1. PRESENTACIÓN

El presente manual para la protección de datos personales (en adelante, el “Manual”), fue elaborado con el fin de documentar las políticas y los procedimientos desarrollados e implementados por Comunidad Musas S.A.S. BIC (en adelante, “Comunidad Musas”) y evidenciar que ha implementado medidas apropiadas y efectivas para cumplir con las disposiciones legales sobre datos personales establecidas en la legislación colombiana, esto es, la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias compiladas en el Decreto 1074 de 2015. En dicho sentido, este Manual garantiza:

• La existencia de una estructura proporcional al tamaño empresarial de Comunidad Musas.

• La adopción de mecanismos internos para poner en práctica las políticas contenidas en este Manual, incluyendo herramientas de implementación, entrenamiento y programas de educación.
• La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares.

En dicho sentido, este Manual pretende establecer qué información personal es recolectada por Comunidad Musas en el giro ordinario de su negocio, los diferentes tipos de tratamiento que se realiza sobre dicha información personal, qué mecanismos ha implementado Comunidad Musas para garantizar que los titulares de la información puedan ejercer en cualquier momento su derecho fundamental al Habeas Data, así como la forma mediante la cual Comunidad Musas cumple con sus obligaciones legales en su calidad de responsable del tratamiento de los datos personales, entre otros. Para el efecto, el Oficial de Cumplimiento designado por la Gerencia General promovió la implementación de un sistema para la protección de Datos Personales, sirvió de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal de las políticas contenidas en este Manual, entre otras actividades.

Las disposiciones contenidas en este Manual son de carácter confidencial y de obligatorio cumplimiento para Comunidad Musas, todos sus representantes, directores y empleados, y deben ser periódicamente revisadas con el fin de asegurar su cumplimiento en todas las áreas de nuestra compañía.

En caso de tener alguna inquietud sobre las disposiciones contenidas en este Manual y su aplicabilidad, agradecemos comunicarse con el Oficial de Cumplimiento al correo electrónico: alejandra@musas.co

Compromiso de Comunidad Musas.- Las personas involucradas en la protección de datos personales son la Gerencia General, el Departamento Jurídico y el Oficial de Cumplimiento.

La Gerencia General de Comunidad Musas está comprometida con la implementación de prácticas responsables de protección de datos, y para el efecto ha ejecutado las siguientes acciones:

• Designó el cargo que tiene la función de protección de datos dentro de la organización.
• Adoptó el presente Manual para la Protección de Datos Personales.
• Informará de manera periódica a los órganos directivos sobre la aplicación del Manual.

• Destinó asesores externos y recursos para el área encargada de la función de protección de datos.

Por su parte, el Oficial de Cumplimiento tendrá las funciones previstas en la regulación aplicable, esto es en la Ley 1581 y el Decreto 1074.

2.DEFINICIONES

Para la adecuada interpretación de este Manual, los términos que aparezcan en mayúsculas iniciales, tendrán el significado que se les atribuye en este documento, los cuales han sido basados en los conceptos estipulados en la Ley Estatutaria 1581 de 2012, la Ley Estatutaria 1266 de 2008 y el Decreto 1074 de 2015. Los términos definidos en singular, incluyen su acepción en plural cuando a ella hubiere lugar, y aquellos definidos en género masculino incluyen su acepción en género femenino cuando a ello hubiere lugar. Los términos que no sean expresamente definidos, deberán entenderse de acuerdo con el sentido que les confiera el lenguaje técnico respectivo o por su significado y sentido naturales y obvios, de conformidad con su uso general.

Los términos utilizados en el texto de este Manual, se entenderán en el marco de los significados que a continuación se establecen:

2.1. “Autorización”: Es el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales por parte del Responsable.

2.2. “Base de Datos”: Es el conjunto organizado de Datos Personales que sea objeto de Tratamiento.

2.3. “Comunidad Musas”: Significa Comunidad Musas S.A.S. BIC.

2.4. “Dato Financiero”: Es aquel dato de contenido financiero, crediticio, comercial o de servicios a que se refiere la Ley Estatutaria 1266 de 2008 que se usa con el fin de realizar la valoración y/o análisis de riesgo crediticio.

2.5. “Dato Personal»: Es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables

2.6. “Dato Privado”: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.

