(Guia Institucional de 15 de janeiro de 2019)
Política de processamento de dados pessoais
Políticas e procedimentos que assegurem o correto cumprimento da Lei 1.581 de 2012, seus regulamentos complementares e, especialmente, para o atendimento de consultas e reclamações relacionadas à proteção de dados pessoais.
1. PROPÓSITO
Adote o manual interno de políticas e procedimentos que permitam garantir o cumprimento adequado da Lei 1.581 de 2012, seus regulamentos complementares e, especialmente, para o atendimento de consultas e reclamações relacionadas à proteção de dados pessoais.
2. ALCANCE
3. REFERÊNCIAS
- Constituição Política da Colômbia.
- Lei 1581 de 2012 pela qual são emitidas disposições gerais para a proteção de dados pessoais.
- Decreto 1.377 de 2013 pelo qual se regula parcialmente a Lei 1.581 de 2012.
- Circulares da Superintendência da Indústria e do Comércio.
- Política de Informação e Conhecimento da ISA e das suas empresas
4. DIRETRIZES
* Responsável pelo Tratamento de Dados Pessoais.
Nome: INTERNEXA S.A.
NIT: 811021654-9
Domicílio: Medellín
Endereço: Calle 12 sur 18 168
Telefone: 57 (4) 3171111
Site: www.internexa.com
E-mail: contactenos@internexa.com
O Responsável pelo Tratamento de Dados Pessoais é uma sociedade de economia mista, regida pela Lei 1341 de 2009, e no previsto nela pelas normas de direito privado.
* Declaração. Como prova do compromisso da gestão com uma cultura organizacional de respeito pela proteção de dados pessoais, são adotadas as diretrizes aplicáveis a toda a informação pessoal registada nas bases de dados do responsável pelo Tratamento de Dados Pessoais. Da mesma forma, essas diretrizes são de cumprimento obrigatório e rigoroso por parte do Responsável pelo Tratamento de Dados Pessoais, ou que inclua administradores e trabalhadores, que devem observá-las.
* Para os fins destas diretrizes, aceitam-se as definições contidas na Lei 1.581 de 2012 e seus decretos regulamentares ou os regulamentos que os modifiquem, acrescentem, substituam ou revoguem.
No entanto, para facilitar a compreensão dessas diretrizes, os seguintes conceitos são detalhados:
Dados pessoais: Qualquer informação vinculada ou que possa ser associada a uma ou várias pessoas físicas determinadas ou determináveis.
Banco de Dados: Conjunto organizado de dados pessoais.

Figura 1. Conceitos Básicos. Dados Pessoais
Proprietário: Pessoa singular a quem pertencem os dados pessoais.
Responsável pelo Tratamento de Dados Pessoais: É a empresa estabelecida nestas diretrizes.
Encarregado do Tratamento de Dados Pessoais: Pessoa singular ou coletiva, pública ou privada, que por si ou em associação com outras, efetue o Tratamento de dados pessoais por conta do Responsável pelo Tratamento (por exemplo: provedores, clientes, entre outros )

Figura 2. Conceitos Básicos. Atores: Titular, Responsável e Encarregado
- Tratamento: Qualquer operação ou conjunto de operações sobre dados pessoais ou bancos de dados, como coleta, armazenamento, uso, circulação ou exclusão, realizada pelo Responsável ou pelo Encarregado.
- Sobre a proteção de Dados Pessoais. Quando a lei se referir às políticas de tratamento de dados pessoais, será entendido a referência a este Guia; e especialmente, quando nas autorizações, registros, avisos, propostas comerciais, contratos, mensagens ou qualquer outro documento for feita referência à incorporação das políticas de processamento de dados, será entendido como feito nos seguintes termos:
- Finalidade do Tratamento. O Tratamento efetuado pelo Responsável com as informações pessoais, será tratado para o cumprimento das finalidades específicas para as quais o Titular forneceu os Dados Pessoais, no momento da autorização.

