recolectados con el propósito de gestionar el talento humano de la empresa. Incluyendo candidatos a un cargo, empleados y directores de EXTRUSIONES S.A.
Finalidades
– La administración de contrataciones
– La administración del personal activo.
– La administración de nóminas y otros pagos.
– Afiliaciones al Sistema Integral de Seguridad Social y cajas de compensación familiar.
– Pago de aportes parafiscales.
– Afiliación al seguro de vida colectivo y otros contratos de cobertura en pólizas colectivas.
– Manejo de embargos judiciales a través de nómina.
– Administración de salarios y beneficios, el ejercicio de la subordinación sobre los empleados y de la potestad sancionatoria.
– Evaluaciones de los empleados.
– Coordinación del desarrollo profesional de los empleados.
– Acceso de los empleados a los recursos informáticos de la Compañía y la asistencia en su utilización.
– Planificación de actividades empresariales.
– Revisión y monitoreo de los dispositivos y demás herramientas tecnológicas proporcionadas la Compañía.
– Transferir y/o transmitir datos con compañías, o con otros terceros con el objetivo de iniciar, ejecutar y finalizar las acciones y actividades derivadas y/o relacionadas con un vínculo contractual con EXTRUSIONES S.A.
– En general, para el cumplimiento de obligaciones legales y en especial, de las obligaciones que le asisten a la Compañía en su condición de empleador de sus trabajadores.
Grupo de interés
Proveedores: Este grupo incluye todos los datos personales recolectados con el propósito de gestionar la prestación de servicios por parte de terceros en favor de la empresa. – Permitirle adquirir y/o acceder a los Servicios de EXTRUSIONES S.A., o de terceros.
Finalidades
– Permitirnos mejorar el contenido de los Servicios.
– Ofrecerles los Servicios, ofertas y promociones relacionados con los Servicios de EXTRUSIONES S.A.
– Responder a peticiones, quejas y reclamos
– Reportar la información financiera, bancaria o crediticia a bases de datos de riesgo crediticio o de cualquier otra naturaleza.
– Consultar y/o reportar información crediticia y patrimonial a centrales de riesgo.
– Adoptar medidas tendientes a la prevención de actividades ilícita, incluyendo cualquier información relacionada con el lavado de activos y el financiamiento del terrorismo.
– Transferir y/o transmitir datos con compañías, o con otros terceros con el objetivo de iniciar, ejecutar y finalizar las acciones y actividades derivadas y/o relacionadas con un vínculo contractual con EXTRUSIONES S.A.
5. ÁREA RESPONSABLE DE LA ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS.
El Área comercial de EXTRUSIONES S.A. será responsable de la atención de peticiones, consultas, reclamos, quejas o para el ejercicio de los derechos del Titular de la información personal.
6. PROCEDIMIENTO PARA EJERCER LOS DERECHOS DEL TITULAR DE LOS DATOS
6.1 Procedimiento para acceso y consulta: El Titular de los datos, o sus causahabientes, podrán consultar la información que repose en las bases de datos en posesión de EXTRUSIONES S.A., para lo cual deberán formular la correspondiente petición, por escrito, y radicarla ante el área encargada de EXTRUSIONES S.A de lunes a viernes en horario 7:00 a.m. a 5:00 p.m., en la Calle
25 41-166 del municipio de Itagüí, para evitar que terceros no autorizados accedan a la información personal del titular de los datos, será necesario previamente establecer la identificación del titular. Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
6.2 Procedimiento para solicitar actualización, corrección, supresión, revocatoria de la autorización o para presentar reclamos: El titular, o sus causahabientes, que consideren que la información contenida en las base de datos de EXTRUSIONES debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante EXTRUSIONES el cual será tramitado bajo las siguientes reglas, de conformidad con el artículo 15 de la ley 1581 de 2012:
a) El reclamo se formulará mediante solicitud radicada, radicarla ante el área Comercial de EXTRUSIONES S.A. de lunes a viernes en horario 7:00 a.m. a 5:00 p.m., en la Calle 25 No. 41-166 de la ciudad de Itagüí.
b) Para evitar que terceros no autorizados accedan a la información personal del titular de los datos, será necesario previamente establecer la identificación del titular. Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada.
c) la solicitud debe contener la siguiente información:
(I)La identificación del Titular.
