Gestión y seguridad de la información en Processum Consultoría Institucional S.A.S

Última actualización: Enero 2022

1. Introducción

Processum Consultoría Institucional S.A.S ("PROCESSUM") reconoce que la información es un activo vital para el funcionamiento interno y prestación de sus servicios, por ello procura la seguridad de sus activos de información, incluyendo las Tecnologías de Información y Comunicaciones (TIC) que soportan la infraestructura de sus operaciones y continuidad del negocio.

En consecuencia, PROCESSUM ha adoptado mejores prácticas y ha establecido un conjunto de políticas, procesos y procedimientos, apoyados especialmente, en la norma ISO 27001:2013 e ISO 27002:2015, y, en la implementación de lineamientos para gestión de riesgos, con el objetivo de garantizar que los riesgos de seguridad de la información y los riesgos de ciberseguridad sean conocidos, asumidos, gestionados y mitigados de forma oportuna salvaguardando la confidencialidad, integridad y disponibilidad de la información.

Todos los empleados, contratistas, personal externo, proveedores, y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de PROCESSUM, deben ser informados y adoptar los lineamientos para la seguridad de la información y los documentos relacionados que correspondan. Quien los incumpla debe asumir las sanciones contractuales, legales y penales que correspondan. De esta manera, PROCESSUM se permite comunicar las Políticas generales para las gestión y seguridad de la información y su Política para la privacidad y protección de datos personales.


2. Políticas Generales

A. En PROCESSUM nos regimos por el principio del mínimo privilegio. Lo cual, significa que un usuario sólo tendrá acceso a aquella información estrictamente necesaria para desempeñar sus funciones en la entidad.
B. Todos los empleados y contratistas a los que se brinda acceso a información confidencial deben firmar un acuerdo de confidencialidad y no divulgación, antes de tener acceso a dicha información.
C. La asignación de privilegios y credenciales de acceso a personal nuevo está sujeto a la solicitud y aprobación del jefe inmediato.
D. El uso de servicios en la nube está permitido siempre y cuando esté autorizado por el líder del proceso y se cumpla con los acuerdos de confidencialidad, integridad y disponibilidad. Se verificará que el proveedor cumpla con los requerimientos de la entidad, normas y legislación que aplique.
E. El tratamiento de datos personales se realizará solo bajo consentimiento previo, expreso e informado del Titular.
F. Los usuarios de información de PROCESSUM deben:
   a. Usar la información de PROCESSUM únicamente para los propósitos del negocio autorizado y en cumplimiento de su labor.
   b. Respetar la confidencialidad de la información de PROCESSUM.
   c. No compartir perfiles de usuario, contraseñas, sesiones en estaciones de trabajo, documentos o cualquier tipo de información confidencial.
   d. No anotar y/o almacenar en lugares visibles las contraseñas de acceso a los sistemas.
   e. Ajustarse a las directrices de clasificación de la información.

3. Política para la privacidad y protección de datos personales

PROCESSUM busca garantizar la protección de los datos personales o de cualquier otro tipo de información que sea utilizada o repose en sus bases de datos y archivos, garantizando el derecho constitucional que tienen todas las personas naturales a conocer, actualizar y rectificar la información que se hubiera recogido sobre ellas en bases de datos o archivos. Todo esto en cumplimiento de lo establecido por el artículo 15 de la Constitución Política, la Ley 1266 de 2008, Ley 1581 de 2012 y demás decretos reglamentarios.
De conformidad con lo anterior, Processum adopta la presente política para el tratamiento de datos personales, la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el ejercicio de las actividades propias de la empresa en desarrollo de su objeto social, garantizando de esta manera el derecho constitucional de Habeas Data, la privacidad, la intimidad y el buen nombre en el tratamiento de los datos personales.



3.1 Responsable del tratamiento de datos personales

Entidad: Processum Consultoría Institucional SAS
Dirección: Avenida Carrera 19, No 114-09 oficina 403, Bogotá, Colombia
Teléfono: (+60 1) 6296779
Correo electrónico: info@processum.org
Sitio web oficial: www.processum.org



3.2 Finalidad de los datos

PROCESSUM, en su calidad de responsable del tratamiento y protección de los datos personales que registre y almacene, hará uso de los mismos únicamente para las finalidades para las que se encuentra facultado, especialmente las señaladas a continuación, contando previamente con la autorización del titular de los datos personales o su representante:

