MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL ADECUADO TRATAMIENTO
DE LOS DATOS PERSONALES POR PARTE DE BANCALIMENTOS SAS NIT 900939037-8
La Empresa BANCALIMENTOS SAS BIC, En adelante LA EMPRESA, identificada con NIT
900939.037-8, ubicada en la Cra.5 #3 A 7 de Fomeque-Cundinamarca, es una empresa privada,
comprometida y responsable con la seguridad y confidencialidad de los datos personales almacenados
en sus bases de datos o en las que le confían terceras personas. Para ofrecer medidas de seguridad en
la protección y tratamiento de los mismos y mitigar el riesgo de acceso o uso indebido, fraudulento o no
autorizado, ha adoptado el siguiente MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA
EL ADECUADO TRATAMIENTO DE DATOS PERSONALES,
el cual es de obligatorio cumplimiento para todos sus empleados, contratistas y en general
terceros que tengan cualquier vínculo con la empresa y que puedan llegar a tener acceso a las
bases de datos que ésta almacena.
I. DEFINICIONES
LA EMPRESA, tiene en cuenta las siguientes definiciones en el tratamiento de datos personales:
● Datos personales: Cualquier información vinculada o que pueda asociarse a una o varias
personas (El Titular), por ejemplo, nombre, identificación, dirección, estrato, profesión, etc.
● Datos sensibles: Se entiende por datos sensibles aquellos que se refieren a la intimidad del
Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen
el origen racial, la orientación política, las convicciones religiosas, así como los datos
relativos a la salud, a la vida sexual y los datos biométricos.
● Base de datos: Conjunto de datos personales organizados por LA EMPRESA para el
desarrollo de determinada finalidad, por ejemplo base de datos de empleados, base de datos
de proveedores, base de datos de donantes, base de datos de instituciones atendidas, etc.
● Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
● Tratamiento: Operaciones o actividades que se pueden realizar con los datos personales,
entre las cuales se encuentran: la recolección, almacenamiento, uso, copia, supresión, etc.
● Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, decida sobre la base de datos o el Tratamiento de los datos.
Los trabajadores y contratistas de LA EMPRESA deben conocer su POLÍTICA DE PRIVACIDAD Y
PROTECCIÓN DE DATOS PERSONALES, en adelante “LA POLÍTICA”, y, teniendo en cuenta que
en el desarrollo de su cargo dentro de la institución, o del servicio prestado a la misma, podrían llegar a
tener acceso a sus bases de datos o a algunos datos personales contenidos en éstas, deberán dar
cumplimiento, además de la mencionada política, a las siguientes obligaciones, las cuales podrán ser
modificadas, complementadas o cambiadas por disposiciones legales o por direccionamiento de LA
EMPRESA, de lo cual ésta les informará oportunamente:
a. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
b. Administrar la información y el acceso a la misma de acuerdo a las finalidades establecidas en
LA POLÍTICA.
c. Abstenerse del uso, gestión, cesión, comunicación, almacenamiento y cualquier otro
tratamiento de datos personales sin autorización del Titular del dato personal y/o de la empresa.
d. Abstenerse de dar a conocer a terceros no autorizados información alguna relacionada con los datos
personales almacenados por LA EMPRESA y con la información confidencial de la entidad.
e. No realizar copias de la información almacenada, en archivos alternos en los computadores, discos
duros, memorias externas, etc.
f. Cuando el empleado o contratista sea el encargado de recopilar datos personales en ejercicio de sus
funciones, deberá solicitar la respectiva autorización por parte del Titular, o su representante, para el
tratamiento de sus datos personales y conservar copia de dicha autorización en el archivo físico y/o
electrónico que disponga LA EMPRESA para ello.
g. Informar debidamente al Titular sobre la finalidad de la recolección de sus datos y los derechos que le
asisten por virtud de la autorización otorgada.
h. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de los derechos asociados a sus
datos personales, cuando dicho ejercicio se dé a través del empleado o contratista.
i. Dar respuesta a las consultas, solicitudes y/o reclamos que sean presentados por los Titulares de los
datos, conforme la Sección 8 del presente Manual, “PROCEDIMIENTOS PARA LA ATENCIÓN DE
CONSULTAS Y RECLAMOS DE LOS TITULARES DE LA INFORMACIÓN”.
j. Informar a los Titulares cualquier cambio o modificación a LA POLÍTICA, por parte del empleado y/o
contratista que sea designado para ello por LA EMPRESA
k. Informar las actualizaciones que se requieran realizar al Registro Nacional de Bases de Datos de la
Superintendencia de Industria y Comercio, por cambios que se presenten en alguno o varios datos de
las bases de datos registradas, a la persona designada para manejar dicho registro por parte de LA
EMPRESA
Cumplir las instrucciones y órdenes que imparta la Superintendencia de Industria y Comercio, las cuales
serán informadas oportunamente por LA EMPRESA, quien designará a la o las personas que deban
implementar tales órdenes o instrucciones.