Figura 3. Conceitos Básicos. Tratamento de Dados Pessoais
Não obstante o anterior, em qualquer caso, os dados pessoais poderão ser recolhidos e tratados para as finalidades particulares de cada base de dados, de acordo com o disposto no Registo Nacional de Bases de Dados (RNBD) administrado pela Superintendência da Indústria e Comércio.
No entanto, entende-se que, com a autorização do Titular, o Responsável do Tratamento pode processar os dados para os seguintes fins:
- Cumprir com os regulamentos vigentes na Colômbia para Empresas de Serviços Públicos.
- Reconhecer o interesse legítimo do Titular dos Dados relativamente aos serviços públicos que presta nos termos da lei.
- Cumprir ou manter as obrigações legais ou contratuais adquiridas com acionistas, empregados, clientes, provedores e demais grupos de interesse e inclusive atendimento a perguntas, queixas e reinvidicações.
- Realizar gestão comercial e relacionamento com os grupos de interesse.
- Fornecer informação relacionada a campanhas, projetos, alertas, programas ou operações.
- Fornecer informação comercial, publicitária ou promocional, concursos e eventos, relativos a qualquer produto e/ou serviço.
- Entrar em contato com o titular para lhe solicitar informação ou opinião sobre os produtos ou serviços do Responsável.
- Realizar análise e/ou segmentação de mercado e/ou estatísticas.
- Apresentar serviços de valor agregado em relação às informações que gerencia de seus grupos de interesse.
- Transferir e transmitir, dentro ou fora da Colômbia, dados pessoais a empresas vinculadas economicamente ao Responsável do Tratamento ou com as quais estabeleça acordos comerciais legalmente permitidos.
- Transferir e transmitir, dentro ou fora da Colômbia, dados pessoais a terceiros quando for necessário para o cumprimento de obrigações contratuais, legais, para prestar um bom serviço ou quando por razões tecnológicas for indispensável para manter um bom serviço.
- Permitir o acesso a informações e dados pessoais aos auditores ou terceiros para a realização de processos de auditoria interna ou externa.
- Determinar os hábitos de uso, o endereço IP do dispositivo utilizado, a localização geográfica, a informação sobre os cookies do Titular, entre outros, derivados da entrada e/ou registo de dados pessoais nas plataformas digitais ou móveis do Responsável do tratamento, quando aplicável.
- Fornecer funções e serviços relacionados a gostos, localização e preferências.
- Vincular terceiros às atividades que realiza, como compartilhar uma notícia, um evento ou situação, comentá-la, enviá-la por e-mail a terceiros, indicando que é do seu agrado ou interesse para que os seus contatos/amigos a vejam nas redes sociais nas quais apareça o Titular; em operações internas, incluindo solução de problemas, análise de dados, pesquisa, desenvolvimento e melhoria do serviço.
- Transferir a informação dos Titulares como parte dos ativos, no caso de sua enajenação por parte do Responsável do Tratamento.
Autorização.
O Titular entende que a autorização poderá ser registrada em documento físico, eletrônico ou em qualquer outro formato que permita garantir sua consulta posterior, ou por meio de qualquer outro mecanismo técnico ou tecnológico.
Da mesma forma, a autorização poderá ser realizada mediante condutas inequívocas do Titular que permitam concluir razoavelmente que foi concedida.
Finalmente, o Titular aceita e declara saber que o Responsável pelo Tratamento pode fornecer esta informação às empresas vinculadas ou ao mesmo grupo empresarial, dentro e fora do território colombiano.
Entrega de dados pessoais às autoridades.
O Responsável do tratamento de Dados poderá fornecer a informação pessoal às autoridades, em virtude da exigência que seja feita.
Nesse evento, será verificada a legalidade do pedido, a pertinência dos dados solicitados em relação à finalidade expressa pela autoridade e documentada a entrega de informações pessoais, advertindo que a entrega é feita em virtude da exigência da autoridade e o dever de proteção por parte da pessoa que recebe a informação.
