GRUPO IMSA S.A. y sus sociedades subordinadas (que en adelante y para efectos del presente documento se denominarán “las Compañías”) adoptan la presente Política de Protección de Datos Personales dando cumplimiento a lo establecido en la Ley 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013 y demás normas que la modifiquen, reglamenten, con el propósito de proteger la información y el ejercicio de los derechos de los Titulares de Datos que sean Tratados por cualquiera de las Compañías.

Los Datos Personales en custodia de las Compañías, en su condición de Responsables y/o Encargados según el caso, serán Tratados cumpliendo los principios y regulaciones previstas en las leyes colombianas, la legislación nacional vigente y las buenas prácticas aplicables al régimen de protección de Datos Personales, de acuerdo con lo que determina la Política de Protección de Datos Personales que se define a continuación.

Definiciones

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los Datos Personales.

Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.

Compañías: se refiere a Grupo IMSA S.A. y las empresas subordinadas de Grupo IMSA S.A., como lo son MCM Company S.A.S., O-tek Internacional S.A.S., Anderpol do Brasil Participações Ltda., Andercol México S.A, de C.V, Inversiones ADS Panamá S.A, y cualquier sociedad sobre la cual Grupo IMSA S.A. ejerza control (de manera directa o indirecta), unidad de propósito y dirección y se encuentre consagrado en el Certificado de Existencia y Representación Legal de Grupo IMSA.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la ley. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a las Compañías en general, como el dato financiero y crediticio de actividad comercial o de servicios conforme lo establece la normatividad vigente en la materia.

Dato Privado Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los Datos.

Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Transferencia: La Transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

Principios

Principio de veracidad o calidad de los registros o datos: La información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de Finalidad: La administración de Datos Personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al Titular de la información previa o concomitantemente con el otorgamiento de la Autorización, cuando ella sea necesaria o en general siempre que el Titular solicite información al respecto.

Principio de circulación restringida: La administración de Datos Personales se sujeta a los límites que se derivan de la naturaleza de los datos, de las disposiciones de la normatividad vigente en la materia y de los principios de la administración de Datos Personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos.

Los Datos Personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o los usuarios autorizados conforme a la normatividad vigente en la materia.

Principio de Temporalidad de la Información: La información del Titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

Principio de Interpretación Integral de Derechos Constitucionales: Tiene como objetivo el amparo adecuado de los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los Titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables.

Principio de Seguridad: La información que conforma los registros individuales constitutivos de los bancos de datos a que se refiere la ley, así como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado.

Principio de Confidencialidad: Todas las personas naturales o jurídicas que intervengan en la administración de Datos Personales que no tengan la naturaleza de públicos están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Finalidades

Los Datos Personales en poder de las Compañías serán tratados conforme con las siguientes finalidades de carácter general:

  1. Para el cumplimiento de las obligaciones y/o compromisos derivados de las relaciones negociales existentes con los Titulares.
  2. Para el cumplimiento de las obligaciones legales que involucren Datos Personales de los Titulares..
  3. Para la gestión comercial y relacionamiento con sus los Titulares.
  4. Para el análisis prospectivo sobre tendencias y preferencias de los Titulares en relación con sus bienes y/o servicios.
  5. Para conocer de manera prospectiva las necesidades de los Titulares con el fin de innovar y satisfacer dichas necesidades.
  6. Para comunicar a los Titulares información sobre sus bienes, servicios, publicaciones, eventos de capacitación, actividades empresariales y/o
    publicidad asociada a su actividad empresarial, trátese de bienes y/o servicios.
  7. Para desplegar hacia los Titulares actividades de responsabilidad social empresarial.
  8. Para ser tratados por las Compañías en virtud de las relaciones societarias, contractuales o legales.
  9. Para compartirla con terceros en función del cumplimiento del objeto de la relación negocial entre las partes.
  10. Para compartirla entre ellas o terceros y suministrar datos sobre el cumplimiento o incumplimiento de las obligaciones legales y negociales de manera directa o por intermedio de las entidades públicas que ejercen funciones de vigilancia y control.

Responsable del tratamiento

Grupo IMSA S.A., es una sociedad constituida bajo las leyes de la República de Colombia, identificada con NIT 901.544.345-9, tiene su domicilio en la ciudad de Medellín y sus oficinas están ubicadas en la Calle 19 A N°43 B 41. Teléfono: 3567000.

Serán responsables del Tratamiento de Datos Personales Grupo IMSA S.A y las Compañías.

