PRIVACIDAD | Política de tratamiento de datos personales CARDIF Colombia Seguros Generales S.A.
Objetivo
El presente documento tiene como objetivo principal informar el tratamiento que le da CARDIF COLOMBIA SEGUROS GENERALES S.A (en adelante CARDIF) a la información personal de los clientes, terceros y colaboradores. El Tratamiento de la información personal se relacionará con las siguientes etapas del ciclo de vida del dato: (i) recolección, (ii) almacenamiento (iii) uso, (iv) circulación (transferencia o transmisión) (x) supresión de la información personal o disposición final.
I. GLOSARIO DE TÉRMINOS
Para la aplicación de las reglas y procedimientos establecidos en la presente Política, se tendrán en cuenta las siguientes definiciones consagradas la Ley Estatutaria 1266 de 2008, la Ley Estatutaria 1581 de 2012, sus decretos reglamentarios y normas complementarias así:
Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de los Datos Personales.
Base de Datos: Conjunto organizado de datos personales que es objeto de tratamiento. Incluye aquellos depósitos de datos que constan en documentos físicos y que tienen la calidad de archivos.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. El dato personal se clasifica en dato publíco, semiprivado, privado y sensible.
Dato Personal Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva.
Dato Personal Semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar, no sólo a su Titular, sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio, de actividad comercial o de servicios.
Dato Personal Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para la persona titular del dato.
Dato Personal Sensible: Es aquel que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tal como aquel que revele el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como el dato relativo a la salud, a la vida sexual y a los datos biométricos, Los Datos Personales de menores de edad se consideran Datos Sensibles.
Datos de Menores: Son los datos de niños, niñas y adolescentes y su Tratamiento es permitido siempre y cuando el fin que se persiga responda al interés superior y asegure la garantía de sus derechos prevalentes.
Titular de la información: Persona natural cuyos datos personales sean objeto de Tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
Sub Encargado del Tratamiento: Cualquier persona natural o jurídica, pública o privada, contratada por el Encargado del Tratamiento, para ejecutar cualquiera de las actividades propias del Tratamiento encargado por el Responsable, quien deberá cumplir y sujetarse a los mismos estándares de seguridad y de protección de Datos Personales que el Encargado.
Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.
Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tiene por objeto la realización del tratamiento por parte de un Encargado y por cuenta de un Responsable
Consulta: Solicitud del Titular del dato o las personas autorizadas por éste o por la ley para conocer la información que reposa sobre ella en bases de datos o archivos.
Reclamo: Solicitud del Titular del dato o las personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus datos personales o cuando adviertan que existe un presunto incumplimiento del régimen de protección de datos, según el artículo 15 de la Ley 1581 de 2012.
Incidente de Seguridad: Cualquier acto u omisión que implique la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una Base de Datos administrada por el Responsable del Tratamiento o por su Encargado.
II. INTRODUCCIÓN
CARDIF ha diseñado la presente política con la finalidad de dar cumplimiento a la normatividad vigente en materia de protección de datos personales y el derecho a la privacidad de las personas, así mismo bajo la facultad que les asiste a los Titulares de conocer, actualizar, rectificar y suprimir la información que sobre ellos se archive en las bases de datos de la aseguradora.
III. POLÍTICAS
3.1. Políticas Generales
a) CARDIF será el responsable de la administración de datos por parte de los proveedores, subcontratistas o empleado.
b) Esta política da cumplimiento a la normatividad vigente relacionada con el uso de datos personales, así como la protección al derecho a la intimidad y al habeas data. (Ley 1581 de 2012).
c) La política de tratamiento de datos personales aplicada por CARDIF requerirá tener autorización previa, expresa e informada del Titular de los datos para proceder a dar tratamiento de la misma.
d) CARDIF no solicitará información como: usuario, claves, saldos, movimientos, número de cuentas, preguntas de identidad protegida y datos completos de la tarjeta de crédito por ningún medio.
3.2. Políticas Específicas
3.2.1. Finalidades Del Tratamiento.
CARDIF podrá utilizar los datos para realizar cualquiera de las siguientes actividades:
a) Suscribir contratos de seguro.
b) Celebrar contratos de cualquier naturaleza.
c) Realizar pagos o transferencias electrónicas.
d) Realizar cobro de primas de seguro, recaudos de carteras y cobros coactivos.
e) Pagar las reclamaciones.
f) Auditorías al interior de la compañía.
g) Atención y respuesta de cualquier petición, queja o reclamo.
h) Avisos, propagandas, envío de información, boletines, noticias relacionadas con los productos.
i) La creación de bases de datos, las cuales pueden contener información sensible, siempre y cuando se cuente con las autorizaciones respectivas.
j) Fines estadísticos e investigativos para la adopción de nuevos productos.
k) Cálculos actuariales.
l) Envío de comunicados informando modificaciones a la presente Política.
m) Cualquier transmisión y/o transferencia de la información entre las sociedades integrantes del grupo BNP PARIBAS.