Tratamento de dados sensíveis.
O Responsável pelo Tratamento apenas recolherá dados pessoais sensíveis quando for necessário e pertinente para a sua atividade empresarial e adoptará medidas de segurança proporcionais à protecção deste tipo de dados. Entre os dados sensíveis encontramos os dados biométricos, incluindo imagens, fotografias, vídeos, vozes e/ou sons, impressões digitais, entre outros.
Atendendo à condição de infraestrutura crítica que deve suportar a prestação permanente e continuada de serviços públicos e que é objeto de segurança nacional, os Titulares são advertidos de que a autenticidade para a utilização de determinadas plataformas, redes ou acessos físicos ou virtuais, e a verificação da identidade dos Titulares, requer alguns dados sensíveis. Adicionalmente, entre os dados sensíveis encontram-se os que são recolhidos durante a participação em eventos organizados ou promovidos pelo Responsável pelo Tratamento, dentro ou fora das instalações ou em qualquer uma das atividades desenvolvidas por ocasião da relação entre o Titular e o Responsável do Tratamento. Assim, ao participar no evento, o Titular autoriza o tratamento dos seus dados para cumprimento das finalidades aqui estabelecidas.
Além disso, esta autorização inclui o uso dos direitos relativos à imagem ou imagens do Titular, para que possam ser incorporadas a qualquer tipo de trabalho, físico ou digital, eletrônico, óptico, magnético, em redes (Intranet e Extranet) , mensagens de dados ou similares, plataformas de comunicação e redes sociais e em geral para qualquer meio ou suporte conhecido ou que venha a ser conhecido no futuro, e especialmente, com a finalidade de que sejam utilizados para publicações internas ou externas do Responsável de Tratamento ou suas filiais.
Além do acima exposto, em relação aos dados sensíveis, aplica-se tudo o que está contido neste Guia, incluindo a finalidade do tratamento dos referidos dados, os direitos e o procedimento para o atendimento de consultas e reinvindicações.
* Tratamento de dados pessoais de crianças e adolescentes
É proibido o Tratamento de dados pessoais de crianças e adolescentes, exceto quando se tratar de dados de carácter público, nos termos da lei e quando o referido Tratamento cumpra os seguintes parâmetros e requisitos:
1. Que responda e respeite os interesses superiores das crianças e
2. Que seja assegurado o respeito aos seus direitos"
"Atendidos os requisitos anteriores, o representante legal da criança ou adolescente concederá autorização prévia para o exercício do direito do menor de ser ouvido, opinião que será valorizada levando-se em conta a maturidade, autonomia e capacidade de compreensão do assunto.
O responsável pelo tratamento e o encarregado do tratamento dos dados pessoais de crianças e adolescentes devem assegurar a sua correta utilização. Para tanto, devem ser aplicados os princípios e obrigações estabelecidos na Lei 1.581 de 2012 e no decreto regulamentar 1.377 de 2013 e as normas que os modifiquem ou adicionem."""
Direitos dos Titulares.
O Titular dos Dados Pessoais tem os direitos consagrados no artigo 8 da Lei 1581 de 2012 que, em geral, são descritos a seguir:1. Acessar gratuitamente aos dados pessoais objeto do Tratamento.
2. Conhecer, atualizar e retificar os seus dados pessoais perante o Responsável do Tratamento ou encarregados do Tratamento.
3. Solicitar comprovação da autorização concedida, exceto quando expressamente é excetuada como requisito para o Tratamento, de acordo com o disposto no artigo 10 da Lei 1.581.
4. Ser informado pelo Responsável do Tratamento ou pelo Encarregado do Tratamento, prévia solicitação, sobre a utilização que tem sido dada aos seus dados pessoais.
5. Apresentar à Superintendência da Indústria e Comércio (SIC) denúncias de violação do disposto na regulamentação em vigor.
6. Revogar a autorização e/ou solicitar a eliminação do dado, desde que não exista dever legal ou contratual que impeça a sua eliminação.
