POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DE REDPATODOS
(Manual Interno)


RedPaTodos es un colectivo creado en 2011 por activistas, ciudadanos y organizaciones de la sociedad civil, entre ellas la Fundación Karisma, que buscan participar en los espacios públicos de la sociedad colombiana para defender un Internet libre y colaborativo.

El colectivo se articula a través de su página web (redpatodos.co), de diversas listas de correo y redes sociales. Sus objetivos principales son: recopilar información sobre temas de regulación, analizar posibles amenazas y promover acciones políticas de participación ciudadana para influir en la actividad legislativa y regulatoria del Estado en temas relacionados con Internet, así como con derechos y libertades civiles en entornos digitales.

El papel del colectivo ha sido clave en las discusiones que promovió la sociedad civil durante 2011 y 2012 en el marco de los proyectos legislativos -Ley Lleras 1 y 2- para la implementación del TLC con EE.UU. y el proyecto de ley sobre Excepciones y Limitaciones al Derecho de Autor.

En RedPaTodos estamos comprometidos con el respeto y garantía de los derechos fundamentales a la privacidad, intimidad, habeas data y buen nombre de quienes nos suministran sus datos personales e información en el ejercicio de nuestras actividades de forma permanente y ocasional.

En virtud de este compromiso establecemos el presente Manual de Tratamiento y Protección de Datos Personales (en adelante el “Manual”), construido de acuerdo al marco legal vigente (artículo 15 de la Constitución Política, Ley 1581 de 2012 y Decreto Reglamentario 1377 de 2013).

Este Manual tiene el objetivo de definir los términos, condiciones y finalidades bajo los cuales realizamos el “tratamiento” de los datos personales -recolección, almacenamiento, uso, circulación y supresión- que recibimos a través de campañas, redes, correos, formularios y otros canales de recolección de información, y de posibilitar que los titulares de estos datos puedan conocerlos, actualizarlos, rectificarlos y suprimirlos.

1. Definiciones.

En el colectivo RedPaTodos para la aplicación de este Manual tendremos en cuenta las definiciones establecidas en el artículo 3 de la Ley 1581 de 2012, en el artículo 3 del Decreto 1377 de 2013, las cuales se transcriben a continuación:

a) Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales;

b) Aviso de privacidad: comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

c) Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento.

d) Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

e) Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

f) Datos sensibles: se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

g) Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento;

h) Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos;

i) Titular: persona natural cuyos datos personales sean objeto de tratamiento;

j) Transferencia: la transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

k) Transmisión: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

l) Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

2. Principios para el tratamiento de datos personales

Dando alcance al artículo 4 de la Ley 1581 de 2012, en RedPaTodos aplicaremos los siguientes principios para el tratamiento de los datos personales que realicemos en el ejercicio de nuestras actividades:

a) Principio de legalidad: en RedPaTodos realizaremos el tratamiento de datos personales de acuerdo a las normas vigentes y aplicables.

b) Principio de finalidad: el tratamiento de los datos personales que realicemos en RedPaTodos estará subordinado a y atenderá a una finalidad legítima, que le será informada al respectivo titular de los datos personales.

c) Principio de libertad: en RedPaTodos sólo llevaremos a cabo el tratamiento de datos personales con el consentimiento, previo, expreso e informado de su titular. Estos datos no serán obtenidos o divulgados sin previa autorización, o sin la autorización legal respectiva que releve este consentimiento.

d) Principio de veracidad o calidad: en RedPaTodos reconocemos que la información sobre la que aplicamos el tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, y que está prohibido el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de transparencia: los titulares de datos personales pueden en cualquier momento y sin restricciones obtener de RedPaTodos, la información acerca de la existencia de los datos personales que les conciernen.

f) Principio de acceso y circulación restringida: En RedPaTodos realizaremos el tratamiento de datos personales de acuerdo a los límites fijados por la ley. Por tal motivo, los datos personales -que no sean información pública-, no estarán disponibles en Internet o en otros medios de divulgación o comunicación masiva, salvo que el acceso a estos sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados por la ley.

g) Principio de seguridad: RedPaTodos aplicará medidas técnicas tecnológicas, humanas y administrativas en el tratamiento de los datos personales, a fin de otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de confidencialidad: Todas los miembros de RedPaTodos que administren, manejen, actualicen o tienen acceso a los datos personales objeto de tratamiento y a las bases de datos en donde estos reposan, se comprometen a garantizar la reserva de estos datos (siempre y cuando estos no tengan la naturaleza de públicos), inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo realizar el suministro o la comunicación de datos personales solamente cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.