2.7. “Dato Público”:Es el dato que no sea semiprivado, privado o sensible.

2.8. “Dato Semiprivado”: Es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general

2.9. “Dato Sensible”:Es aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométrico.

2.10. “Decreto 1074”: Es el Decreto 1074 de 2015 que, entre otros, compiló el Decreto 1377 de 2013 y el Decreto 886 de 2014.

2.11. “Encargado”: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable.

2.12. “Habeas Data”: Es el derecho constitucional que tienen los Titulares de autorizar o no la recolección de sus Datos Personales, de conocer la finalidad o uso que se le dará esos datos y a conocer, actualizar y rectificar los Datos Personales contenidos en Bases de Datos.

2.13.“Ley 1581”: Es la Ley Estatutaria 1581 de 2012 por la que se dictan disposiciones generales para la protección de datos personales.

2.14.“Menor de Edad”: Es aquel individuo menor de dieciocho (18) años de edad, esto es, que no haya llegado a cumplirlos.

 2.15.“Oficial de Cumplimiento”: Es la persona designada por la Gerencia General de Comunidad Musas para asegurarse que ésta cumple con el régimen legal de protección de Datos Personales y, en este sentido, asesorar y guiar a todos los empleados en la aplicación de este Manual. Para efectos de Comunidad Musas, el cargo de Oficial de Cumplimiento será desempeñado por la Comunity Manager de Comunidad Musas.

2.16.“Página Web”: Se refiere a la dirección electrónica musas.co

2.17. “PQR’s”: Significa consultas, peticiones, quejas y reclamos.

2.18. “Responsable”: Es Comunidad Musas S.A.S., persona jurídica privada, que por sí misma o en asocio con otros, decide sobre la Base de Datos y/o el Tratamiento de los Datos Personales.

2.19. “Titular”: Es la persona natural cuyos datos personales son objeto de Tratamiento.

2.20. “Transferencia”: Es el envío de Datos Personales por parte del Responsable y/o Encargado, ubicado en Colombia, a un receptor que, a su vez, es Responsable y se encuentra dentro o fuera del país.

2.21. “Transmisión”:Es el Tratamiento de Datos Personales que implica su comunicación dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

2.22. “Tratamiento”: Es cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

3.APLICABILIDAD

Las disposiciones contenidas en este Manual son aplicables únicamente al Tratamiento de Datos Personales de que trata la Ley 1581 y el Decreto 1074 y, por tanto, excluye a los Datos Financieros. En caso de tener alguna inquietud sobre los requisitos para poder recolectar Datos Financieros o la normatividad aplicable a los mismos, agradecemos comunicarse con el Oficial de Cumplimiento de la compañía.

Comunidad Musas se encuentra comprometida con los Titulares de Datos Personales a garantizar oportuna y debidamente su derecho al Habeas Data. Para tal propósito, es necesario que todos nuestros empleados conozcan y apliquen este Manual cada vez que realicen el Tratamiento de Datos Personales. En caso de tener alguna inquietud sobre cómo aplicar este Manual o alguna iniciativa que implique la recolección y uso de Datos Personales distintas a las aquí previstas, agradecemos comunicarse oportunamente con el Oficial de Cumplimiento de Comunidad Musas.

En caso de que algún tema relacionado con Datos Personales no se encuentre expresamente regulado en el presente Manual, se deberán aplicar las normas legales vigentes contenidas en la Ley 1581, el Decreto 1074 y demás normas que las modifiquen, adicionen o reemplacen.

4. TRATAMIENTO DE DATOS PERSONALES

Dentro del giro ordinario de sus negocios Comunidad Musas podrá recolectar distintos tipos de Datos Personales de sus empleados, clientes y prospectos, proveedores y visitantes como por ejemplo datos de contacto y ubicación, Datos Financieros e información tributaria de la persona, entre otros.

Todos los Datos Personales que son recolectados por Comunidad Musas sirven un propósito determinado de acuerdo con la calidad del Titular y, en dicho sentido, pueden ser usados para establecer o mantener una relación comercial o contractual, para realizar gestiones administrativas internas, así como para cumplir con nuestras obligaciones legales, entre otros, según se disponga en la respectiva autorización. Los Tratamientos y finalidades a las cuales se ven sometidos los Datos Personales que recolectamos siempre son informados al Titular de manera previa y expresa, antes de realizar el Tratamiento de la información personal, en caso que esto sea necesario, dependiendo de la naturaleza del Dato Personal.