Finalidades generales
a) Realizar la gestión administrativa, contable y fiscal, incluyendo, pero sin limitarse a gestión de facturación, gestión de cobros y pagos, gestión de proveedores, gestión de clientes e informes a autoridades fiscales.
b) Responder a consultas, peticiones, quejas y reclamos que sean realizadas por los titulares de la información y organismos de control.
c) Trasmitir los datos personales a las demás autoridades que en virtud de la ley aplicable deban recibir los datos personales.
d) Para eventualmente contactar, vía correo electrónico, o por cualquier otro medio, a personas naturales con quienes tiene o ha tenido relación, tales como trabajadores, clientes, proveedores, acreedores y deudores, para las finalidades antes mencionadas.
e) Transferir la información recolectada a distintas áreas de la empresa y a las compañías vinculadas a PROCESSUM en Colombia y en el exterior cuando ello sea necesario para el desarrollo de sus operaciones.
f) Para la atención de requerimientos judiciales o administrativos y el cumplimiento de mandatos judiciales o legales.
g) Registrar sus datos personales en los sistemas de información de PROCESSUM y en sus bases de datos comerciales y operativas.
h) Soportar procesos de auditoría interna o externa.
i) Las indicadas en la autorización otorgada por el titular del dato o descritos en el aviso de privacidad respectivo, según sea el caso.
j) Cualquier otra actividad de naturaleza similar a las anteriormente descritas que sean necesarias para desarrollar el objeto social de PROCESSUM.

Finalidades laborales
a) Desarrollar el proceso de selección, evaluación, y vinculación laboral.
b) Administrar y operar, directamente o por conducto de terceros, los procesos de selección y vinculación de personal, incluyendo la evaluación y calificación de los participantes y la verificación de referencias laborales y personales, y la realización de estudios médicos, psicológicos y de seguridad.
c) Registrar la información de trabajadores en las bases de datos de Processum.
d) Desarrollar las actividades propias de la gestión de Recursos Humanos dentro de Processum, tales como nómina, afiliaciones a entidades del sistema general de seguridad social, actividades de bienestar y salud ocupacional para el trabajador, ejercicio de la potestad sancionatoria del empleador, entre otras.
e) Realizar los pagos necesarios derivados de la ejecución del contrato de trabajo y/o su terminación, y las demás prestaciones sociales a que haya lugar de conformidad con la ley aplicable.
f) Para cumplir las obligaciones laborales contraídas por PROCESSUM como empleador.
g) Contratar beneficios laborales con terceros, tales como seguros de vida, gastos médicos, entre otros.
h) Notificar a contactos autorizados en caso de emergencias durante el horario de trabajo o con ocasión del desarrollo del mismo.
i) Coordinar el desarrollo profesional de los trabajadores, el acceso de los trabajadores a los recursos informáticos del empleador y dar soporte para su utilización.
j) Planificar actividades empresariales.

Finalidades comerciales
a) Para cumplir las obligaciones contraídas por PROCESSUM con sus clientes al momento de prestar sus servicios.
b) Proveer los servicios y/o los productos requeridos y/o contratados por los clientes.
c) Conocer y utilizar la información necesaria y requerida propiedad del cliente para la implementación, prestación, desarrollo y soporte de los servicios de Processum contratados por el cliente.
d) Suministrar usuarios, contraseñas y códigos de acceso a los productos y/o servicios de PROCESSUM contratados por el cliente.

NOTA.Cualquier otro tipo de finalidad que se pretenda dar a los datos personales registrados por PROCESSUM, deberá ser informado previamente en el aviso de privacidad y en la respectiva autorización otorgada por el titular del dato, según sea el caso, teniendo en cuenta los principios legales para el tratamiento de los datos personales.



3.3 Derechos de los Titulares de los Datos Personales.

PROCESSUM garantiza al titular de datos personales, los derechos que se enlistan a continuación:

1) Conocer, actualizar, rectificar, suprimir el dato y revocar la autorización. Este derecho se podrá ejercer también, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2) Solicitar prueba de la autorización otorgada al responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, como lo es el caso de: Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; Datos de naturaleza pública; Casos de urgencia médica o sanitaria; Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; Datos relacionados con el Registro Civil de las Personas.
3) Ser informado del uso y tratamiento dado a sus datos personales, previa solicitud realizada a PROCESSUM a través de los canales de servicio.
4) Revocar la autorización y/o solicitar la supresión de uno a más datos cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento de los datos se ha incurrido en conductas contrarias a la ley y a la Constitución.
5) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.