(II) Los datos de contacto (dirección física y/o electrónica y teléfonos de contacto).
(III) Los documentos que acrediten la identidad del Titular, o la representación de su representante.
(IV) La descripción clara y precisa de los datos personales respecto de los cuales el Titular busca ejercer alguno de los derechos.
(V) La descripción de los hechos que dan lugar al reclamo.
(VI) Los documentos que se quiera hacer valer.
(VII) Firma, número de identificación y huella.
(VIII) Radicación en original.
d) Si el reclamo resulta incompleto, EXTRUSIONES S.A. requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
e) Si el Área que recibe el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
f) Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
g) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
7. SEGURIDAD DE LA INFORMACIÓN.
En desarrollo del principio de seguridad, EXTRUSIONES S.A. ha adoptado medidas técnicas, administrativas y humanas razonables para proteger la información de los Titulares e impedir adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El acceso a los datos personales está restringido a sus Titulares y EXTRUSIONES S.A. no permitirá el acceso a esta información por parte de terceros en condiciones diferentes a las anunciadas, a excepción de un pedido expreso del titular de los datos o personas legitimadas de conformidad con la normatividad nacional.
No obstante, lo anterior, EXTRUSIONES S.A. no será responsable por cualquier acción tendiente a infringir las medidas de seguridad establecidas para la protección de los Datos Personales.
8. VIGENCIA DE LA POLÍTICA.
La política rige a partir 01 de marzo 2023 por regla general el término de las autorizaciones sobre el uso de los datos personales se entiende por el término de la relación comercial o de la vinculación al servicio y durante el ejercicio del objeto social de la compañía.
POLÍTICA CORPORATIVA DE SEGURIDAD DE LA INFORMACIÓN.
1. PROPÓSITO.
Establecer los lineamientos de seguridad de la información de EXTRUSIONES para las actividades relacionadas con su actividad comercial y gestionar las normas Corporativas a través de la Alta dirección para salvaguardar la Confidencialidad, Disponibilidad e Integridad de la información.
2. ALCANCE
La alta dirección aprueba esta política y la divulga en Extrusiones, con alcance a todas las unidades de negocio y partes interesadas para su debida aplicación y cumplimiento. Además, se compromete a asignar los recursos necesarios para su implementación y mejora continua.
3. METODOLOGÍA (MODELO METODOLÓGICO DE LA GESTIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN)
En EXTRUSIONES se establece una Estructura de la Gestión de Riesgos de Seguridad y de la información, para lo cual la se ha adoptado las buenas prácticas de la norma ISO 27005 Sistema de Gestión de los riesgos de seguridad de la información. Esta norma contiene las siguientes etapas “Proceso de gestión de riesgos” así:
Establecer el contexto del riesgo: Comprende toda la información acerca de la Empresa que es pertinente, mediante la evaluación de las condiciones del entorno (interno/externo) que podrían generar eventos que impacten de forma positiva o negativa el cumplimiento de los objetivos de los procesos.
Identificación de riesgos: El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del análisis del Contexto y debe partir de la claridad de los objetivos estratégicos de la Empresa para la obtención de resultados, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.
Valoración de riesgos
Evaluación de los riesgos: Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según su grado de criticidad.
Planes de tratamiento: El tratamiento de los riesgos son las acciones encaminadas a gestionarlos con el fin de mitigarlos y controlarlos de la manera más efectiva para la Empresa.
Aceptación de los riesgos: Los líderes de procesos aceptan los niveles del riesgo y sus controles aplicables.
3.1 DECLARACIÓN DE LA POLÍTICA
La alta dirección de EXTRUSIONES considera la información como activo estratégico para las operaciones del negocio, por lo tanto, se compromete a apoyar las actividades necesarias para protegerla con medidas de seguridad, aumentando la confianza de las operaciones para los clientes, socios, directivos, empleados, el gobierno y las demás partes interesadas. Este compromiso incluye:
- Proteger la integridad de la información en sus procesos del negocio.
- Establecer mecanismos de disponibilidad de la información y servicios de tecnología de la
información.
- Generar atributos de confidencialidad de la información en actividades, procesos y sedes del
negocio.
- Generar capacidad de cumplimiento de los requisitos legales en materia de derechos de propiedad
intelectual, privacidad y protección de la información de datos personales como lo requiere la legislación aplicable a la compañía.
