I. Glosario
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Base de Datos: Conjunto organizado de datos personales que sean objeto de Tratamiento.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
Responsable: Persona natural o jurídica que decide sobre las operaciones y formas de tratamiento que se realicen sobre los Datos Personales, entre las cuales está la facultad de entregar, transmitir o transferir los datos para que un tercero, en calidad de encargado, los reciba y realice tratamiento por cuenta del resposable.
Encargado: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de Datos Personales por cuenta del responsable del tratamiento.
Dato Público: Los datos relativos al estado civil de las personas, a su profesión u oficio, y aquellos que puedan obtenerse sin reserva alguna.
Dato Privado: Es aquel que por su naturaleza íntima o reservada sólo es relevante para el Titular.
Dato Semiprivado: No tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar al titular o a cierto sector.
Dato Sensible: Son los Datos Personales que puedan afectar la intimidad del Titular o cuyo Tratamiento indebido puede generar discriminación. Datos relativos a la raza, a la filiación política, religiosa y a la vida sexual, datos médicos o datos biométricos (fotos, huella digital, etc.) entre otros.
Transferencia: Entrega de datos personales que hace un responsable a otro responsable.
Transmisión: Entrega de datos personales que hace un responsable a un encargado para que éste último realice el tratamiento por cuenta del primero.
II. OBJETIVO
Bajo la presente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES (en adelante, la “Política”) CEPSA COLOMBIA S.A., identificada con NIT. 830.080.672-2 con domicilio legal en la Calle 113 No. 7 – 80 piso 9 de la ciudad de Bogotá - Colombia, teléfono de contacto (+57) (1) 6583800 (en adelante, “CEPSA” o la “COMPAÑÍA”) regula los derechos, deberes y responsabilidades relacionadas con el tratamiento, recolección, almacenamiento y disposición de los Datos Personales que en ejercicio de sus actividades debe realizar de sus clientes, empleados, proveedores y terceros.
Esta Política aplicará a toda recolección, almacenamiento, uso, transferencia, transmisión, y supresión de información que pueda asociarse o relacionarse a personas naturales determinadas o determinables que ocurra en el territorio de la República de Colombia, así como el tratamiento que realicen aquellos terceros con los que CEPSA acuerde realizar cualquier actividad relativa a, o relacionada con, el tratamiento de Datos Personales de los cuales CEPSA es responsable.
III. Principios
En todo tratamiento realizado por CEPSA, se dará cumplimiento a los principios establecidos en la Ley y en esta Política, con el fin de garantizar el derecho al habeas data de los Titulares. Estos principios son:
Acceso restringido
El acceso a Datos Personales a través de la Internet u otros medios de comunicación, tendrán medidas técnicas y de seguridad que permitan controlar y restringir su disponibilidad solo a aquellas personas autorizadas. Los Datos Personales no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados o que la información sea pública.
Circulación restringida
Los Datos Personales solo pueden ser tratados por aquel personal de LA COMPAÑÍA que cuente con autorización para ello de acuerdo a lo establecido por ésta, o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse Datos Personales a terceros, dentro o fuera del territorio de la República de Colombia, sin la autorización o sin la suscripción de un contrato en caso de que haya transmisión.
Confidencialidad
Las personas que intervengan en el tratamiento de Datos Personales deberán mantener la reserva de la información, incluso después de que se haya terminado el vínculo que dio origen al tratamiento, por el término que la ley o el contrato prevea, según el caso.
Consentimiento
La autorización para el tratamiento de Datos Personales, según lo establecido en la normatividad vigente, podrá ser (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.
Datos Sensibles y diligencia
Los Datos Sensibles que se recolecten en el desarrollo de las actividades de LA COMPAÑÍA, serán tratados adecuadamente para preservar su integridad, acceso restringido y seguridad.
Finalidad
Toda actividad de tratamiento de datos personales debe obedecer a las finalidades legítimas mencionadas en esta Política o en el Manual y ser informadas al Titular al momento de obtener su autorización.