Es obligación de funcionarios de Comunidad Musas verificar que se cuente o se obtenga autorización previa del Titular antes de la recolección o Tratamiento de Datos Personales, en caso que la misma sea requerida conforme lo previsto en este Manual.

En el presente capítulo se expondrán los Datos Personales que recolecta Comunidad Musas de sus empleados, clientes y prospectos, proveedores y visitantes, para qué finalidades se utilizan los mismos, dónde se recolectan los datos, cómo se obtienen las correspondientes autorizaciones, así como modelos de las mismas, entre otros. Lo establecido en este capítulo constituye instrucciones y políticas de obligatoria observancia para todos los empleados y directivos vinculados a Comunidad Musas.

En caso que los Datos Personales que usted vaya a recolectar y/o usar no se encuentren cobijados dentro de alguna de las autorizaciones expuestas en este Capítulo, le agradecemos comunicarse con el Oficial de Cumplimiento de Comunidad Musas con el fin de diseñar una autorización que se ajuste a sus necesidades y cumpla con los requisitos legales.

4.1. Empleados

4.1.1. Datos que se recolectan: Comunidad Musas recolecta los Datos Personales que son suministrados por el empleado en su hoja de vida al momento de aplicar para alguna posición dentro de la compañía, así como aquellos que se generen en virtud o con ocasión de la relación laboral.

En dicho sentido, Comunidad Musas recolecta información general y específica de identificación del empleado y sugrupo familiar (dentro de esta puede incluirse Datos Personales de Menores de Edad, bajo el entendido que solo recolectan sus Datos Públicos y/o información autorizada por sus padres o representantes legales en beneficio del Menor de Edad), información de ubicación relacionada con la actividad comercial, profesional y privada de la persona, Datos Financieros, información socioeconómica, tributaria y patrimonial, datos relacionados con la actividad económica, información sobre el nivel educativo e historia laboral, así como datos generales relacionados con la afiliación y aportes al sistema integral de seguridad social, datos de antecedentes judiciales y/o disciplinarios, así como información de acceso a los sistemas de la compañía.

Adicionalmente, Comunidad Musas recolecta Datos Sensibles, esto es, datos biométricos (fotos, huella e imágenes captadas por las cámaras de seguridad) y aquellos relacionados con la salud de la persona en cuanto a órdenes y relación de pruebas complementarias de laboratorio, imágenes, endoscópicas, patológicas, diagnósticos médicos generales o especializados, psicológicos o psiquiátricos, medicamentosy/o tratamientos médicos o terapéuticos de cualquier tipo; así como datos relacionados con el estado de salud de la persona que incluyen resultados de pruebas, laboratorios, estudios, diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos, medicamentos y/o tratamientos médicos o terapéuticos de cualquier tipo.

La recolección de Datos Personales distintos a los aquí indicados es viable siempre que la autorización correspondiente haya sido otorgada por parte del empleado o sea requerido por alguna autoridad.

4.1.2. Finalidades del Tratamiento: Comunidad Musas utiliza los Datos Personales mencionados en el numeral 4.1.1. anterior para (i) realizar gestiones internas, como por ejemplo administración del personal, promoción y selección de personal, relaciones laborales y condiciones de trabajo; (ii) cumplir con los fines internos de la compañía requeridos por la regulación aplicable, como por ejemplo la inspección y control de seguridad y protección social, el reconocimiento y pago de pensiones, subsidios y otras prestaciones económicas, el pago de nómina, archivo y retención documental, así como las demás estipuladas en las normas laborales vigentes; (iii) ser transmitida a terceros dentro y/o fuera de la República de Colombia, incluyendo proveedores del área de recursos humanos, como por ejemplo bancos, empresas proveedoras de servicios de salud, así como a terceros con los cuales se contrate algún beneficio para los empleados de Comunidad Musas; y (iv) para efectos de monitoreo de seguridad y video vigilancia.

En relación con los Datos Sensibles de los empleados, éstos son usados únicamente por Comunidad Musas para el cumplimiento de sus obligaciones legales laborales frente a sus empleados, como es el reconocimiento y pago de incapacidades médicas, entre otros.