7. Abster-se de responder a perguntas sobre dados sensíveis. As respostas que tratem de dados sensíveis ou dados de crianças e adolescentes serão opcionais
Atenção a perguntas, queixas e reinvindicações para a Proteção de Dados Pessoais.
O Encarregado é responsável pela atenção a perguntas, consultas e reinvindicações, perante as quais o Titular da informação pode exercer seus direitos de conhecer, atualizar, retificar e excluir os dados e revogar a autorização. O Encarregado pode ser contatado por comunicação escrita remetida para ""Contate-nos"" disponível no site www.internexa.com, ou através do envio de correspondência escrita dirigida a:
INTERNEXA S.A.
Comite de Ética
Endereço Rua 12 Sur No. 18-168 (Bloco 5, andar 2)
Medellín, Antioquia
Colômbia
Fone: 57(4) 317 1111
Procedimento para o exercício dos direitos.
o cumprimento das normas sobre proteção de dados pessoais, o Responsável pelo Tratamento apresenta o procedimento e requisitos mínimos para o exercício dos direitos dos Titulares.
Para o arquivamento e atendimento de sua solicitação, pedimos que forneça as seguintes informações:
Nome completo e sobrenome; informações de contato (endereço físico e/ou eletrônico e telefones de contato); meios para receber uma resposta ao seu pedido; motivo(s)/fato(s) que deram origem à reclamação com uma breve descrição do direito que pretende exercer (conhecer, atualizar, retificar, solicitar comprovativo da autorização concedida, revogá-la, eliminar, aceder à informação); assinatura (se aplicável) e número de identificação."
O procedimento para consultas e reinvindicações é apresentado a seguir:
O Titular pode consultar gratuitamente os seus dados pessoais: (i) pelo menos uma vez em cada mês civil e (ii) sempre que existirem alterações substanciais às políticas de tratamento da informação que conduzam a novas consultas.
Para consultas cuja periodicidade seja superior a uma por mês civil, o Responsável do Tratamento poderá cobrar do Titular os custos de envio, reprodução e, se for o caso, certificação de documentos. Os custos de reprodução não podem ser superiores aos custos de recuperação do material correspondente.
O Responsável do Tratamento responderá às consultas feitas pelo Titular das informações ou seus sucessores no prazo máximo de dez (10) dias úteis a partir da data de recebimento das mesmas. Quando não for possível responder à consulta no referido prazo, o interessado será informado, informando o motivo da demora e indicando a data em que a consulta será encaminhada, que em nenhum caso poderá exceder 05 (cinco) dias úteis dias após o término do primeiro prazo.
O Titular ou seus sucessores que considerem que as informações contidas em um banco de dados devem ser corrigidas, atualizadas ou excluídas, ou quando perceberem a suposta violação de qualquer um dos deveres contidos na Lei 1581 de 2012 ou nos regulamentos que regulam ou modificam pode apresentar uma reclamação ao Responsável do Tratamento ou ao Encarregado do Tratamento, que será processada de acordo com as seguintes regras:
El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario y (ii) cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información que motiven nuevas consultas.
1. A reclamação será formulada mediante pedido dirigido ao Responsável do Tratamento ou ao Encarregado do Tratamento, com a identificação do Titular, a descrição dos fatos que deram origem à reclamação, o seu endereço e acompanhando os documentos que pretende afirmar. Caso a reclamação esteja incompleta, o interessado deverá, no prazo de (05) dias contados do recebimento da reclamação, corrigir as falhas. Após (02) meses contados da data da solicitação, sem que o solicitante apresente as informações solicitadas, será entendido que ele desistiu do Caso. Em caso de que o Responsável do Tratamento não seja competente para resolver a reclamação, ele o transferirá à pessoa indicada no prazo máximo de (02) dias úteis e comunicará ao interessado a situação.
