GRUPO IMSA S.A. (que en adelante y para efectos del presente documento se denominará “la Compañía”) adopta la presente Política de Protección de Datos Personales dando cumplimiento a lo establecido en la Ley 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013 y demás normas que la modifiquen, reglamenten, con el propósito de proteger la información y el ejercicio de los derechos de los Titulares de Datos que sean Tratados por la Compañía.
Los Datos Personales en custodia de la Compañía, en su condición de Responsable y/o Encargada según el caso, serán Tratados cumpliendo los principios y regulaciones previstas en las leyes colombianas, la legislación nacional vigente y las buenas prácticas aplicables al régimen de protección de Datos Personales, de acuerdo con lo que determina la Política de Protección de Datos Personales que se define a continuación
Definiciones
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los Datos Personales.
Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
Compañía: Se refiere a Grupo IMSA S.A.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato Público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la ley. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la Compañía en general, como el dato financiero y crediticio de actividad comercial o de servicios conforme lo establece la normatividad vigente en la materia.
Dato Privado Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los Datos.
Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia: La Transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
Finalidades
Los Datos Personales en poder de la Compañía serán tratados conforme con las siguientes finalidades de carácter general:
- Para el cumplimiento de las obligaciones y/o compromisos derivados de las relaciones negociales existentes con los Titulares.
- Para el cumplimiento de las obligaciones legales que involucren Datos Personales de los Titulares.
- Para la gestión comercial y relacionamiento con los Titulares.
- Para el análisis prospectivo sobre tendencias y preferencias de los Titulares en relación con sus bienes y/o servicios.
- Para conocer de manera prospectiva las necesidades de los Titulares con el fin de innovar y satisfacer dichas necesidades.
- Para comunicar a los Titulares información sobre sus bienes, servicios, publicaciones, eventos de capacitación, actividades empresariales y/o publicidad asociada a su actividad empresarial, trátese de bienes y/o servicios.
- Para desplegar hacia los Titulares actividades de responsabilidad social empresarial.
- Para ser tratados por la Compañía en virtud de las relaciones societarias, contractuales o legales.
- Para transferir con terceros en función del cumplimiento del objeto de la relación negocial entre las partes.
- Para transferir a terceros y suministrar datos sobre el cumplimiento o incumplimiento de las obligaciones legales y negociales de manera directa o por intermedio de las entidades públicas que ejercen funciones de vigilancia y control.
Responsable del tratamiento
Grupo IMSA S.A., es una sociedad constituida bajo las leyes de la República de Colombia, identificada con NIT (Número de Identificación Tributaria) 901.544.345-9, tiene su domicilio en la ciudad de Medellín en la dirección registrada en la Cámara de Comercio.
Será responsable del Tratamiento de Datos Personales Grupo IMSA S.A.
Derechos de los titulares
Los Titulares de los Datos Personales a que se refiere la Ley 1581 de 2012, en su condición de Titular o legítimamente autorizado, en relación con el tratamiento de sus Datos Personales, tienen derecho a ejercer las acciones que la ley reconoce en materia de protección de Datos Personales y habeas data, a saber:
- Conocer, actualizar y rectificar sus Datos Personales frente a la Compañía o los Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a Datos Parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido
- Solicitar prueba de la Autorización otorgada al Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
- Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.
- Presentar ante la Compañía peticiones, quejas o reclamos, sobre el manejo de los Datos de los Titulares, en los canales dispuesto para ello.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
- Revocar la Autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución.
- Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.
- Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de los niños y adolescentes.
Tratamiento de datos sensibles
En el desarrollo de su objeto social, la Compañía realiza el Tratamiento de Datos Personales de sus empleados, inversionistas, accionistas y proveedores de bienes y servicios. En cumplimiento de procesos y políticas corporativas, pueden llegar a requerir la Transmisión o Transferencia de dichos datos a sus Compañías vinculadas, filiales y/o subsidiarias. La recolección de Datos Personales por parte de la Compañía se limitará a aquellos Datos Personales que son pertinentes para la finalidad para la cual son recolectados o requeridos. Salvo en los casos expresamente previstos en la Ley, no se recolectarán Datos Personales sin Autorización del Titular, ni se utilizarán medios engañosos o fraudulentos para recolectar y realizar Tratamiento de Datos Personales.
De acuerdo con la ley 1581 de 2012 son datos personales sensibles “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación”, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. Dentro de ellos se encuentran reconocidos también los datos de los menores de edad.
La Compañía deberá tratar datos de esta naturaleza, en el desarrollo de las relaciones con sus empleados en especial, los relativos a la salud y eventualmente los datos biométricos en virtud de la reproducción, comunicación pública y transformación de fotografías o procedimientos análogos y/o digitales a la fotografía o las producciones audiovisuales para fines corporativos. En cumplimiento de la ley, la Compañía, no recolectarán datos de niños, niñas y adolescentes, salvo los relacionados con la vinculación de aprendices menores de edad conforme lo permite la normatividad vigente en materia laboral y los relacionados con los datos de los hijos de empleados, bien sea para su vinculación o actualización.