3.4 Canales Dispuestos

PROCESSUM designará el responsable de atender y gestionar las peticiones, quejas y reclamos sobre el tratamiento de datos, los cuales pueden ser recibidos mediante los canales dispuestos por la entidad, así:
- Virtual: correo electrónico info@processum.org
- Telefónico: En la línea (+57 1) 6296779



3.5 Gestión de la política de tratamiento y protección de datos

PROCESSUM, garantiza a los ciudadanos, el derecho de acceso a sus datos personales registrados en la Entidad, previa verificación de la identidad del titular, su causahabiente y/o representante. Este derecho se hace efectivo mediante petición del ciudadano, haciendo uso de los canales dispuestos por la Entidad para este fin. La consulta debe ser dirigida a PROCESSUM con el nombre completo del titular, la descripción de la consulta, dirección de residencia y teléfono de contacto Independientemente del mecanismo utilizado para la radicación de solicitudes de consulta, la Entidad dará respuesta a la petición del ciudadano en un periodo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de radicación de la solicitud. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los quince (15) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

3.5.1 Recopilación, actualización y rectificación de datos

PROCESSUM, garantiza a los ciudadanos, el derecho de acceso a sus datos personales registrados en la Entidad, previa verificación de la identidad del titular, su causahabiente y/o representante. Este derecho se hace efectivo mediante petición del ciudadano, haciendo uso de los canales dispuestos por la Entidad para este fin.
La consulta debe ser dirigida a PROCESSUM con el nombre completo del titular, la descripción de la consulta, dirección de residencia y teléfono de contacto Independientemente del mecanismo utilizado para la radicación de solicitudes de consulta, la Entidad dará respuesta a la petición del ciudadano en un periodo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de radicación de la solicitud.
Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los quince (15) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

3.5.2 Datos personales de niños, niñas y adolescentes

El suministro de datos personales de niños, niñas y adolescentes es de carácter facultativo, tanto para ellos como para quienes actúen en su nombre.
PROCESSUM velará por el uso adecuado de los datos personales de los niños, niñas y adolescentes y respetará en su tratamiento el interés superior de aquellos, asegurando la protección de sus derechos fundamentales y, en lo posible, teniendo en cuenta su opinión como titulares de sus datos personales.

3.5.3 Datos personales sensibles

Dado el alcance de algunas funciones, servicios y actividades de PROCESSUM, es posible que reciba datos personales sensibles frente a los cuales se advierte que su suministro es de carácter facultativo y, en caso de suministrarlos, su tratamiento se efectuará con las finalidades previamente mencionadas en el presente documento y/o comunicadas para su consentimiento informado.

3.5.4 Supresión de datos

Los titulares de la información podrán solicitar a PROCESSUM en cualquier momento y cuando consideren que los datos no están recibiendo un tratamiento adecuado, o los mismos no son pertinentes o necesarios para la finalidad para la cual fueron recolectados, la supresión de sus datos personales mediante la presentación de una petición o un reclamo a través de los canales dispuestos. Sin embargo, es de resaltar que la solicitud de supresión de datos no procederá cuando el titular tenga un deber legal o contractual de permanecer en las bases de datos de la entidad por un impedimento en actuaciones administrativas o judiciales relacionadas a obligaciones fiscales, investigación de delitos o actualización de sanciones administrativas.

3.5.5 Almacenamiento de Datos Personales

PROCESSUM solicita los datos necesarios para el ejercicio de sus funciones, servicios y actividades, en algunos casos puede solicitar información adicional y sensible, la cuál es de libre y voluntaria entrega por parte del titular del dato. Una vez suministrados sus datos personales, los mismos son almacenados en la base de datos pertinente. Estas bases de datos se encuentran debidamente protegidas mediante equipos de infraestructura y de acuerdo con los lineamientos de seguridad definidos por la entidad.

3.5.6 Modificaciones a las políticas de tratamiento de datos personales

PROCESSUM. Se reserva el derecho de modificar, en cualquier momento, de manera unilateral, sus políticas y procedimientos de tratamiento de datos personales. Sin embargo, cualquier cambio será publicado y anunciado. Además, se conservarán las versiones anteriores de la presente política para la privacidad y protección de datos personales. El uso continuo de los servicios o no desvinculación de los mismos por parte del titular de los datos una vez notificados los nuevos lineamientos de la entidad, constituyen la aceptación de la misma.

3.5.7 Revelación de la información

El titular del dato, con la aceptación de esta política de tratamiento de datos personales, declara conocer que PROCCESSUM, puede suministrar esta información a las entidades vinculadas y aliadas y a las entidades judiciales, administrativas o demás entes del estado que, en ejercicio de sus funciones, soliciten esta información.

Este documento de política puede modificarse, retirarse o reemplazarse en cualquier momento. Las copias impresas, o parte de ellas, se consideran como copias no controladas y no deben considerarse como la versión actual. Es responsabilidad de la persona que lea este documento consultar siempre el repositorio de políticas de Processum para obtener la última versión.

  • Processum