Atender de manera oportuna los requerimientos de la Superintendencia de Industria y Comercio
relacionados con bases de datos o los datos personales almacenados en éstas, para lo cual LA
EMPRESA nombrará un encargado de tramitar y responder tales requerimientos.
El incumplimiento por parte de los trabajadores de LA EMPRESA, de las obligaciones establecidas en el
presente Manual, será considerado como falta grave que podrá dar lugar a la terminación del contrato
de trabajo, además de encontrarse incurso en el delito de “violación de datos personales” contenido en
el artículo 269F del Código Penal colombiano.
d. Abstenerse de dar a conocer a terceros no autorizados información alguna relacionada con los
datos personales almacenados por LA EMPRESA y con la información confidencial de la
entidad.
e. No realizar copias de la información almacenada, en archivos alternos en los computadores,
discos duros, memorias externas, etc.
f. Cuando el empleado o contratista sea el encargado de recopilar datos personales en ejercicio
de sus funciones, deberá solicitar la respectiva autorización por parte del Titular, o su
representante, para el tratamiento de sus datos personales y conservar copia de dicha
autorización en el archivo físico y/o electrónico que disponga LA EMPRESA para ello.
g. Informar debidamente al Titular sobre la finalidad de la recolección de sus datos y los derechos
que le asisten por virtud de la autorización otorgada.
h. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de los derechos asociados a
sus datos personales, cuando dicho ejercicio se dé a través del empleado o contratista.
i. Dar respuesta a las consultas, solicitudes y/o reclamos que sean presentados por los Titulares
de los datos, conforme la Sección 8 del presente Manual, “PROCEDIMIENTOS PARA LA
ATENCIÓN DE CONSULTAS Y RECLAMOS DE LOS TITULARES DE LA INFORMACIÓN”.
j. Informar a los Titulares cualquier cambio o modificación a LA POLÍTICA, por parte del
empleado y/o contratista que sea designado para ello por LA EMPRESA
k. Informar las actualizaciones que se requieran realizar al Registro Nacional de Bases de Datos
de la Superintendencia de Industria y Comercio, por cambios que se presenten en alguno o
varios datos de las bases de datos registradas, a la persona designada para manejar dicho
registro por parte de LA EMPRESA
l. Cumplir las instrucciones y órdenes que imparta la Superintendencia de Industria y Comercio,
las cuales serán informadas oportunamente por LA EMPRESA, quien designará a la o las
personas que deban implementar tales órdenes o instrucciones.
m. Atender de manera oportuna los requerimientos de la Superintendencia de Industria y Comercio
relacionados con bases de datos o los datos personales almacenados en éstas, para lo cual LA
EMPRESA nombrará un encargado de tramitar y responder tales requerimientos.
El incumplimiento por parte de los trabajadores de LA EMPRESA, de las obligaciones establecidas en
el presente Manual, será considerado como falta grave que podrá dar lugar a la terminación del contrato
de trabajo, además de encontrarse incurso en el delito de “violación de datos personales” contenido en el
artículo 269F del Código Penal colombiano.
El incumplimiento por parte de los contratistas de LA EMPRESA será causal de incumplimiento del
contrato suscrito con ésta y podrá dar lugar a la terminación del mismo, con las penalidades previstas
en él, además de la indemnización de los perjuicios que se causen por el incumplimiento.
Adicionalmente, los contratistas que incumplan las reglas contenidas en el presente Manual y/o de las
normas contenidas en la Ley 1581 de 2012, también incurrirán en el delito previsto en el artículo 269F
del Código Penal.
