GÓMEZ & GUTIÉRREZ ABOGADOS fue la oficina de abogados encargada de implementar el sistema de protección de datos personales en la empresa LABORATORIO DE PATOLOGÍA Y CITOLOGÍA – CITOSALUD S.A.S y aclara que los documentos que hacen parte del mismo se desarrollaron atendiendo las necesidades específicas de la compañía, su estructura organizacional, la naturaleza de los datos personales tratados, su objeto social y demás particularidades; razón por la cual estos documentos no podrán ser utilizados en la implementación de un sistema de protección de datos personales de otra compañía, so pena de vulnerar los estándares y requisitos establecidos Ley 1581 del 2012 y sus disposiciones reglamentarias.

El artículo 15 de la Constitución Política de Colombia consagra el derecho que tienen todas las personas a conocer, actualizar y rectificar la información que sobre ellas reposa en bancos de datos, ficheros o archivos de entidades públicas y privadas. Este derecho ha sido desarrollado por la jurisprudencia de la Corte Constitucional en el sentido que, aunado a las anteriores prerrogativas, el titular de los datos personales tiene derecho a solicitar la supresión de sus datos, la revocatoria de la autorización y la oposición a determinado tratamiento.

En cumplimiento del anterior mandato constitucional, el congreso de la República expidió la Ley Estatutaria de Protección de Datos Personales, Ley 1581 del 2012, a través de la cual desarrolla el derecho fundamental de habeas data.

La presente Política General de Tratamiento de Datos Personales se aplicará como el desarrollo normativo, al interior de la empresa, de las disposiciones legales y reglamentarias que rigen el tratamiento y protección de datos personales en Colombia, en consecuencia constituirá para los directivos, empleados, contratistas, titulares de los datos personales y cualquier otra persona natural que tenga relación directa o indirecta con la empresa, el criterio general para el tratamiento de los datos que se encuentren incluidos en las bases de datos, ficheros y archivos de la compañía.

La presente política constituye el marco general para el desarrollo de las políticas internas, protocolos, auditorias y procedimientos que permitan cumplir efectivamente los estándares de protección de datos personales exigidos por el ordenamiento jurídico colombiano. En consecuencia, las estipulaciones aquí consagradas son de estricto y obligatorio cumplimiento por parte CITOSALUD, su gerente, accionistas, directivos, empleados, contratistas, proveedores y cualquier persona que tenga relación directa o indirecta con ésta.

Los principios que determinan el tratamiento de datos personales que hace CITOSALUD S.A.S y que permitirán la aplicación e interpretación armónica de las disposiciones normativas que regulan la protección de datos personales en Colombia son:

• a) PRINCIPIO DE LEGALIDAD: el tratamiento de datos personales, es una actividad reglada que debe sujetarse a lo establecido en las disposiciones constitucionales, legales y reglamentarias, en especial a lo establecido en la Ley 1581 de 2012 y sus disposiciones reglamentarias.
• b) PRINCIPIO DE FINALIDAD: el tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, a través de la cual CITOSALUD S.A.S desarrolla su objeto social empresarial y la cual debe ser informada al titular de los datos personales.
• c) PRINCIPIO DE LIBERTAD: el tratamiento de datos personales sólo puede llevarse a cabo, con el consentimiento, previo, expreso, informado y suficiente de los titulares de los datos personales. Éstos no podrán ser obtenidos, tratados o divulgados sin previa autorización o en ausencia de mandato legal o judicial que releve el consentimiento.
• d) PRINCIPIO DE VERACIDAD O CALIDAD: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Está prohibido a los empleados y contratistas de CITOSALUD S.A.S el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
• e) PRINCIPIO DE TRANSPARENCIA: en el tratamiento de datos personales debe garantizarse el derecho del titular a obtener del responsable o encargado del tratamiento, en cualquier momento y sin más restricciones de las establecidas en el ordenamiento jurídico colombiano, información acerca de sus datos personales, el tratamiento que se le han dado y cualquier otra información directamente relacionada con estos y que sea solicitada por el titular o las personas legalmente habilitadas.
• f) PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA: el tratamiento de datos personales se debe sujetar a los límites que se derivan de su naturaleza, así como de las disposiciones constitucionales y legales. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la Ley 1581 del 2012.
• g) PRINCIPIO DE SEGURIDAD: la información sujeta a tratamiento por el responsable o encargado, se deberá efectuar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• h) PRINCIPIO DE CONFIDENCIALIDAD: todas las personas que intervengan en el tratamiento de datos personales, que no tengan la naturaleza de públicos, están obligadas a garantizar su reserva, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas, en los términos de la Ley 1581 del 2012.

CITOSALUD S.A.S realizará el tratamiento de los datos personales incluidos en sus bases de datos, con el fin de desarrollar su objeto social, cuya actividad principal es la prestación de servicios médicos sin intermediación.