Integridad
LA COMPAÑÍA debe procurar que los Datos Personales sometidos a tratamiento sean veraces, completos, exactos, comprobables y comprensibles. Cuando LA COMPAÑÍA conozca que tiene Datos Personales parciales, incompletos, fraccionados o que induzcan a error, deberá abstenerse de tratarlos o solicitar al Titular que los complemente, actualice o corrija. LA COMPAÑÍA velará por mantener la integridad de los Datos Personales que estén contenidos en sus bases de datos y la veracidad de los mismos.
Seguridad
LA COMPAÑÍA debe disponer de las medidas técnicas, humanas y administrativas de seguridad, necesarias y acordes a sus capacidades para mantener la confidencialidad y seguridad de los Datos Personales. Lo anterior con el fin de evitar que éstos sean adulterados, modificados, consultados, usados, accedidos, eliminados o conocidos por terceros no autorizados. LA COMPAÑÍA ajustará el tratamiento a los estándares de seguridad que reglamenten en un futuro las autoridades competentes, siempre y cuando sus capacidades lo permitan.
Separabilidad de las Bases de Datos
LA COMPAÑÍA mantendrá de manera separada las bases de datos en las que tenga la calidad de encargado, de aquellas en las que tenga la condición de responsable.
Temporalidad
LA COMPAÑÍA no usará los Datos Personales más allá del plazo razonable que exija la finalidad que fue informada al respectivo Titular y llevará a cabo medidas tendientes a garantizar la supresión del dato personal cuando éste deje de cumplir la finalidad para la cual fue recolectado.
Transparencia
Cuando el Titular lo solicite, LA COMPAÑÍA deberá entregarle la información acerca de la existencia de Datos Personales que le conciernan o sobre aquellos que esté legitimado para solicitar. La respuesta a la solicitud deberá otorgarse por el mismo medio o, al menos, por un medio similar al que utilizó el Titular para solicitar información y dentro de los términos establecidos por la ley y la presente Política.
Tratamiento posterior
Todo dato personal que no sea dato público debe tratarse por los responsables y encargados como confidencial y bajo los parámetros de seguridad que fije la Superintendencia de Industria y Comercio. A la terminación de dicho vínculo, tales Datos Personales deben continuar siendo tratados de conformidad con la Política, el manual y la ley.
IV. Autorización y Tratamiento
Todo tratamiento de datos debe estar precedido por la obtención de la autorización mediante la cual el Titular autorice a CEPSA de manera voluntaria, previa, expresa e informada para tratar sus Datos Personales, incluyendo, sin limitación, su información personal y/o datos biométricos, de acuerdo con lo dispuesto en la presente Política y la normatividad vigente.
V. Recolección de Datos personales
Los Datos Personales serán utilizados para el adecuado desarrollo de las actividades propias de LA COMPAÑÍA, así como para el cumplimiento de la normatividad que regula la misma y la reglamentación técnica de sus operaciones en Colombia.
Los Datos Personales recolectados se usarán para poder iniciar, adelantar y mantener la relación contractual, comercial, laboral, y/o para recibir información sobre las cuales los Titulares hayan autorizado su tratamiento, así como para atender las peticiones y solicitudes que sean presentadas por los Titulares del dato personal.
En el desarrollo de sus actividades, CEPSA podrá recolectar, utilizar, administrar, almacenar, transmitir, transferir y/o realizar diversas operaciones con los Datos Personales. Igualmente, los Datos Personales serán tratados cuando un deber legal así lo imponga y para dar cumplimiento a una autoridad competente cuando ésta formalmente lo requiera.
De acuerdo con lo anterior, los Datos Personales tratados por LA COMPAÑÍA, sus empleados y terceros vinculados contractualmente, deberán someterse únicamente a las finalidades que se señalan a continuación o las que hayan sido aceptadas por los Titulares al momento de la recolección de los Datos Personales.
Corporativas y Administrativas
Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables de LA COMPAÑÍA, de sus socios, proveedores/contratistas y clientes.
Cumplir con los procesos internos de LA COMPAÑÍA en materia de administración de socios, proveedores y contratistas.
Entregar información a terceros para la evaluación y clasificación de proveedores/contratistas.