La alta dirección demuestra este compromiso con el apoyo y suministro de los recursos necesarios para el logro de los objetivos de seguridad de la información, con la aprobación y difusión de las políticas de seguridad de la información.
Las políticas para el uso de la información y de los servicios de procesamiento se describen en el documento Manual de Políticas de Seguridad de la Información, y son aplicables a los empleados, contratistas y visitantes a las instalaciones de EXTRUSIONES, así como las partes interesadas con accesos a través de las redes disponibles.
NOTA: Las políticas y lineamientos contenidos en este documento se basan en los principios internacionalmente aceptados para seguridad de la información. Los cuales están incluidos en la norma internacional ISO 27001:2013 Sistema de gestión de seguridad de la información e ISO 27002 Código de práctica.
3.2 ALCANCEDETIC.
La Política Corporativa de Seguridad de la información incluye los activos de información descritos:
- Infraestructura (Redes, comunicaciones, enlaces, data center, nube).
- Sistemas de información:
- Información (Transaccional, en movimiento, en reposo).
- Servicios tercerizados (proveedores de servicios de T.I.).
- Personas (empleados, partes interesadas, terceras partes).
3.3 CUMPLIMIENTO
Esta política hace parte del gobierno corporativo y se determina de estricto cumplimiento del alcance y la estructura Organizacional, al igual que sus roles y responsabilidades.
3.4 ROLES Y RESPONSABILIDADES:
Ver documento de Roles y responsabilidades de la seguridad de la información.
3.5 MARCO NORMATIVO Y LEGAL
El marco normativo que contempla estas políticas se enmarca en las buenas prácticas de las siguientes normas internacionales:
Norma ISO 27001:2013: especifica los requisitos para establecer, mantener y mejorar un sistema de gestión de seguridad de la información dentro del contexto de la Compañía.
NORMA ISO 27005: especifica la metodología para la gestión de los riesgos de seguridad de la información.
COBIT 5: Objetivos de seguridad de la información y la tecnología relacionada, la cual provee un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las T.I Corporativas, además de crear valor a las T.
3.6 MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Este manual se relaciona con otras que direccionan las actividades propias de EXTRUSIONES y son las aplicables a sus procesos y las características de estos, las políticas conexas descritas en este manual son las siguientes:
- Control de acceso (norma ISO27001 numeral 9)
3.6.2 Clasificación (y manejo) de la información (norma ISO27001 numeral 8.2)
3.6.3 Seguridad física y del entorno (norma ISO27001 numeral 11)
3.6.4 Copias de respaldo (norma ISO27001 numeral 12.3)
3.6.5 Transferencia de información (norma ISO27001 numeral 13.2) *
3.6.6 Protección contra códigos maliciosos (norma ISO27001 numeral 12.2) *
3.6.7 Gestión de vulnerabilidades técnicas (norma ISO27001 numeral 12.6.1) *
3.6.8 Controles criptográficos (norma ISO27001 numeral 10) *
3.6.9 Seguridad de las redes y comunicaciones (norma ISO27001 numeral 13) *
3.6.10 Privacidad y protección de información de datos personales (norma ISO27001 numeral 18.1.4)
3.6.11 Conexión remota (norma ISO27001 numeral A 6.2.2)
3.6.12 Relaciones con los proveedores (norma ISO27001 numeral 15)
3.6.13 Mantenimiento y obsolescencia tecnológica (norma ISO27001 numeral A 11.2.4)
Políticas orientadas a los usuarios finales:
3.6.14 Uso aceptable de los activos (norma ISO27001 numeral 8.1.3)
3.6.15 Política de escritorio y pantalla limpia (norma ISO27001 numeral 11.2.9)
3.6.16 Dispositivos móviles (norma ISO27001 numeral 6.2) *
3.6.17 Restricciones sobre instalaciones y uso del software (norma ISO27001 numeral 12.6.2)
3.6.18 Teletrabajo (norma ISO27001 numeral A.6.2.2)
Estas políticas se comunican a los empleados y a las partes externas interesadas, mediante campaña de toma de conciencia, educación y formación en la seguridad de la información, según las buenas prácticas de ISO 27001 numeral 7.2.2.
Los numerales señalados con * contienen directrices enmarcados en la seguridad de la información.