3.3. CARDIF y BNP PARIBAS
3.3.1. Eventos en los que CARDIF usará los datos
Se prohíbe el tratamiento de estos datos, salvo en determinados casos concretos, como por ejemplo:
a) Si el Titular ha prestado su consentimiento expreso (escrito, claro y explícito), salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) Si su uso está justificado por el interés público y autorizado por el regulador.
c) Si estos datos son necesarios a efectos médicos o para la investigación en el ámbito de la salud.
d) Cuando la información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
e) Cuando se suscriba con nosotros contratos de seguro. Recuerde que aquellos datos que se nos brinde de menores de edad serán conservados y guardados con estricta de la reserva.
f) En algunas ocasiones, los datos podrán provenir de terceros como entidades financieras, en estos casos, la información será compartida, pero esto deberá ser previamente autorizado, permitiendo la posibilidad de compartir la información con nosotros para las finalidades y propósitos formalizados con el tercero.
g) Si se refieren a los miembros o afiliados de una asociación o de una Compañía religiosa, filosófica, política o sindical.
h) Cuando la recopilación y el uso de estos datos tenga carácter obligatorio.
¿En qué eventos usaremos la información?
a) Cuando se celebren contratos en calidad de proveedor con nosotros;
b) Cuando CARDIF suscriba contratos de uso de red con entidades financieras;
c) En contratos de reaseguro;
d) Compartiremos la información con empresas del GRUPO BNP PARIBAS siempre y cuando se tenga la respetiva autorización.
e) Cuando sea necesario, se tratará la información de menores de edad. Dicha información será conservada y guardada con estricta reserva.
3.3.2. Autorización del titular de la información
La autorización será indispensable para el Tratamiento de los datos personales, por tal razón CARDIF capturará la autorización de manera previa, expresa e informada del Titular por cualquier medio que pueda ser objeto de consulta, verificación y trazabilidad posterior, tales como, comunicación escrita, verbal, digital o por conductas inequívocas.
3.3.3. ¿Que haremos una vez se nos autorice?
Obtenida la autorización, CARDIF realizará las siguientes actividades:
a) Se procederá a almacenar cualquier soporte, evidencia o prueba de la autorización.
b) Los algoritmos, metodologías, herramientas y procedimientos de CARDIF en calidad de entidad privada, comerciante o aseguradora constituye información reservada susceptible de protección como secreto empresarial, know how o información privilegiada no disponible al acceso público.
c) Con lo anterior, garantizamos que la información personal no estará disponible al público, solo será utilizada por CARDIF y por los terceros que se autorice.
d) Se podrá conocer, actualizar, rectificar y suprimir en cualquier momento los datos suministrados.
e) Se podrán enviar en cualquier momento quejas, peticiones o reclamos relacionados con el Tratamiento de la información personal. (Ver numeral 3.2.10. Canales y datos de contacto).
f) Se podrá revocar de manera parcial o total la autorización de tratamiento de datos personales, salvo esta sea necesaria para fines legales o contractuales.
g) Se podrá solicitar la supresión de cualquier dato suministrado a CARDIF, caso en el cual, se procederá a eliminar su información, salvo esta sea necesaria para fines legales o contractuales, en este caso se le informará el tiempo que CARDIF conservará la información.
3.3.4. Los derechos
Los derechos de los propietarios de los datos serán los siguientes:
a) Conocer, actualizar y rectificar los datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a los datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
f) Acceder en forma gratuita a los datos personales que hayan sido objeto de Tratamiento
3.3.5. Bases de datos autorizadas por terceros responsables
Recordamos que en algunos casos los datos personales podrán provenir de terceros a los cuales se les haya autorizado la transferencia de datos, en este caso, CARDIF utilizará los datos personales como encargado de la información y desarrollará dicha act ividad de conformidad con lo descrito en el presente documento.