3. Marco legal

Las políticas de protección de datos personales de Red para Todo, por ser una organización con domicilio en Colombia, se rigen por las siguientes normas:

LEY 527 de 1999

Define "y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones"

Así mismo, introduce el concepto de equivalente funcional, firma electrónica como mecanismos de autenticidad, disponibilidad y confidencialidad de la información.

LEY 1273 DE 2009

Ley la cual se crea y se protege el bien jurídico de la información y los datos personales. Así mismo, se crea conductas penales como daño informático, violación de datos personales, acceso abusivo a sistema informático, interceptación de datos informáticos, hurto por medios informáticos, entre muchas otras.

LEY 1581 DE 2012

Por la cual se dictan disposiciones generales para la protección de datos personales.

DECRETO 1377 DE 2013

Con el cual se reglamenta la Ley 1581 de 2012, se reglamenta aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales.

4. Deberes de RedPaTodos como responsable del tratamiento de datos personales

El colectivo RedPaTodos es el responsable del tratamiento de datos personales. Nuestros deberes según el artículo 17 de la Ley 1581 de 2012 son:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el titular.

c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.

h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

i) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.

j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.

l) Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

m) Informar a solicitud del titular sobre el uso dado a sus datos.

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

5. Derechos de los titulares de datos personales

En RedPaTodos reconocemos que los titulares de los datos personales tienen los siguientes derechos:

a) Conocer, actualizar, rectificar y suprimir sus datos personales que hayan sido recabados por RedPaTodos, como responsable del tratamiento de datos personales o por la Fundación Karisma, como encargada del tratamiento de datos personales. Estos derechos se podrán ejercer, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado; o cuando el titular considere que estos deban ser suprimidos, entre otros.

b) Solicitar prueba de la autorización otorgada a RedPaTodos para el tratamiento de datos personales, salvo cuando ésta no sea un requisito para ello de acuerdo con el artículo 10 de la Ley 1581 de 2012.

c) A ser informado por RedPaTodos del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la normatividad vigente y aplicable, una vez realizado el trámite de consulta o reclamo ante RedPaTodos.

e) Modificar, revocar la autorización, solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, o cuando así lo consideren.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

6. Manejo de datos sensibles

El artículo 6 literal c de la Ley 1581 de 2012 autoriza el tratamiento de datos sensibles cuando éste se dé en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad.

En RedPaTodos podremos efectuar el tratamiento de datos sensibles bajo los términos antes indicados, siempre y cuando contemos con la autorización previa, expresa e informada del titular, la cual será obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior; salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

7. Autorización para el tratamiento de datos personales

La recolección, almacenamiento, uso, circulación o supresión de datos personales por parte de RedPaTodos, requiere del consentimiento libre, previo, expreso e informado de los titulares de los mismos.

Los datos personales recabados por RedPaTodos o por la Fundación Karisma como encargada del tratamiento de los datos personales, son de propiedad de las personas a las que se refieren y sólo ellas podrán decidir sobre los mismos. RedPaTodos hará uso estos datos personales sólo para la finalidad para la cual fue autorizada.

7.1 Formas y mecanismos para otorgar la autorización

El colectivo RedPaTodos generará la autorización para el tratamiento de datos personales y la pondrá a disposición de los titulares con antelación y de manera previa al tratamiento de sus datos personales. Esta autorización podrá estar disponible en un documento físico, electrónico, correo electrónico, sitio web, o en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento y mediante el cual se pueda concluir de manera inequívoca, que de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos.


7.2 Prueba de la autorización

El colectivo RedPaTodos, como responsable del tratamiento de los datos personales, utilizará los mecanismos con que cuenta actualmente, e implementará y adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales para el tratamiento de los mismos. Lo anterior podrá realizarse a través del establecimiento de archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para este efecto.