2. Recebida a reinvindicação completa, será incluída no banco de dados que contém as informações da reinvindicação uma legenda que diga "reinvindicação em andamento" e o motivo dela, no prazo máximo de (02) dias úteis . A referida legenda deve ser mantida até que a reinvindicação exista.
3. O prazo máximo para atendimento da reinvindicação será de (15) dias úteis a partir do dia seguinte ao do recebimento. Quando não for possível resolver a reinvindicação no referido prazo, o interessado será informado sobre os motivos da demora e a data em que sua reinvindicação será atendida, que em nenhum caso poderá exceder (08) dias úteis após o vencimento do primeiro mandato.
4. O pedido de eliminação da informação e a revogação da autorização não procederão quando o Titular tiver obrigação legal ou contratual de permanecer na base de dados. Caso o respectivo prazo legal tenha expirado, o Responsável do Tratamento e/ou o Encarregado do Tratamento, conforme o caso, não tenham eliminado os dados pessoais, o Titular terá o direito de solicitar à Superintendência de Indústria e Comércio que ordene a revogação da autorização e/ou exclusão de dados pessoais.
5. Procedimento de 4. O pedido perante a Superintendência de Indústria e Comércio. O Titular ou seu sucessor só poderá apresentar reinvindicação à Superintendência de Indústria e Comércio uma vez esgotado o processo de consulta ou reinvindicação perante o Responsável do Tratamento, de acordo com o procedimento anteriormente mencionado.
6. Veracidade das informações. Os titulares dos dados pessoais têm o dever de fornecer ao Responsável pelo Tratamento informações pessoais verdadeiras de forma a poder cumprir a finalidade para a qual são recolhidas as informações do titular dos dados. O Responsável pelo Tratamento presume a veracidade das informações fornecidas pelos Titulares e não assumirá a obrigação de verificar a sua identidade, nem a veracidade, vigência, suficiência e autenticidade dos dados que cada um deles faculte. Portanto, não assumirão responsabilidade por danos e/ou prejuízos de qualquer natureza que puderem advir da falta de veracidade, vigência, suficiência ou autenticidade das informações e dados pessoais, inclusive danos e prejuízos que possam decorrer de homonímia ou falsificação de identidade.
7. Validade. O Titular aceita e reconhece que a autorização para o tratamento dos dados será válida enquanto o Responsável do Tratamento exercer as atividades pertinentes do seu objeto social e/ou quando o titular dos dados decidir revogar a autorização sobre os mesmos.
Portanto, as bases de dados nas quais os dados pessoais serão cadastrados terão validade igual ao tempo em que as informações forem mantidas e utilizadas para as finalidades descritas neste Guia. Em todo o caso, é necessário dispor dos dados para o cumprimento das obrigações legais e/ou contratuais a cargo do Responsável do Tratamento, nomeadamente em matéria contabilística, fiscal e tributária ou durante todo o tempo necessário ao cumprimento das disposições aplicáveis no assunto em questão, os aspectos administrativos, contábeis, fiscais, legais e históricos das informações, ou em O Responsável do Tratamento pode alterar unilateralmente os termos deste Guia, pelo que se compromete a publicar qualquer modificação, sem prejuízo dos direitos dos Titulares.
- Encarregado do Tartamento. O Encarregado do Tratamento é designado pelo Responsável de Dados para assegurar a aplicação efetiva deste Guia e para cumprir os regulamentos de proteção de dados pessoais, bem como a implementação de boas práticas de gestão de dados pessoais pelo Encarregado do Tratamento e em particular, se encarregará de processar as solicitações dos Titulares, para o exercício dos direitos previstos na Lei 1.581 de 2012 e demais normas correspondentes.
- Segurança da informação. Tendo em conta que os dados pessoais são informações e ativos intangíveis, entende-se que a eles se aplicam as políticas e procedimentos do Gestor de Dados nestas matérias.
- Validade. Este Guia Institucional é válido a partir de sua emissão e assinatura.
JAIME ALBERTO PELAEZ ESPINOSA
Gerente General