El proceso de archivo, de actualización de sistemas, de protección y de custodia de información y bases de datos.
Realizar el análisis para el control y la prevención del fraude, lavado de activos, financiación del terrorismo, soborno, entre otros, incluyendo pero sin limitarse a la consulta, reporte a listas restrictivas y a centrales de información de riesgos financieros.
Completar transacciones, obtener datos de facturación, realizar pagos, ordenar pagos y emitir facturas.
Realizar ante los Bancos de Datos, reportes negativos o positivos relacionados con el estado de cumplimiento, incumplimiento o mora en las obligaciones financieras, comerciales, crediticias y de servicios a cargo de LA COMPAÑÍA, previa notificación por escrito al cliente con los términos de anticipación establecidos por LA COMPAÑÍA para que cumpla con sus obligaciones y/o demuestre el cumplimiento.
Cumplir las obligaciones tributarias, contractuales y legales.
El envío de las modificaciones a esta Política, así como la solicitud de nuevas autorizaciones para el tratamiento de los Datos Personales.
Las demás finalidades que determinen los responsables en procesos de obtención de Datos Personales para su tratamiento, con el fin de dar cumplimiento a las obligaciones legales y regulatorias, y al desarrollo de la actividad comercial de LA COMPAÑÍA.
Transferencia y/o transmisión de Datos Personales a las empresas filiales y asociadas del Grupo CEPSA.
Recursos Humanos
La administración del recurso humano de LA COMPAÑÍA, incluyendo pero sin limitarse a la evaluación de los candidatos interesados en ser empleados de LA COMPAÑÍA, la vinculación laboral a LA COMPAÑÍA, procesos de capacitación, realización de evaluación del desempeño, adelantar programas de bienestar social y salud ocupacional para los empleados y sus familiares, exámenes médicos ocupaciones, expedición de certificaciones laborales, cumplimientos de normas HSE, suministro de referencias laborales en caso de ser solicitadas, conformar el mapa humano del personal que labora en LA COMPAÑÍA y el pago de nómina.
Transferencia y/o transmisión de Datos Personales a las empresas filiales y asociadas del Grupo CEPSA.
Adelantar campañas de actualización de Datos Personales para garantizar la integridad de estos.
Adelantar procesos o investigaciones internas de conformidad con las diferentes políticas y reglamentos de LA COMPAÑÍA en caso de actividades sospechosas que puedan afectar el buen nombre de LA COMPAÑÍA.
La gestión de bancos de hojas de vida y jornadas de reclutamiento para contratación de personal.
Mercadeo
Realizar actividades de mercadeo, sensibilización, socialización, acercamiento a comunidades y enviar información sobre novedades, noticias, concursos, eventos, campañas, actividades, promociones y ofertas.
Realizar encuestas de satisfacción al cliente, calidad del servicio y fortalecer nuestros canales de servicio al cliente y a las comunidades.
Realizar actividades de fidelización de clientes.
Relaciones con comunidades regionales y locales
Realizar actividades de acercamiento y contacto con comunidades, grupos étnicos, colectivos y/o sociales, así como con autoridades de todo orden, asociaciones, embajadas, entre otros.
Transferencia y/o transmisión de Datos Personales a las empresas filiales y asociadas del Grupo CEPSA.
Enviar invitaciones e información sobre los eventos y actividades comerciales y/o académicas o formativas.
Celebrar y gestionar acuerdos, convenios, compromisos, programas y proyectos con autoridades regionales y locales, juntas de acción comunal y comunidades.
Para el relacionamiento y acercamiento con la comunidad y la población en general en el marco de los diferentes proyectos que se pretendan o se lleven a cabo.
Frente a Terceros
Complementar la información y, en general, adelantar las actividades necesarias para gestionar las solicitudes, quejas y reclamos presentados por los grupos de interés de LA COMPAÑÍA, y direccionarlas a las áreas responsables de emitir las respuestas correspondientes.
Transmitir Datos Personales a terceros con los cuales se hayan celebrado contratos con este objeto o se hayan suscrito documentos, tales como otrosíes o declaraciones, que permitan transmitir los Datos Personales, para fines comerciales, administrativos y/u operativos.