Ninguna persona dentro de Comunidad Musas está autorizada para darle un tratamiento distinto al aquí indicado a los Datos Personales de empleados.

En relación con la Transferencia de Datos Personales de sus empleados, Comunidad Musas entrega esta información a Empresas Promotoras de Salud (EPS), Administradoras de Riesgos laborales (ARL), DIAN, y demás entidades a las cuales Comunidad Musas tiene que realizar aportes, solicitar el reconocimiento de incapacidades, y/o enviar información periódica para cumplir con sus obligaciones legales. Toda transferencia se hace en cumplimiento de obligaciones legales.

Ninguna persona dentro de Comunidad Musas está autorizada para transferir Datos Personales de empleados para fines distintos a aquéllos relacionados con el cumplimiento de obligaciones legales.

4.1.4. Departamentos con acceso a la Base de Datos de empleados: Los siguientes departamentos de Comunidad Musas podrán tener acceso a las Bases de Datos de empleados: Administrativo. Ninguna otra área de Comunidad Musas está autorizada para tener acceso a los Datos Personales de empleados.

4.1.5. Autorización para el Tratamiento de Datos Personales: Todos los empleados de Comunidad Musas tienen la facultad de autorizar el Tratamiento de sus Datos Personales de conformidad con los modelos de autorización adjuntos a este Manual como Anexo 4.1.5.(i), el cual es suscrito al momento de su vinculación contractual a la compañía según lo requerido por el departamento de Administración. Por su parte, por el hecho de suministrar su hoja de vida para ser considerado para ocupar una vacante en Comunidad Musas, ésta entiende que el Tratamiento de los Datos Personales ha sido autorizado por el Titular mediante conducta concluyente, únicamente para efectos de ser considerado para un proceso de selección en la compañía.

En todo caso, y con excepción de los Datos Públicos o respecto de los cuales no se requiera autorización, no se permite la recolección de Datos Personales sin la correspondiente autorización previa por parte del Titular.

4.1.6. Conservación de las autorizaciones: Las autorizaciones otorgadas por los empleados para el Tratamiento de sus Datos Personales son conservadas en las carpetas físicas de cada empleado, las cuales se encuentran en el archivo físico de la compañía, a cargo del departamento de Recursos Humanos.

4.1.7. Conservación de los Datos Personales: Comunidad Musas conserva los Datos Personales suministrados por los empleados mientras exista una relación laboral vigente y subsistan obligaciones legales en cabeza de Comunidad Musas, conforme lo estipulado en el Código Sustantivo del Trabajo y el artículo 28 de la Ley 962 de 2015, o las normas que los adicionen, modifiquen y/o reemplacen.

4.2. Proveedores y contratistas

4.2.1. Datos que se recolectan: Comunidad Musas podrá recolectar Datos Personales suministrados por sus proveedores y contratistas, esto es, información general de identificación de la persona, datos de ubicación relacionados con actividad comercial o profesional, Datos Financieros e información tributaria, datos relacionados con la actividad económica de la persona, así como datos relacionados con la afiliación y aportes al sistema integral de seguridad social, entre otros.

Comunidad Musas cuenta con proveedores que son personas jurídicas respecto de las cuales no se predica el derecho al Habeas Data. No obstante lo anterior, dentro de la información recolectada se pueden encontrar eventualmente Datos Personales de funcionarios de los proveedores, a los que si los cobija el derecho al Habeas Data.

Comunidad Musas no recolecta Datos Sensibles ni de Menores de Edad de sus proveedores o de los funcionarios de éstos. La recolección de Datos Personales distintos a los aquí indicados es viable siempre que la autorización correspondiente haya sido otorgada o sea requerido por alguna autoridad.

4.2.2. Finalidades del Tratamiento: Comunidad Musas podrá utilizar los Datos Personales de sus proveedores para (i) realizar estudios o investigaciones comerciales o estadísticas; (ii) ofrecer productos o servicios de Comunidad Musas o de terceros; (iii) iniciar cobros prejudiciales o judiciales; (iv) que la información sea transferida a entidades legales que la requieran en virtud de un mandato legal, así como para ser transmitida a personas y/o entidades dentro y/o fuera de la República de Colombia para cualquiera de las finalidades previstas en la autorización; (v) como elemento de análisis para establecer y mantener una relación contractual o comercial, cualquiera que sea su naturaleza; (vi) que los Datos Financieros sean consultados, suministrados, reportados, procesados o divulgados; y (vii) para cumplir con sus obligaciones legales, incluyendo, pero no limitado a, aquellas relacionadas con SARLAFT y prevención de las conductas de soborno trasnacional, y retención documental requerida por las normas legales vigentes.