El tratamiento de los datos personales por parte de CITOSALUD S.A.S se hará a partir de la recolección y almacenamiento en bases de datos y el uso en correspondencia con las finalidades señaladas en el acto de autorización. Para su registro, uso, consulta, modificación, supresión o cualquier otra operación relacionada con éstos, CITOSALUD S.A.S garantizará las medidas de seguridad necesarias para el reconocimiento y respeto de los derechos de sus titulares.

El uso de los datos personales que hace la compañía es el propio de las gestiones administrativas y de la prestación de los servicios de salud que constituyen el objeto social de CITOSALUD.

Las finalidades del tratamiento de datos personales que hace la empresa, atendiendo a la naturaleza de los datos y a sus titulares, son:

• a) Registrar, controlar y gestionar el acceso de personas a las instalaciones físicas de la empresa, disminuyendo con ello riesgos a la seguridad del personal y la protección a bienes e instalaciones de la empresa.
• b) Gestionar el cumplimiento de las obligaciones societarias frente a los órganos internos de la sociedad, frente a terceros y frente a las autoridades administrativas y judiciales.
• c) Establecer, controlar y verificar el desarrollo de los procesos y actividades adelantadas por la empresa.
• d) Cumplir las obligaciones constitucionales, legales y contractuales, en desarrollo del objeto social empresarial.
• e) Gestionar las denuncias, comentarios, quejas y reclamos que interpongan clientes, proveedores o terceros con relación directa e indirecta con CITOSALUD S.A.S, con el propósito de establecer criterios de responsabilidad empresarial, corregir y anular las malas prácticas empresariales que afecten la ética y transparencia corporativa.
• f) Soportar el desarrollo de gestión, operaciones y procesos de la empresa a través de las herramientas y aplicaciones informáticas.
• g) Evaluar el perfil laboral de los aspirantes con miras a la selección y vinculación de sus empleados, supliendo las vacantes o requerimientos de personal.
• h) Establecer registro, contacto y comunicación de clientes, empleados, proveedores y personas de interés para el desarrollo del objeto social empresarial.
• i) Soportar documentalmente las actuaciones administrativas o judiciales que se adelanten por parte de CITOSALUD S.A.S
• j) Enviar cotizaciones, propuestas técnicas y económicas, portafolio de servicios y cualquier otro documento tendiente a celebración de relaciones contractuales de la IPS.
• k) Envío de mercadeo, investigación, información estadística, y cualquier otra relevante que permita una comunicación efectiva con sus empleados, clientes, proveedores, y cualquier persona con la que tenga relación directa o indirecta.
• l) Consulta de comportamiento financiero y crediticio, así como el consecuente reporte a las centrales de información en caso de incumplimiento de las obligaciones de carácter pecuniario adquiridas con la IPS.
• m) Procesamiento contable, así como el de pagos y cobros por los servicios contratados por la empresa.
• n) Recepcionar, tramitar y resolver los procedimientos de habeas data.
• o) Cumplir cualquier requerimiento u orden de autoridades administrativas o judiciales en ejercicio de sus funciones.
• p) Transferencia o transmisión de los datos, cuando esto sea necesario y se tenga la autorización expresa para el efecto.
• q) Gestión administrativa de la empresa.
• r) Gestión de cobros y pagos a cargo y en favor de la empresa.
• s) Gestión de facturación.
• t) Gestión de proveedores.
• u) Gestión fiscal y contable de la sociedad.
• v) Gestión del talento humano de la compañía.
• w) Gestión de la relación laboral y el bienestar social de los empleados.
• x) Otras actividades acordes y necesarias en desarrollo del objeto social de la empresa.

CITOSALUD S.A.S garantiza a los titulares de los datos personales objeto de tratamiento por parte de la empresa, en todo momento, el respeto de sus derechos y prerrogativas consagradas en el ordenamiento jurídico y en especial los siguientes:

• a) Conocer, actualizar y rectificar sus datos personales frente a CITOSALUD S.A.S o los eventuales encargados del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado a través del presente u otro documento. Este derecho deberá ejercerse por parte del titular del dato personal a través de los procedimientos de protección de datos personales regulados en la Ley 1581 del 2012 y el Decreto 1074 del 2015.
• b) Solicitar prueba de la autorización otorgada a CITOSALUD S.A.S para el tratamiento de sus datos personales.
• c) Ser informado por CITOSALUD S.A.S o los encargados del tratamiento, previa solicitud elevada por el titular, del uso que se les ha dado a sus datos personales.
• d) Presentar ante la Superintendencia de Industria y Comercio quejas contra CITOSALUD S.A.S o los encargados del tratamiento, por infracciones a lo dispuesto en la Ley 1581 del 2012 y demás disposiciones que la modifiquen, adicionen, complementen y reglamente.
• e) Revocar la autorización y/o solicitar la supresión de los datos personales cuando en su tratamiento no se respeten los principios, derechos y garantías constitucionales o legales establecidas en el ordenamiento jurídico. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio determine que CITOSALUD S.A.S o los encargados han incurrido en conductas contrarias a la Constitución, la Ley 1581 del 2012 o sus decretos reglamentarios. No obstante, de conformidad con lo señalado por la jurisprudencia constitucional, la supresión del dato personal y/o la revocatoria de la autorización de tratamiento no será procedente cuándo exista una obligación legal o contractual que imponga al titular el deber de permanecer en las bases de datos del responsable.
• f) Acceder en forma gratuita a sus datos personales que son objeto de tratamiento, salvo las restricciones establecidas en el ordenamiento jurídico en cuanto a la cantidad de solicitudes y su periodicidad.
• g) Responder de manera facultativa las preguntas relativas a los datos sensibles o sobre los datos de los niños, niñas y adolescentes.
• h) Tener garantía de que sus datos personales serán tratados por CITOSALUD S.A.S de conformidad con los criterios de confidencialidad, libertad o autodeterminación informática, seguridad, uso autorizado, circulación restringida y transparencia.
• i) En caso de existir cambios significativos en la política del tratamiento de datos personales, en la política interna de seguridad de la compañía o en cualquier otro documento de trascendencia dentro del sistema de protección de datos personales implementado por CITOSALUD S.A.S, así como en la identificación o datos de contacto de la empresa y en la finalidad del tratamiento de los datos recolectados y autorizados por el titular de los datos personales, que puedan afectar el contenido y finalidad de la autorización, CITOSALUD les comunicará tal situación y solicitará una nueva autorización que recoja las cambios efectuados.

Cuando CITOSALUD S.A.S, de conformidad con los presupuestos jurídicos señalados en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074, trate datos personales en calidad de responsable, le será exigible el cumplimiento de las siguientes obligaciones:

• a) Garantizar a los titulares de los datos personales objeto de tratamiento, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
• b) Solicitar y conservar, en las condiciones previstas en la Ley 1581 del 2012 y su decreto reglamentario, soporte de la autorización otorgada por el titular para el tratamiento de sus datos personales.
• c) Informar al titular de los datos personales sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
• d) Conservar los datos personales de los titulares bajo las condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• e) Garantizar que la información que se suministre a los encargados del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las medidas necesarias para que la información suministrada se mantenga actualizada.
• g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
• h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley.
• i) Exigir al encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
• j) Recibir, tramitar y resolver las consultas y reclamos formulados por los titulares de los datos personales, en los términos establecidos en la Ley 1581 del 2012, sus disposiciones reglamentarias y el manual de procedimientos de protección de datos personales adoptado por CITOSALUD S.A.S
• k) Adoptar una política de seguridad y un manual de procedimientos de protección de datos personales, para garantizar el adecuado cumplimiento de las obligaciones señaladas en la Ley y en especial para la atención de consultas y reclamos por parte de los titulares.
• l) Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
• m) Informar, a solicitud del titular, sobre el uso dado a sus datos personales.
• n) Informar a la Superintendencia de Industria y Comercio, como Autoridad Nacional de Protección de Datos Personales, cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
• o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

CITOSALUD S.A.S, de conformidad con los presupuestos jurídicos señalados en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074, trata datos personales en calidad de encargado de distintas Empresas Prestadoras de Salud, Empresas Sociales del Estado, médicos particulares y demás profesionales de la salud que ejercen su profesión de manera independiente, y de otras personas naturales y jurídicas. En tal sentido y con relación a los datos que trata en calidad de encargado, le será exigible el cumplimiento de los deberes señalados en este numeral.

Así mismo, con ocasión de la transmisión de datos personales regulada por el Capítulo 25 del Decreto 1074 del 2015, CITOSALUD S.A.S exigirá a sus contratistas, encargados del tratamiento de los datos personales, que además de cumplir con las obligaciones y requisitos establecidos en la Ley 1581 del 2012 para su tratamiento, cumpla especialmente los siguientes deberes:

• a) Garantizar a los titulares de los datos personales objeto de tratamiento por parte de CITOSALUD S.A.S en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
• b) Conservar los datos personales bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• c) Realizar oportunamente la actualización, rectificación o supresión de los datos personales, en los términos señalados en la Ley 1581 del 2012.
• d) Actualizar la información reportada por el responsable dentro de los cinco (5) días hábiles contados a partir de su recibo.
• e) Recibir, tramitar y resolver las consultas y reclamos formulados por los titulares de los datos personales, en los términos señalados en la Ley 1581 del 2012, cuando el objeto o motivo del procedimiento de protección de datos personales se enmarque en el tratamiento que ha hecho el encargado. En el evento en que el objeto o motivo del procedimiento de protección de datos personales se enmarque en el tratamiento hecho por el responsable, deberá remitirlo a éste en el término acordado en el contrato de transmisión de datos personales.
• f) Adoptar una política de seguridad y un manual de procedimientos de protección de datos personales, con el fin de garantizar el adecuado cumplimiento de las obligaciones señaladas en la Ley y en especial para la atención de consultas y reclamos.
• g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la Ley 1581 del 2012.
• h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• i) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• j) Permitir el acceso a la información únicamente a las personas previa y expresamente autorizadas.
• k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
• l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio como Autoridad Nacional de Protección de Datos Personales.