Verificar información jurídica, financiera, comercial y técnica en procesos contractuales que adelante LA COMPAÑÍA o terceros.
Para dar cumplimiento a los fines mencionados anteriormente, como transferir, transmitir, trasladar, compartir, entregar, y/o revelar Datos Personales a terceros, dentro y fuera del territorio nacional, incluso a países que no proporcionen niveles adecuados de protección de Datos Personales.
Transferencia y/o transmisión de Datos Personales a las empresas filiales y asociadas del Grupo CEPSA.
Para el relacionamiento y acercamiento con la comunidad y la población en general en el marco de los diferentes proyectos que se pretendan o se lleven a cabo.
Proyectos benéficos
Celebrar, realizar, participar o apoyar eventos que busquen beneficiar, reconocer o gestionar proyectos o programas sociales sin ánimo de lucro.
Las bases de datos en las que se incluye información de los Titulares tendrán una vigencia determinada por la permanente operación de LA COMPAÑÍA, de acuerdo con la naturaleza fundacional de la sociedad, así como las actividades propias de la operación administrativa general.
Asimismo, CEPSA podrá tratar los datos de sus ex empleados, visitantes, invitados y personas que soliciten información sobre los servicios que presta, de acuerdo con los términos consagrados en la presente Política.
Recolección de Datos Personales Sensibles.
CEPSA podrá recolectar Datos Personales Sensibles como lo son los datos biométricos relacionados con huellas digitales, fotografías y/o videos, entre otros, para garantizar la seguridad en el ingreso y permanencia de las personas dentro de sus instalaciones, así como para asegurar el cumplimiento de normas o procedimientos internos, realizar campañas de difusión, sensibilización, reportes a la Matriz, autoridades nacionales y/o eventos de LA COMPAÑÍA.
La recolección les será informada a los Titulares mediante los avisos de privacidad instalados en las instalaciones de CEPSA.
LA COMPAÑÍA podrá recolectar datos biométricos de menores de edad que ingresen a las instalaciones de la sociedad y/o que formen parte del núcleo familiar de empleados de LA COMPAÑÍA, caso en el cual, será responsabilidad del representante legal del menor ejercer los derechos de conocer, actualizar, rectificar y/o suprimir la información, así como entregar o revocar la autorización que en nombre de estos hubiere otorgado a CEPSA.
En caso de que se requiera el tratamiento de Datos Personales sensibles referentes a la salud, origen racial o étnico, convicciones religiosas u orientación política, pertenencia a sindicatos, organizaciones sociales, así como los referentes a datos sexuales, CEPSA solicitará su autorización indicando que la respuesta es facultativa.
VI.Derechos de los Titulares de Datos Personales y su Procedimiento
En virtud de la legislación vigente, el Titular de la información tiene los siguientes derechos:
- Conocer, actualizar y corregir sus Datos Personales;
- Solicitar prueba de la autorización otorgada para el tratamiento de sus Datos Personales;
- Tener acceso de forma gratuita a sus Datos Personales que son objeto de tratamiento;
- Ser informado del tratamiento que se le está dando a sus Datos Personales;
- Solicitar la revocatoria de la autorización, siempre y cuando no exista un deber legal o una obligación de carácter contractual en cabeza del Titular con LA COMPAÑÍA, según la cual tales Datos Personales deban permanecer en las bases de datos y/o ser tratados por LA COMPAÑÍA.
- Solicitar la supresión de sus Datos Personales de las bases de datos de LA COMPAÑÍA, siempre y cuando no exista un deber legal o una obligación de carácter contractual en cabeza del Titular con LA COMPAÑÍA, según la cual tales Datos Personales deban permanecer en las bases de datos de ésta.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la ley cuando se haya agotado el requisito de procedibilidad, acudiendo en primera instancia a LA COMPAÑÍA.
Los Titulares de los Datos Personales podrán ejercitar, en cualquier momento, los derechos de acceso, actualización, rectificación y supresión de sus Datos Personales, así como la revocación de la autorización otorgada a CEPSA y ejercer cualquier otro derecho derivado o relacionado con la protección de Datos Personales (habeas data), a través del correo electrónico o a la dirección física de LA COMPAÑÍA.