IV. MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN ALMACENADA EN MEDIOS
AUTOMATIZADOS
Los trabajadores y contratistas que dentro del ejercicio de su función tengan acceso a las bases de
datos de LA EMPRESA deberán dar cumplimiento a las siguientes instrucciones
1. Deberán firmar un acuerdo, contrato, convenio y/o cláusula de confidencialidad.
2. El área de sistemas le asignará a cada empleado un usuario y contraseña de acceso al equipo
asignado por LA EMPRESA, al correo electrónico y demás cuentas o documentos utilizados
para el desarrollo de su cargo, la cual es personal e intransferible y tiene seguridades
informáticas adicionales como antivirus y trabajo en red que evita que una persona descargue
bases de datos y las traslade sin autorización.
3. El área de sistemas realizará una actualización periódica del antivirus en los servidores de
todas las estaciones de trabajo y caso de omitirse es deber del empleado solicitarla, a fin de
proteger la información almacenada en su servidor, respecto de la cual tiene un deber de
custodia.
4. El usuario y contraseña asignada se deberá cambiar de manera periódica, de acuerdo a las
indicaciones del área de sistemas.
5. El responsable del equipo asignado por LA EMPRESA
6. deberá realizar un uso adecuado y responsable del mismo y por lo tanto no debe utilizar
software no autorizados por LA EMPRESA
7. El área de sistemas realizará copias de seguridad de la información de LA EMPRESA, diaria,
semanal, mensual, trimestral, anual, con periodos de retención entre 3 días y 5 años.
8. Una vez finalizado el vínculo laboral de cualquier trabajador con LA EMPRESA el área
encargada de sistemas procederá al cambio inmediato de los diferentes usuarios y contraseñas
utilizados por el trabajador cuyo vínculo laboral terminó.
9. Para aquellos empleados que manejen USB empresariales o cualquier otro dispositivo
extraíble, no es permitido guardar en ellas información que pertenezca a los donantes,
instituciones beneficiarias, proveedores, empleados o en general cualquier información de la
empresa y sacar el dispositivo, con esta información, fuera de las instalaciones de esta.
10. Ningún empleado podrá poner a circular por fuera de la empresa, por ningún medio, conocido o
por conocer, información que sea propiedad de LA EMPRESA.
11. Ningún empleado podrá sustraer información de LA EMPRESA, a no ser que obtenga
autorización previa del coordinador de Proceso, o en última instancia del Director Ejecutivo.
V. MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN ALMACENADA EN MEDIOS FÍSICOS
Todos los documentos físicos que contengan información de los Titulares de los datos personales
deberán ser custodiados por la persona encargada dentro de LA EMPRESA y se dispondrá de un
archivo electrónico y un archivo físico con llave que permita su almacenamiento seguro.
VI. GESTIÓN DE INCIDENTES DE LA SEGURIDAD
En el evento de presentarse cualquier incidente o vulneración a la seguridad de la
información se procederá de la siguiente manera:
1. Se deberá informar al coordinador inmediato o al director ejecutivo en un plazo máximo
de 2 horas de conocido el incidente.
2. El coordinador informará a la dirección y al área encargada de sistemas de manera
inmediata, para que se tomen las medidas a que haya lugar, tales como
restablecimientos de usuarios y contraseñas.
3. Se deberá informar dentro de las 24 horas siguientes a la ocurrencia del incidente, en
los correos de dirección y coordinación el tipo de incidente y la Gestión de incidentes
propuesta.
4. Posteriormente tomarán las medidas necesarias para salvaguardar los derechos de los
Titulares de datos personales, y para que no se presente nuevamente tal situación, tales
como cambio de contraseñas y usuarios, investigación disciplinaria e imposición de
sanciones en caso de detectar algún responsable directo, borrado remoto de la
información en caso de pérdida o hurto de algún equipo, entre otras.
5. Se deberá informar a la autoridad encargada, o en su defecto, colocar el respectivo
denuncio ante la autoridad competente y realizar la respectiva actualización en el
Registro Nacional de Bases de Datos.
VII. DISPOSICIÓN FINAL DE LA INFORMACIÓN.
Todas las bases de datos de nuestros clientes/beneficiarios serán almacenadas en folder especial,
definido por categorías, en el área de archivo, debidamente organizadas y digitalizadas. No será
necesario mantener archivo físico.
El tiempo de retención física de la información será durante la existencia de los proyectos y deberá
tenerse información de aquellos colaboradores, operarios que están activos como de quienes están
inactivos o se han retirado porque en cualquier momento, cualquier autoridad o persona con derechos
especiales, podrá solicitar información a Bancalimentos,
Para bases de datos de beneficiarios o de donantes, proveedores u otros grupos de interés, se
mantendrá solo archivos digitales.
