Artículo 2.2.2.25.3.1. Políticas de Tratamiento de la información.
Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
Las políticas de tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:
- Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
- Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
- Derechos que le asisten como
- Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
- Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
- Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de
Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 2.2.2.25.2.2. del presente Decreto deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.
(Lea También: Ejercicio de los Derechos de los Titulares)
Artículo 2.2.2.25.3.2. Aviso de privacidad.
En los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información. Los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas. De manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.
Artículo 2.2.2.25.3.3. Contenido mínimo del Aviso de Privacidad.
El aviso de privacidad, como mínimo, deberá contener la siguiente información:
- Nombre o razón social y datos de contacto del responsable del
- El Tratamiento al cual serán sometidos los datos y la finalidad del
- Los derechos que le asisten al
- Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.
No obstante lo anterior, cuando se recolecten datos personales sensibles. El aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información. De conformidad con lo establecido en este capítulo.
Artículo 2.2.2.25.3.4. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información.
Los Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.
Artículo 2.2.2.25.3.5. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información.
Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
Artículo 2.2.2.25.3.6. Procedimientos para el adecuado tratamiento de los datos personales.
Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.
Artículo 2.2.2.25.3.7. Medidas de seguridad.
La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con las medidas de seguridad en el Tratamiento de datos personales.