Para ello deberán tener en cuenta las siguientes reglas:
- Deberá dirigirse por vía electrónica a la dirección de correo proteccióndatospersonalescolombia@cepsa.com, o por vía física a la dirección Calle 113 No. 7 – 80 Piso 9.
- Los Titulares deberán presentar su petición identificándose plenamente y haciendo una descripción clara de la consulta o petición.
- En caso de requerirse documento alguno que soporte su solicitud, el Titular de la información deberá aportarlo con su petición. En caso de no adjuntarlo, LA COMPAÑÍA solicitará en el plazo de cinco (5) días siguientes a su solicitud, se aclare la petición o se adjunte soporte de la misma. En caso de no recibir respuesta dentro de los dos (2) meses siguientes a la presentación de su solicitud, CEPSA entenderá desistida su petición.
- Una vez recibida la solicitud, CEPSA procederá a dar trámite interno y respuesta dentro de los términos legales, esto es, en caso de consulta de información, dentro de los diez (10) días siguientes, prorrogables hasta por cinco (5) días, en caso de requerirlo, previo informe al solicitante. En caso de que la solicitud sea un reclamo, LA COMPAÑÍA dará trámite interno y procederá a dar respuesta dentro de los quince (15) días siguientes a la presentación de la solicitud, los cuales se podrán prorrogar hasta por ocho (8) días, previo aviso al Titular.
- En el caso de que el Titular de la información sea un empleado o exempleado de CEPSA, también podrán ejercer su derecho a la protección de sus Datos Personales a través de la Gerencia General. Los proveedores también podrán ejercer sus derechos a conocer, actualizar, rectificar y/o suprimir sus Datos Personales a través del Área de Compras y Contratos, y los términos de respuesta serán los previamente enunciados.
Los Titulares podrán en todo momento solicitar a CEPSA la supresión de sus Datos Personales y/o revocar la autorización otorgada para el tratamiento de estos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos. Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse. La primera, puede ser sobre la totalidad de las finalidades consentidas; la segunda, puede ocurrir sobre tipos de tratamiento determinados, esto es, la revocación parcial del consentimiento.
VII. Transferencias y Transmisiones
CEPSA únicamente transmitirá los Datos Personales a terceros para las finalidades descritas en esta Política o a las autoridades judiciales y administrativas competentes, cuando sea requerido por éstas.
Para realizar una transferencia de Datos Personales a terceros responsables ubicados en el exterior, CEPSA obtendrá la autorización expresa e inequívoca del Titular para el envío al exterior del dato personal o lo hará con base en alguna otra de las hipótesis que se llegaren a contemplar en la legislación aplicable para hacerlo, incluyendo aquellas establecidas en la Ley 1581 de 2013 y el Decreto 1377 de 2013.
CEPSA dará aplicación a las demás normas sobre transferencia y transmisión de Datos Personales.
VIII. Enlaces a otros sitios Web
El portal www.cepsa.com, entre otros, podrá tener links o enlaces a otros sitios web de propiedad de terceros. Si usted decide ir a alguno de esos sitios web, debe tener en cuenta que cada uno de estos portales cuenta con una política de privacidad distinta, por la cual no aceptamos responsabilidad alguna sobre la información o Datos Personales que usted brinde por fuera de nuestro sitio web.
IX. Vigencia de la Política de Tratamiento de Datos Personales
Esta Política se encuentra vigente desde el mes de diciembre de 2014 y continuará vigente durante el tiempo que se necesario para cumplir con las finalidades mencionadas en esta Política. Asimismo, podrá ser actualizada durante su vigencia.
X. Modificaciones a la Política de Privacidad
CEPSA se reserva el derecho de modificar esta Política en cualquier momento, sin embargo, cualquier cambio será informado y publicado oportunamente a través de la página web https://www.cepsa.com, y se inscribirá allí su fecha de cambio. Esta Política fue actualizada por última vez el 30 de octubre de 2019.