VIII. PROCEDIMIENTO PARA LA ATENCIÓN DE CONSULTAS Y RECLAMOS DE LOS
TITULARES DE LA INFORMACIÓN.
En el marco de la ley 1581 de 2012, los titulares de datos personales, podrán realizar dos tipos de
peticiones frente a los responsables y/o encargados del tratamiento de sus datos personales, los
cuales se recibirán y responderán de acuerdo a los procedimientos que se describen en este
documento.
1. PETICIONES Y PROCEDIMIENTO DE RESPUESTA.
1.1 CONSULTAS
Los Titulares, sus herederos o representantes podrán consultar la información personal del Titular que
repose en cualquiera de las bases de datos almacenados por LA EMPRESA, la cual suministrará la
información contenida en el registro individual o que esté vinculada con la identificación del Titular, de
acuerdo al procedimiento que a continuación se describe:
● CONTENIDO DE LA CONSULTA. Para efectos de dar una respuesta adecuada y oportuna a los
titulares, sus herederos o representantes, la consulta deberá contener mínimo los siguientes
requisitos:
a) La petición se deberá dirigir a LA EMPRESA
b) Contener la identificación del titular o su representante legal.
c) Realizar una descripción clara, precisa y detallada de los datos que desea
consultar
d) Dirección y/o correo electrónico de notificaciones.
● RESPUESTA A LA CONSULTA: La consulta será atendida en un término máximo de diez (10)
días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible
atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos
de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá
superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
1.2 RECLAMOS
El Titular, sus herederos o representante legales, que consideren que la información contenida en una
base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto
incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo, el
cual será resuelto bajo los términos y condiciones que se describen a continuación.
● CONTENIDO DEL RECLAMO: Para efectos de dar una respuesta adecuada y oportuna al
reclamo, éste deberá contener mínimo los siguientes requisitos:
a) El reclamo deberá estar dirigido a LA EMPRESA
b) Identificación del Titular.
c) Descripción de los hechos que dan lugar al reclamo.
d) Petición o solicitud.
e) Documentos que requiera hacer valer como prueba.
f) Dirección o correo electrónico de notificaciones.
● RESPUESTA AL RECLAMO: Si el reclamo resulta incompleto, se requerirá al interesado dentro
de los cinco (5) días calendario siguientes a la recepción del reclamo para que subsane las
fallas. Transcurridos dos (2) meses calendario desde la fecha del requerimiento, sin que el
solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga
«reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha
leyenda deberá mantenerse hasta que el reclamo sea decidido.
El término para atender el reclamo será de quince (15) días hábiles contados a partir del día
siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho
término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su
reclamo, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer
término.
2. RECEPCIÓN Y CANALES DE ATENCIÓN.
De acuerdo a lo establecido en la POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS
PERSONALES de la LA EMPRESA, las consultas y los reclamos que presenten los titulares de datos
personales se recepcionarán y responderán por medio de los siguientes canales de atención:
Dirección: Cra.5 #3 A 7 de Fomeque, Cundinamarca, Colombia.
Teléfono 30413177
E-mail: administrativa@bancodealimentos.co y comunicaciones@bancodealimentos.co
En caso de que quien reciba la petición, no sea competente para resolverla, dará traslado a quien
corresponda en un término máximo de dos (2) días calendario y en todo caso deberá dar respuesta al
titular de los datos personales, dentro del término señalado para reclamos y consultas según
corresponda.
3. QUEJAS ANTE LA SUPERINTENDENCIA
El Titular, sus herederos o su representante sólo podrá elevar queja ante la Superintendencia de
Industria una vez haya agotado el trámite de consulta o reclamo ante el responsable o encargado del
tratamiento.
El presente ‘MANUAL DE PROCEDIMIENTO INTERNO DE PROTECCIÓN DE DATOS
PERSONALES DE BANCALIMENTOS’ se publica el día 01 de septiembre de 2019 y empieza a regir
a partir del día de su publicación.
BANCALIMENTOS SAS BIC
NIT 900-939037-8
Portal Web www.bancodealimentos.co
Correo electrónico de contacto: administrativa@bancodealimentos.co y
comunicaciones@bancodealimentos.co
Teléfono: 30413177
Dirección: Cra.5 #3 A 7
Fomeque – Cundinamarca