Derechos de los titulares

Los Titulares de los Datos Personales a que se refiere la Ley 1581 de 2012, en su condición de Titular o legítimamente autorizado, en relación con el tratamiento de sus Datos Personales, tienen derecho a ejercer las acciones que la ley reconoce en materia de protección de Datos Personales y habeas data, a saber:

  1. Conocer, actualizar y rectificar sus Datos Personales frente a las Compañías o los Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a Datos Parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
  2. Solicitar prueba de la Autorización otorgada al Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
  3. Presentar ante Las Compañías peticiones, quejas o reclamos, sobre el manejo de los Datos de los Titulares, en los canales dispuesto para ello.
  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
  5. Revocar la Autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución.
  6. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

Tratamiento de datos sensibles

En el desarrollo de su objeto social, las Compañías realizan el Tratamiento de Datos Personales de sus empleados, inversionistas, accionistas y proveedores de bienes y servicios. En cumplimiento de procesos y políticas corporativas, pueden llegar a requerir la Transmisión o Transferencia de dichos datos a sus Compañías vinculadas, filiales y/o subsidiarias. La recolección de Datos Personales por parte de las Compañias se limitará a aquellos Datos Personales que son pertinentes para la finalidad para la cual son recolectados o requeridos. Salvo en los casos expresamente previstos en la Ley, no se recolectarán Datos Personales sin Autorización del Titular, ni se utilizarán medios engañosos o fraudulentos para recolectar y realizar Tratamiento de Datos Personales.

En cumplimiento de la ley, las Compañías, no recolectarán datos de niños, niñas y adolescentes, salvo los relacionados con la vinculación de aprendices menores de edad conforme lo permite la normatividad vigente en materia laboral.

En los procesos de cada una de las Compañías que impliquen la recolección y tratamiento de Datos Personales, se hará remisión a la presente Política de Protección de Datos.

El Tratamiento de datos incluye la recolección, almacenamiento, administración, utilización, Transferencia, Transmisión y destrucción, en la forma permitida por la ley y se realiza con la siguiente finalidad específica para cada caso:

a) Datos Personales de empleados y ex empleados: Para cumplir con las obligaciones laborales de los empleados a cargo de las Compañías, tales como pagos de nómina, pagos y reportes al Sistema General de Seguridad Social en Salud y Pensiones, así como para la atención de consultas, peticiones, solicitudes, acciones y reclamos.

Además, se utiliza para el desarrollo de actividades de las Compañías tales como capacitaciones, otorgamientos de créditos, actividades de recreación, envío de comunicaciones corporativas, realizar alianzas comerciales para generar valores agregados para los empleados, para cumplir con las normas de prevención del lavado de activos y financiación del terrorismo y demás actividades que se requieran en el normal desarrollo de la organización y el cumplimiento de las normas, reglamentos y actividades.

Los Datos Personales también serán utilizados para promover plataformas de interacción con las Compañías, que permitan generar espacios alternativos de comunicación y obtener información de valor para la gestión del recurso humano. Con los Datos Personales proporcionados se creará el respectivo perfil de usuario en la Intranet de las Compañías, el cual podrá ser administrado por cada Titular del dato.

Las Compañías utilizarán los Datos Personales de los empleados o ex empleados referentes a los derechos de imagen sobre fotografías o procedimientos análogos y/o digitales a la fotografía, o producciones audiovisuales (videos), de conformidad con las normas nacionales e internacionales que sean aplicables, para su reproducción, comunicación pública, transformación y distribución en ediciones impresas y electrónicas, digitales, ópticas y en Internet, para fines únicamente corporativos.

Durante la emergencia sanitaria a causa del Covid-19, las Compañías trataran datos sensibles de los empleados, asociados a la salud tales como y sin limitarse a: toma de temperatura, síntomas y enfermedades prexistentes de él o su grupo familiar, lo anterior, con el fin de dar cumplimiento a lo establecido en materia de bioseguridad por el Gobierno Nacional y especialmente a la Resolución 666 de 2020 y aquella que se expida con posterioridad y la modifique o reglamente.

b) Datos Personales de accionistas e inversionistas: Para la atención de consultas, peticiones, solicitudes, acciones, reclamos y pago de dividendos. Además, se utiliza para el desarrollo de actividades de las Compañías tales como capacitaciones, actividades de recreación, envío de comunicaciones corporativas, para cumplir con las normas de prevención del lavado de activos y financiación del terrorismo y demás actividades que se requieran en el normal desarrollo de la organización y el cumplimiento de las normas, reglamentos y actividades.

Durante la emergencia sanitaria a causa del Covid-19, las Compañías trataran datos sensibles de los accionistas e inversionistas asociados a la salud tales como y sin limitarse a: toma de temperatura, síntomas y enfermedades prexistentes de él o su grupo familiar, lo anterior, con el fin de dar cumplimiento a lo establecido en materia de bioseguridad por el Gobierno Nacional y especialmente a la Resolución 666 de 2020 y aquella que se expida con posterioridad y la modifique o reglamente.

c) Datos Personales de Proveedores: Para cumplir con las obligaciones legales y/o contractuales, tales como pagos, reporte de pagos, reportes que por ley o por políticas internas, las Compañías tienen la obligación de realizar, facturación, para el mantenimiento y desarrollo de la relación comercial, para llevar a cabo actividades de mercadeo, promoción o publicidad, para realizar actividades de inteligencia de mercados, realizar alianzas comerciales para generar valor agregado, dar a conocer noticias e información de los productos y/o servicios de las Compañías; para cumplir con las normas de  revención del lavado de activos y financiación del terrorismo; para verificar deudas con el estado; para cumplir con las obligaciones a cargo de las Compañías en materia de calidad de los productos y servicios, para la atención efectiva de consultas y/o reclamos de proveedores, para la atención de consultas, peticiones y/o solicitudes; para iniciar y/o atender acciones y/o reclamos de proveedores. Para realizar auditorías, enviar invitaciones para participar en procesos de contratación, para solicitar y enviar cotizaciones y/o información sobre productos y servicios.