IV. PROCEDIMIENTO PARA CONSULTAS Y RECLAMOS
A continuación, se detallan los procedimientos pa ra que los Titulares de los datos puedan ejercer los derechos a conocer, actualizar, rectificar, suprimir información y/o revocar la autorización, haciendo uso de los mecanismos previstos por CARDIF.
Los derechos de los Titulares podrán ejercerse por las siguientes personas legitimadas, de conformidad con el artículo 20 del Decreto 1377 de 2013 y el artículo 2.2.2.25.4.1. del Decreto Único Reglamentario 1074 de 2015:
a) Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición de CARDIF.
b) Por sus causahabientes, quienes deberán acreditar tal calidad.
c) Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
d) Por estipulación a favor de otro o para otro.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que afirmen y/o estén facultadas para representarlos.
4.1. Consultas
CARDIF garantizará el derecho de consulta, suministrando a las personas legitimadas la información personal del Titular que repose en cualquier base de datos de CARDIF. Para ello es necesario dejar prueba de lo siguiente:
a) Fecha de recibo de la consulta.
b) Identidad del solicitante.
Una vez verificada la identidad del Titular se le suministrarán los datos personales requeridos. La respuesta a la consulta deberá comunicarse al solicitante en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
En caso de requerirse información adicional, CARDIF se lo informará al solicitante quien, en caso de no responder dentro de un término de dos (2) meses, se entenderá por desistida la solicitud.
4.2. Reclamos
Los reclamos tienen por objeto corregir, actualizar o suprimir datos o elevar una queja por el presunto incumplimiento de cualquiera de los deberes establecidos para el régimen de protección de datos y/o de la presente política.
El reclamo debe presentarse mediante solicitud dirigida a CARDIF y contener la siguiente información:
a) Nombre e identificación del titular del dato o la persona legitimada.
b) Descripción precisa y completa de los hechos que dan lugar al reclamo.
c) Dirección física o electrónica para remitir la respuesta e informar sobre el estado del trámite.
d) Documentos y demás pruebas pertinentes que quiera hacer valer.
Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
4.3. Rectificación y actualización de datos
CARDIF tiene la obligación de rectificar y actualizar a solicitud del Titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente:
a) En las solicitudes de rectificación y actualización de Datos Personales el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.
b) Se podrá habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al Titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes.
c) Se podrá establecer formularios, sistemas y otros métodos simplificados que se pondrán a disposición de los interesados en las oficinas y/o en la página web.
4.4. Revocatoria de la autorización y/o supresión de datos
El Titular tiene el derecho, en todo momento, a solicitar la revocatoria de la autorización y/o solicitar la supresión (eliminación) de sus Datos Personales cuando:
a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente y así haya sido determinado por la Superintendencia de Industria y Comercio.
b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, Bases de Datos o Tratamientos realizados por CARDIF. Es importante tener en cuenta que los derechos de revocatoria y supresión no son absolutos y CARDIF puede negar el ejercicio de estos cuando:
a) El Titular tenga un deber legal o contractual de permanecer en la base de datos.
b) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
c) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular: para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse. La primera, puede ser sobre la totalidad de las finalidades consentidas, esto es que CARDIF deba dejar de tratar por completo los datos del Titular; la segunda, puede ocurrir sobre tipos de Tratamiento determinados, como por ejemplo para fines publicitarios o de estudios de mercado. Con la segunda modalidad, esto es, la revocación parcial del consentimiento, se mantienen los otros fines del Tratamientos que el responsable, de conformidad con la autorización otorgada puede llevar a cabo y con los que el Titular está de acuerdo.
V. CANALES Y DATOS DE CONTACTO
CARDIF pone disposición de los Titulares de los datos personales los siguientes canales de atención para el ejercicio de su derecho a conocer, actualizar, rectificar, revocar y/o suprimir su información personal:
Línea telefónica número: 6017444040
Correo electrónico: atencionalcliente@CARDIF.com.co.
Dirección física: Carrera 7ma 75 - 66 Piso 10. Bogotá, D.C.
VI. VIGENCIA Y NOTIFICACIÓN DE CAMBIOS DE LA POLÍTICA
Esta política puede ser modificada en cualquier momento con el objetivo de reflejar nuevas prácticas o cambios en la legislación o jurisprudencia en materia de tratamiento de datos personales.
En caso de efectuarse algún cambio o modificación, CARDIF informará a los Titulares de la información personal a través de publicaciones en su página web https://www.bnpparibascardif.com.co/ o a través de cualquier otro medio que considere adecuado, especificando la fecha en que las modificaciones entrarán en vigor.