Ninguna persona dentro de Comunidad Musas está autorizada para darle un tratamiento distinto al aquí indicado a los Datos Personales.

4.2.3. Transmisión y/o Transferencia: Comunidad Musas transfiere los Datos Personales de sus proveedores a las entidades públicas que la requieran en virtud de mandatos legales, incluyendo, pero no limitado a, la Dirección de Impuestos y Aduanas Nacionales –DIAN-, para efectos de reportes de información requeridos por dicha entidad.

Por su parte, podrá realizar transmisión de los mismos a terceros ubicados dentro y/o fuera de la República de Colombia, para cualquiera de los fines previstos en la autorización, como por ejemplo, Bancos y entidades financieras para efectos de la realización de pagos, entre otros, caso en los cuales será necesario advertirles a los mismos sobre su calidad de Encargados del Tratamiento de los Datos Personales, y las obligaciones legales que dicha calidad conlleva, de acuerdo con la Ley 1581 y el Decreto 1074.

Ninguna persona dentro de Comunidad Musas está autorizada para transferir Datos Personales de conformidad con lo indicado en este Numeral 4.2.3. sin que existe mandato legal para el efecto.

4.2.4. Departamentos con acceso a la Base de Datos de proveedores: Las siguientes áreas de Comunidad Musas podrán tener acceso a las Bases de Datos de proveedores: Desarrollo de Proyectos, Jurídica y Gerencia General. Ninguna otra área de Comunidad Musas está autorizada para tener acceso a los Datos Personalesde proveedores.

4.2.5. Autorización para el Tratamiento de Datos Personales: Los proveedores de Comunidad Musas tienen la facultad de autorizar el Tratamiento de sus Datos Personales de conformidad con el modelo de autorización adjunta a este Manual como Anexo 4.2.5, el cual es suscrito al momento de su vinculación a la compañía por el Departamento de Administraciójunto con los formatos de vinculación de proveedores. Comunidad Musas ha decidido obtener siempre autorización de los proveedores por las siguientes razones: eventualmente se puede contratar con proveedores personas naturales, dentro de la información suministrada por los proveedores se encuentran Datos Personales de sus empleados o funcionarios, y aunque en principio la información relacionada con la profesión es un Dato Público o solo se recolectan Datos Públicos, Comunidad Musas considera apropiado obtener la correspondiente autorización.

Con excepción de los Datos Públicos o respecto de los cuales no se requiera autorización, no se permite la recolección de Datos Personales sin la correspondiente autorización previa por parte del Titular.

4.2.6. Conservación de las autorizaciones: Las autorizaciones otorgadas por los proveedores para el Tratamiento de sus Datos Personales son conservadas digitalmente por el Departamento de Administración de Comunidad Musas.

4.2.7. Conservación de los Datos Personales: Comunidad Musas conserva los Datos Personales suministrados por los proveedores mientras exista una relación contractual y/o comercial vigente y subsistan obligaciones legales en cabeza de Comunidad Musas, conforme lo estipulado el artículo 28 de la Ley 962 de 2015, y las normas que lo adicionen, modifiquen y/o reemplacen.

4.3. Clientes y potenciales clientes

7. CONSULTAS, PETICIONES, QUEJAS Y RECLAMOS (PQR’s)

Para efectos de que los Titulares puedan ejercer cualquiera de sus derechos o presentar PQR’s, Comunidad Musas ha dispuesto de los siguientes mecanismos y procedimientos, los cuales se encuentran basados en las normas legales vigentes aplicables, y que deberán ser cumplidos por Comunidad Musas, sus representantes y empleados debida y oportunamente, atendiendo las reglas dispuestas en este capítulo.

7.1. Consultas:

Los Titulares o las personas que puedan ejercer sus derechos de conformidad con lo dispuesto en el capítulo 6 anterior, podrán consultar la información personal del Titular que repose en cualquier Base de Datos de Comunidad Musas.