Revocatoria de la autorización y/o supresión de datos

Los Titulares podrán en todo momento solicitar a las Compañías la supresión de los Datos Personales a que se refiere la Ley 1581 de 2012 y/o revocar la Autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con el procedimiento indicado en esta Política. Si vencido el término legal respectivo, la Compañía encargada no hubiere eliminado los Datos Personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la Autorización y/o la supresión de los Datos Personales. No obstante, lo anterior, los Datos Personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual. En caso de que los Responsables realicen el Tratamiento de Datos Sensibles, se garantiza que se obtendrá la Autorización para el Tratamiento de dichos datos de manera previa y expresa, cumpliendo con las siguientes obligaciones:

  1. Se informará al Titular de los datos que por tratarse de Datos Sensibles no está obligado a autorizar su Tratamiento.
  2. Se le informará de forma previa y expresa al Titular cuáles son los datos Sensibles y cuál será la finalidad del Tratamiento que se les dará.
  3. No se condicionará ninguna actividad a que el Titular suministre Datos Sensibles.

Procedimiento para el ejercicio del derecho de habeas data

Para el ejercicio del Derecho de Habeas Data, el Titular del Dato Personal o quien demuestre un legítimo interés conforme lo señalado en la normatividad vigente, podrá hacerlo diligenciando el formulario ubicado en la sección Protección de Datos Personales de la página web www.grupoimsa.com.co o en la página web de cualquiera de sus filiales; o a través de una comunicación dirigida al área jurídica de la respectiva Compañía en la dirección Calle 19 A N° 43 B 41 en Medellín. Quien ejerza el derecho de habeas data deberá suministrar con precisión los datos de contacto solicitados en el formulario de la página web o en su defecto la información de contacto para efecto de tramitar y atender su solicitud para el ejercicio de sus derechos.

Recibida la solicitud de ejercicio de Habeas Data, la Compañía dará respuesta en el término legal de diez (10) días hábiles, el cual podrá ser prorrogado por cinco (5) días hábiles adicionales, previa comunicación a quien ha ejercido este derecho, de acuerdo con lo dispuesto por la ley.

El Titular o legitimado podrá elevar queja ante la Superintendencia de Industria y Comercio, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.

El Tratamiento de los Datos Personales que realizan las Compañías conforme a esta Política se hará con base en la norma, programas, procedimientos e instructivos adoptados para el cumplimiento de la legislación aplicable a la protección de Datos Personales.

Para los datos recolectados antes de la expedición del Decreto 1377 de 2013, las Compañías han puesto en conocimiento de los Titulares la Política de Protección de Datos y el modo de ejercer sus derechos mediante su publicación en la página web www.grupoimsa.com.co.

Si en el término de treinta (30) días después de la publicación del Aviso de Privacidad en la página web, el Titular no ha contactado al Responsable para solicitar la corrección, supresión, o Autorización de sus Datos Personales, las Compañías continuarán realizando el tratamiento contenido en sus Bases de Datos para las finalidades indicadas en el Aviso de Privacidad.

Transferencia o transmisión Internacional de datos personales

Las Compañías podrán realizar la Transferencia y Transmisión, incluso internacional, de los Datos Personales que tenga en sus Bases de Datos, siempre y cuando se cumplan los requerimientos legales aplicables y los Titulares de los Datos Personales autoricen expresamente la Transferencia y Transmisión, incluso a nivel internacional.

Para la Transferencia de Datos Personales de los Titulares, las Compañías tomarán las medidas necesarias para que los terceros conozcan y se comprometan a observar la presente Política, bajo el entendido que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente relacionados con las Compañías o los fines autorizados por el titular de manera expresa, y solamente mientras esta Autorización esté vigente. No podrá ser usada o destinada para propósito o fin diferente.

Modificaciones a la política de protección de datos personales

Las Compañías se reservan el derecho de efectuar en cualquier momento modificaciones o actualizaciones a esta Política de Protección de Datos Personales, para la atención de novedades legislativas, políticas internas o nuevos requerimientos para la prestación u ofrecimiento de sus servicios o productos. Estas modificaciones estarán disponibles al público a través de la página web www.grupoimsa.com.co

Vigencia

La presente Política de Tratamiento de Datos rige desde su aprobación por la Junta Directiva el 18 de enero de 2022.

Formulario

Formulario Quejas y Reclamos relacionados con datos personales