POLÍTICA DE PROTECCION DE DATOS PERSONALES

CEDELCA S.A E.S.P.

El presente documento contiene la Política de Protección de Datos Personales (en adelante la “Política”) bajo la cual se realiza el tratamiento de datos personales por parte de CEDELCA S.A E.S.P. (en adelante LA EMPRESA)  dando cumplimiento a lo establecido en la Ley 1581 de 2012, Decreto 1377 de 2013, y demás normas que las modifiquen, adicionen o complementen (las “Normas Aplicables”).

 

  1. Definiciones

 

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales;
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  • Titular: Persona natural: clientes, consumidores, empleados, ex- empleados, proveedores, entre otros, cuyos datos personales sean objeto de Tratamiento.
  • Transferencia: actividad en la cual el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: tratamiento de los Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable;
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación Transferencia o supresión;
  • Política: Declaración de alto nivel que describe la posición de LA EMPRESA sobre un tema específico. 
  • Estándar: Regla que especifica una acción o respuesta que se debe seguir a una situación  dada.  Los  estándares  son  orientaciones  obligatorias  que  buscan  hacer cumplir  las  políticas.  Los  estándares  son  diseñados  para  promover  la implementación  de  las  políticas  de alto  nivel  de  la  entidad  antes  de  crear nuevas políticas.
  • Mejor  Práctica:  Una  regla  de  seguridad  específica  o  una  plataforma  que  es aceptada,  a  través  de  la  industria  al  proporcionar  el  enfoque  más  efectivo  a  una implementación  de  seguridad  concreta.  Las  mejores  prácticas  son  establecidas para asegurar que las características de seguridad de los sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de LA EMPRESA.
  • Guía: Una que para implementar políticas, estándares buenas prácticas. Las guías son guía es una declaración general utilizada para recomendar o sugerir un enfoque esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.
  • Procedimiento: Los  procedimientos,  definen  específicamente  como  las  políticas, estándares, mejores prácticas y guías que serán  implementadas en una situación dada. Los procedimientos son independientes de la  tecnología  o de los procesos y se refieren a las plataformas, aplicaciones o procesos específicos. Son utilizados para  delinear  los  pasos  que  deben  ser  seguidos  por  una  dependencia  para implementar  la  seguridad  relacionada  con  dicho  proceso  o  sistema  específico. Generalmente  los  procedimientos  son  desarrollados,  implementados  y supervisados por el dueño del proceso o del sistema, los procedimientos seguirán las políticas de LA EMPRESA, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustaran a los requerimientos procedimentales o técnicos establecidos dentro del a dependencia donde ellos se aplican.

 

  1. Política General De Seguridad Y Privacidad De La Información

La dirección de LA EMPRESA, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y  en concordancia con la misión y visión de LA EMPRESA.

Para LA EMPRESA, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por  la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.

De acuerdo con lo anterior, esta política aplica a LA EMPRESA según como se defina en el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores y la ciudadanía en general, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI estarán determinadas por las siguientes premisas:

  • Minimizar el riesgo en las funciones más importantes de LA EMPRESA.
  • Cumplir con los principios de seguridad de la información.
  • Cumplir con los principios de la función administrativa.
  • Mantener la confianza de sus clientes, socios y empleados.
  • Apoyar la innovación tecnológica.
  • Proteger los activos tecnológicos.
  • Establecer  las  políticas,  procedimientos  e  instructivos  en  materia  de seguridad de la información.
  • Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de LA EMPRESA
  • Garantizar la continuidad del negocio frente a incidentes.
  • LA EMPRESA ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios.

A continuación se establecen 12 principios de seguridad de LA EMPRESA:

  • Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
  • LA EMPRESA protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
  • LA EMPRESA protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
  • LA EMPRESA protegerá su información de las amenazas originadas por parte del personal.
  • LA EMPRESA protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
  • LA EMPRESA controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
  • LA EMPRESA implementará control de acceso a la información, sistemas y recursos de red.
  • LA EMPRESA garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • LA EMPRESA garantizará a través de una adecuada gestión de los eventos de seguridad  y las debilidades asociadas con  los sistemas de información una mejora efectiva de su modelo de seguridad.
  • LA EMPRESA garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
  • LA EMPRESA garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

La presente Política será de aplicación a los datos personales de personas naturales y jurídicas que se encuentren incluidos en las bases de datos de LA EMPRESA.