En todo caso, en el tratamiento de dichos datos se adoptarán medidas especiales de seguridad, y cuando vaya a ser solicitada la autorización para el tratamiento de datos sensibles será advertido al titular las finalidades para las cuales serán tratados y les será informado que cuentan con el derecho de abstenerse de responder las preguntas sobre datos sensibles, incluyendo datos de las niñas, niños y adolescentes.
En los procesos de la Compañía que impliquen la recolección y tratamiento de Datos Personales, se hará remisión a la presente Política de Protección de Datos.
Finalidades para el tratamiento de datos específicas
El Tratamiento de datos incluye la recolección, almacenamiento, administración, utilización, Transferencia, Transmisión y destrucción, en la forma permitida por la ley y se realiza con las siguientes finalidades específica para cada caso:
a. Datos personales de empleados y exempleados: Cumplimiento de las obligaciones laborales de los empleados a cargo de la Compañía, tales como: pagos de nómina, pagos y reportes al Sistema General de Seguridad Social en Salud y Pensiones, prestaciones sociales, gestión de las incapacidades médicas de los empleados, gestión y manejo de accidentes de trabajo y/o de enfermedades profesionales y demás retribuciones consagradas en el contrato de trabajo o según lo disponga la ley; así como para la atención de consultas, peticiones, solicitudes, acciones y reclamos; actividades de la Compañía tales como capacitaciones, otorgamientos de créditos, actividades de recreación, envío de comunicaciones corporativas, realizar alianzas comerciales para generar valores agregados para los empleados, cumplimiento de las normas de prevención del lavado de activos y financiación del terrorismo y demás actividades que se requieran en el normal desarrollo de la organización y el cumplimiento de las normas, reglamentos y actividades.
Los Datos Personales también serán utilizados para promover plataformas de interacción con la Compañía, que permitan generar espacios alternativos de comunicación y obtener información de valor para la gestión del recurso humano. Con los Datos Personales proporcionados se creará el respectivo perfil de usuario en el sistema de la Compañía, el cual podrá ser administrado por cada Titular del dato.
La Compañía utilizarán los Datos Personales de los empleados o ex empleados referentes a los derechos de imagen sobre fotografías o procedimientos análogos y/o digitales a la fotografía, o producciones audiovisuales (videos), de conformidad con las normas nacionales e internacionales que sean aplicables, para su reproducción, comunicación pública, transformación y distribución en ediciones impresas y electrónicas, digitales, ópticas y en internet, para fines únicamente corporativos.
Durante emergencias sanitarias declaradas por el Gobierno Nacional, o cualquier tipo de estado de excepción que afecte la operación de la Compañía, estas trataran datos sensibles de los empleados, asociados a la contingencia de conformidad con la normativa vigente en la materia y a las necesidades requeridas.
b) Datos personales de accionistas e inversionistas: Para la atención de consultas, peticiones, solicitudes, acciones, reclamos y pago de dividendos. Además, se utiliza para el desarrollo de actividades de la Compañía tales como capacitaciones, actividades de recreación, envío de comunicaciones corporativas, para cumplir con las normas de prevención del lavado de activos y financiación del terrorismo y demás actividades que se requieran en el normal desarrollo de la organización y el cumplimiento de las normas, reglamentos y actividades.
Durante emergencias sanitarias declaradas por el Gobierno Nacional, o cualquier tipo de estado de excepción que afecte la operación de la Compañía, estas trataran datos sensibles de los accionista e inversionistas, asociados a la contingencia de conformidad con la normativa vigente en la materia y a las necesidades requeridas.
c) Datos personales de proveedores: Para cumplir con las obligaciones legales y/o contractuales, tales como pagos, facturación, reporte de pagos, reportes que por ley o por políticas internas la Compañía tienen la obligación de realizar; para el mantenimiento y desarrollo de la relación comercial; para llevar a cabo actividades de mercadeo, promoción o publicidad, para realizar actividades de inteligencia de mercados, realizar alianzas comerciales; para generar valor agregado, dar a conocer noticias e información de los productos y/o servicios de la Compañía; para cumplir con las normas de prevención del lavado de activos y financiación del terrorismo; para verificar deudas con el Estado; para cumplir con las obligaciones a cargo de la Compañía en materia de calidad de los productos y servicios, para la atención efectiva de consultas y/o reclamos de proveedores, para la atención de consultas, peticiones y/o solicitudes; para iniciar y/o atender acciones y/o reclamos de proveedores; para realizar auditorías, enviar invitaciones para participar en procesos de contratación y para solicitar y enviar cotizaciones y/o información sobre productos y servicios.