8. Aviso de privacidad

El colectivo RedPaTodos publicará un documento físico, electrónico o en cualquier otro formato, que será puesto a disposición del titular para el tratamiento de sus datos personales. A través de este documento el colectivo RedPaTodos informará al titular de los datos personales sobre las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y la finalidad del tratamiento que se pretende dar a los datos personales.


9. Mecanismos para el ejercicio de los derechos de los titulares

9.1 Derecho de acceso:

El colectivo RedPaTodos como responsable del tratamiento de datos personales y la Fundación Karisma como encargada del tratamiento de datos personales garantizarán el derecho de acceso de los titulares de la información a sus datos personales objeto de tratamiento, en conformidad con las disposiciones legales, una vez se acredite la identidad del titular o la legitimación correspondiente.

9.2 Consultas

Los titulares, sus causahabientes, o las personas autorizadas por la ley para recibir información, podrán consultar la información personal del titular que repose en cualquier base de datos del colectivo RedPaTodos como responsable del tratamiento de datos personales y de la Fundación Karisma como encargada del tratamiento de datos personales. En consecuencia, estos garantizarán el derecho de consulta a través del suministro de toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

El colectivo RedPaTodos como responsable del tratamiento de datos personales y la Fundación Karisma como encargada del tratamiento de datos personales habilitarán el medio de comunicación que consideren pertinente para la realización de estas consultas, el cual será informado en el aviso de privacidad. Independientemente del mecanismo que se implemente, la consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, que en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

9.3 Reclamos

Los titulares de la información, o los legitimados por la ley para ejercer sus derechos, que consideren que la información contenida en una base de datos del colectivo RedPaTodos, debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrán presentar un reclamo al colectivo como responsable del tratamiento de datos personales y/o a la Fundación Karisma como encargada del tratamiento de datos personales.

El reclamo, teniendo en cuenta lo dispuesto por el artículo 15 de la Ley 1581 de 2012 y en el Decreto 1377 de 2013, debe ser presentado a través de los medios habilitados por el colectivo RedPaTodos como responsable del tratamiento de datos personales y/o por la Fundación Karisma como encargada del tratamiento de datos personales, señalados en el aviso de privacidad y deberá contener la siguiente información:

a) El nombre, domicilio del titular y medio de contacto para recibir la respuesta (como teléfono, correo electrónico, dirección de residencia).

b) La descripción de los hechos que dan lugar al reclamo.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Parágrafo: La supresión de datos personales y la revocatoria de la autorización no procede cuando el titular tiene un deber legal o contractual de permanecer en la base de datos, en conformidad con el artículo 9 del Decreto 1377 de 2013.

La revocatoria podrá ser total, implicando con ello que el colectivo RedPaTodos como responsable del tratamiento de datos personales y/o la Fundación Karisma como encargada del tratamiento de datos personales no podrá realizar el tratamiento de ningún dato personal del titular; o podrá ser parcial, refiriéndose exclusivamente a tratamientos determinados.

10. Función de protección de datos personales

  • El colectivo RedPaTodos, responsable del tratamiento de datos personales, ha designado al grupo nuclear del colectivo (core) como el área con la función de proteger los datos personales y por ende será la encargada de atender peticiones, consultas y reclamos, y ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar, suprimir el dato y revocar la autorización.

    E-mail: infoprivacidad@redpatodos.co.

  • La Fundación Karisma, encargada del tratamiento de datos personales, ha designado a Comunicaciones como el área con la función de proteger los datos personales y por ende será la encargada de atender peticiones, consultas y reclamos, y ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato.

    Comunicaciones
    Fundación Karisma (NIT: 830.118.499-0)

    E-mail: comunicaciones@karisma.org.co

    Dirección: Calle 59 #18-20 oficina 201. Bogotá, Colombia.

    Teléfono: 7389860.

11. Vigencia

El presente manual rige a partir de febrero de 2014. El colectivo RedPaTodos se reserva la posibilidad de modificar este manual. Las políticas de protección de datos estarán acordes con los cambios futuros señalados por la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio. Los cambios sustanciales serán comunicados oportunamente a los titulares de los datos personales de una manera eficiente.