 

  1. Derechos de los Titulares

El Titular de los Datos Personales tendrá los siguientes derechos:

  1. Conocer, actualizar y rectificar sus datos personales. Pudiendo ejercer este derecho, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
  2. Solicitar prueba de la autorización otorgada salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto al Ley 1581 de 2012;
  3. Ser informado, previa solicitud, respecto del uso que le ha dado a sus datos personales;
  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
  5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento se ha incurrido en conductas contrarias a esta ley y a la Constitución. La revocatoria de la autorización o supresión del dato no proceden cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos;
  6. Acceder en forma gratuita, según lo establecido en el artículo 21 del Decreto 1377 de 2013, a sus datos personales que hayan sido objeto de Tratamiento.

 

Para el ejercicio de los derechos mencionados en el presente por parte de los Titulares de los Datos Personales, estos se podrán comunicar con el área responsable del Tratamiento de Datos Personales, y atención de consultas y reclamos sobre los mismos. El ejercicio de los derechos se deberá ejercer de conformidad a lo establecido en el numeral siguiente, y conforme a los requisitos de las Normas Aplicables.

 

  1. Procedimiento para Atención de Consultas y Reclamos
  • Para el ejercicio de los derechos como Titular de los Datos Personales, LA EMPRESA pondrá a disposición de los Titulares medios de comunicación adecuados para tal fin. En este sentido el área encargada del Tratamiento de Datos Personales y atención de consultas y reclamos podrá ser contactada en el siguiente correo electrónico: Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla. o comunicándose a la línea de atención: 8235975

 

  • El procedimiento que se seguirá para el ejercicio de los derechos de los Titulares será el siguiente:

 

Consultas:

  • Cuando el Titular de los Datos Personales, su representante o causahabiente requiera consultar sus Datos Personales contenidos en las bases de datos de LA EMPRESA, éste atenderá la consulta dentro de los diez (10) días hábiles siguientes contados a partir de la fecha de recibo de la consulta realizada.
  • De no ser posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

 

Reclamos:

  • El Titular, su representante o causahabiente podrán solicitar la corrección, actualización o supresión, presentando un reclamo el cual deberá ser tramitado mediante solicitud escrita que contenga los siguientes datos: i) Identificación del Titular, ii) Descripción de los hechos que dan lugar al reclamo, iii) Dirección de correspondencia del Titular, iv) Documentos soporte de la solicitud.
  • Si la solicitud es incompleta LA EMPRESA, o su área encargada requerirá al interesado para que aporte los documentos adicionales, dentro de los cinco (5) días siguientes a la recepción del reclamo. El interesado tendrá hasta sesenta (60) días para dar respuesta a la información requerida, en caso de no dar respuesta se entenderá que ha desistido del reclamo.
  • Una vez recibido el reclamo, se deberá incluir, dentro de los dos (2) días siguientes a la recepción del mismo, en la base de datos respectiva una nota que establezca que existe un reclamo en curso.
  • El reclamo deberá ser atendido dentro de los quince días hábiles siguientes a la recepción del mismo. En caso de no ser posible atenderlo en ese término, se informará al interesado, y se informarán las razones de la demora, y se dará respuesta en un término de máximo ocho (8) días.
  • El ejercicio de los derechos de los Titulares podrá realizarse en cualquier momento. A los fines de consulta de sus Datos Personales, los mismos se proporcionarán de forma gratuita, en los términos del Decreto 1377 de 2013.

 

Ésta Política, comenzará a regir a partir del  26 de julio de 2013.

 

Cordialmente,
 


CENTRALES ELECTRICAS DEL CAUCA S.A. EMPRESA DE SERVICIOS PUBLICOS

NIT  891.500.025 – 2