Durante emergencias sanitarias declaradas por el Gobierno Nacional, o cualquier tipo de estado de excepción que afecte la operación de la Compañía, estas trataran datos sensibles de los proveedores, asociados a la contingencia de conformidad con la normativa vigente en la materia y a las necesidades requeridas.
Revocatoria de la autorización y/o supresión de datos
Los Titulares podrán en todo momento solicitar a la Compañía la supresión de los Datos Personales a que se refiere la Ley 1581 de 2012 y/o revocar la Autorización otorgada para el Tratamiento de estos, mediante la presentación de un reclamo, de acuerdo con el procedimiento indicado en esta Política. Si vencido el término legal respectivo, la Compañía no hubiere eliminado los Datos Personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la Autorización y/o la supresión de los Datos Personales. No obstante, lo anterior, los Datos Personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual. En caso de que los Responsables realicen el Tratamiento de Datos Sensibles, se garantiza que se obtendrá la Autorización para el Tratamiento de dichos datos de manera previa y expresa, cumpliendo con las siguientes obligaciones:
- Se informará al Titular de los datos que por tratarse de Datos Sensibles no está obligado a autorizar su Tratamiento.
- Se le informará de forma previa y expresa al Titular cuáles son los datos Sensibles y cuál será la finalidad del Tratamiento que se les dará.
- No se condicionará ninguna actividad a que el Titular suministre Datos Sensibles.
Procedimiento para el ejercicio del derecho de habeas data
Para el ejercicio del Derecho de Habeas Data, el Titular del Dato Personal o quien demuestre un legítimo interés conforme lo señalado en la normatividad vigente, podrá hacerlo diligenciando el formulario ubicado en la sección Protección de Datos Personales de la página web www.grupoimsa.com.co; o a través de una comunicación dirigida al área jurídica de la Compañía o en la dirección registrada en la Cámara de Comercio de Medellín para Antioquia. Quien ejerza el derecho de habeas data deberá suministrar con precisión los datos de contacto solicitados en el formulario de la página web o en su defecto la información de contacto para efecto de tramitar y atender su solicitud para el ejercicio de sus derechos.
Las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Respecto, los reclamos o la solicitud de corrección, actualización, rectificación, revocación o supresión de datos personales, recibida la solicitud de ejercicio de Habeas Data, la Compañía dará respuesta en el término legal de diez (10) días hábiles, el cual podrá ser prorrogado por cinco (5) días hábiles adicionales, previa comunicación a quien ha ejercido este derecho, de acuerdo con lo dispuesto por la ley.
En caso de requerirse información adicional para atender la solicitud, esta deberá ser presentada por el solicitante dentro de los dos (2) meses siguientes al requerimiento; si no lo hace se entenderá que ha desistido.
El término máximo que tiene el Responsable para atender la solicitud es de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la solicitud dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su solicitud, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
El Tratamiento de los Datos Personales que realiza la Compañía conforme a esta Política se hará con base en la norma, programas, procedimientos e instructivos adoptados para el cumplimiento de la legislación aplicable a la protección de Datos Personales.
Para los datos recolectados antes de la expedición del Decreto 1377 de 2013, la Compañía ha puesto en conocimiento de los Titulares la Política de Protección de Datos y el modo de ejercer sus derechos mediante su publicación en la página web https://grupoimsa.com.co/politica-de-tratamiendo-de-datos/
Transferencia o transmisión Internacional de datos personales
La Compañía podrán realizar la Transferencia y Transmisión, incluso internacional, de los Datos Personales que tenga en sus Bases de Datos, siempre y cuando se cumplan los requerimientos legales aplicables y los Titulares de los Datos Personales autoricen expresamente la Transferencia y Transmisión, incluso a nivel internacional.
Para la Transferencia de Datos Personales de los Titulares, la Compañía tomará las medidas necesarias para que los terceros conozcan y se comprometan a observar la presente Política, bajo el entendido que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente relacionados con la Compañía o los fines autorizados por el titular de manera expresa, y solamente mientras esta Autorización esté vigente. No podrá ser usada o destinada para propósito o fin diferente.
Modificaciones a la política de protección de datos personales
La Compañía se reservan el derecho de efectuar en cualquier momento modificaciones o actualizaciones a esta Política de Protección de Datos Personales, para la atención de novedades legislativas, políticas internas o nuevos requerimientos para la prestación u ofrecimiento de sus servicios o productos. Estas modificaciones estarán disponibles al público a través de la página web www.grupoimsa.com.co
Vigencia
La presente Política de Tratamiento de Datos rige desde su aprobación por la Junta Directiva el (18 de enero de 2022.)
La presente Política de Tratamiento de Datos fue revisada por el Área Jurídica y de Riesgos de Grupo IMSA y aprobada por la Junta Directiva el (14 de Marzo de 2024), sin realizar cambios en las finalidades del Tratamiento de Datos Personales.
Formulario
Formulario Quejas y Reclamos relacionados con datos personales