PARÁGRAFO. En el evento en que concurran las calidades de responsable y encargado del tratamiento en CITOSALUD S.A.S o las funciones que desarrollen la empresa no permitan establecer con claridad la condición en la que se actúa, le será exigible el cumplimiento de los deberes previstos para cada una de estas categorías.

CITOSALUD S.A.S, de conformidad con su tamaño empresarial, su capacidad institucional, su naturaleza jurídica, la cantidad de datos personales respecto de cuales realiza tratamiento y el tratamiento que efectúa, designa como área encargada de la adopción e implementación de ésta Política General de Tratamiento de Datos Personales y del sistema de protección de datos personales, a la DIRECCIÓN ADMINISTRATIVA, cuya empleada titular es MÓNICA ALEJANDRA LÓPEZ ARIAS.

Para el debido cumplimiento de las obligaciones consagradas en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074 del 2015, así como de las órdenes e instrucciones que la Superintendencia de Industria y Comercio haga en la materia, esta área contará con la asesoría jurídica de la oficina de abogados GÓMEZ & GUTIÉRREZ ABOGADOS, de conformidad con el contrato de prestación de servicios profesionales suscrito por las partes.

De conformidad con los lineamientos e instrucciones que la Superintendencia de Industria y Comercio ha impartido en la materia, esta área será denominada OFICIAL DE PROTECCIÓN DE DATOS PERSONALES.

Cuando en desarrollo de su objeto social o cuando para cumplir un mandato legal o contractual sea estrictamente necesario el tratamiento de datos personales de menores de edad, se deberá tener un tratamiento especial y cualificado, comprometiéndose a no poner en riesgo sus derechos fundamentales y usarlos únicamente cuando responda al interés superior de los menores.

El tratamiento de los datos personales de los menores de edad que hace CITOSALUD atiende a la garantía y prevalencia del interés general de éstos y a la materialización de sus derechos fundamentales, pues a través de los servicios médicos que presta la IPS se materializan, entre otros, los derechos fundamentales a la vida, a la salud y a la dignidad humana de estas personas.

La autorización previa, expresa e informada para el tratamiento de estos datos personales, será otorgada por su representante legal, previo concepto del menor, que será tenido en cuenta y valorado atendiendo a su nivel de madurez sobre el tema.

El tratamiento de los datos personales que haga CITOSALUD S.A.S deberá estar soportado en la autorización previa, expresa, informada y suficiente que obtenga del titular a través de los distintos medios señalados en el ordenamiento jurídico. Ésta deberá documentarse y estar a disposición del titular y de la Superintendencia de Industria y Comercio.

La documentación de la autorización, dependerá del sistema de recolección utilizado por la empresa según la naturaleza del dato personal a tratar y su titular. No obstante, por regla general será a través de formato físico preestablecido por CITOSALUD S.A.S, adoptado e implementado por la compañía dentro del sistema general de protección de datos personales.

Cuando la finalidad del tratamiento de los datos personales varíe, deberá informarse al titular y obtenerse nueva autorización en correspondencia con la nueva finalidad.

CITOSALUD S.A.S ha implementado un sistema general de protección de datos personales que cumple con los estándares y requisitos exigidos por el ordenamiento jurídico para el tratamiento de esta información.

Los titulares de los datos personales podrán hacer valer sus derechos, a través de comunicación física dirigida a la Calle 64 # 24 – 27 Manizales – Caldas, a través del correo electrónico citosaludcalidad@gmail.com o a través de los formatos preestablecidos por la IPS y que encontrarán gratuitamente en nuestras instalaciones.

Las solicitudes que pretendan iniciar un procedimiento de protección de datos personales deberán cumplir con los requisitos establecidos en los artículos 14 y 15 de la Ley 1581 del 2012.

CITOSALUD S.A.S está facultada para modificar la presente política general de tratamiento de datos personales. Cualquier cambio sustancial será comunicado al titular de los datos personales a más tardar al momento de entrada en vigor de las nuevas políticas.

La presente política general de tratamiento de datos personales entra en vigor a partir del _____ de ________ del 2018.

La presente política está protegida por derechos de autor y su reproducción parcial o total está prohibida.