De acuerdo con la Política de Tratamiento, para efectos de realizar la consulta, se deberá enviar un correo electrónico a la dirección: alejandra@musas.co . Dentro del cuerpo del correo se deberá indicar el nombre completo del Titular, así como el tipo y número de identificación del Titular, y adjuntar copia de éste último documento. Lo anterior, con el fin de poder constatar que quien presenta el reclamo es efectivamente el Titular de la información, y poder así garantizar su derecho a la intimidad y confidencialidad en relación con sus Datos Personales. En caso que quien presente la consulta sea una persona distinta al Titular, se deberá adjuntar igualmente el documento que prueba la calidad con la que actúa, esto es el correspondiente poder con las formalidades de ley, o el registro civil de nacimiento, entre otros.

Una vez recibida la comunicación con el cumplimiento de los anteriores requisitos, el Oficial de Cumplimiento deberá revisar el contenido de la misma, así como sus respectivos anexos, en caso de que hubiera, con el fin de que se responda la consulta debida y oportunamente. En caso que el Oficial de Cumplimiento requiera del apoyo de cualquier otro departamento de Comunidad Musas para contestar oportunamente la consulta, ésta deberá ser atendida por dicho departamento de manera prioritaria y urgente.

La consulta deberá ser respondida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.

Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

7.2. Reclamos:

Los Titulares o las personas que puedan ejercer sus derechos de conformidad con lo dispuesto en el capítulo 6 anterior, podrán presentar reclamos a Comunidad Musas cuando consideren que los Datos Personales contenidos en una Base de Datos de Comunidad Musas debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de algún deber legal de Comunidad Musas, o cuando requieran que se revoque la autorización para el Tratamiento del Dato Personal.

De acuerdo con la Política, para realizar el reclamo se deberá enviar un correo electrónico a la dirección electrónica: alejandra@musas.co]. Dentro del cuerpo del correo se deberá indicar el nombre completo del Titular, el tipo y número de identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y adjuntar copia del documento de identificación del Titular, así como cualquier otro documento que se quiera hacer valer. Lo anterior, con el fin de poder constatar que quien presenta el reclamo es efectivamente el Titular de la información, y poder así garantizar su derecho a la intimidad y confidencialidad en relación con sus Datos Personales.

En caso que quien presente el reclamo sea una persona distinta al Titular, se deberá adjuntar igualmente el documento que prueba la calidad con la que actúa, esto es el correspondiente poder con las formalidades de ley, o el registro civil de nacimiento, entre otros.

Una vez recibido el reclamo por el Oficial de Cumplimiento éste contará con un término de cinco (5) días hábiles para verificar que el mismo cumple con los requisitos requeridos para su presentación, según lo antes lo mencionado. Dentro del mencionado término, y en caso que considere que el reclamo no cumple con dichos requisitos, devolverá el mismo con un mensaje dirigido al reclamante en el cual se indiquen las razones por las cuales el reclamo no cumple con los requisitos señalados al inicio de este capítulo, con el fin de que el reclamante subsane y/o corrija los mismos.

En caso que, luego de pasados dos (2) meses contados a partir de la fecha en que se haya reenviado el correo electrónico al reclamante solicitando que subsane y/o corrija su reclamación, éste no envía nuevamente el requerimiento con el lleno de los requisitos solicitados, se entenderá que el reclamo ha sido desistido y, por tanto, Comunidad Musas procederá a cerrar el caso.

Si dentro del mencionado plazo de dos (2) meses el reclamante reenvía nuevamente su reclamo mediante un correo electrónico a Comunidad Musas, el Oficial de Cumplimiento deberá verificar que el reclamo cumpla con los requisitos antes mencionados y darle trámite al reclamo debida y oportunamente.

El Oficial de Cumplimiento contará con un plazo de cinco (5) días hábiles para verificar que el reclamo haya sido efectivamente subsanado según lo estipulado en este numeral y, de ser así, dará traslado del mismo, para lo cual deberá solicitar al departamento de Comunidad Musas propietario de la Base de Datos que incluya en la misma una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. De igual forma, se deberá solicitar a los Encargados que tengan conocimiento del Dato Personal objeto de reclamación que incluyan la mencionada leyenda en sus respectivas Bases de Datos.

El Oficial de Cumplimiento de Comunidad Musas deberá atender y resolver el reclamo en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha en que haya sido enviado por el Titular del Dato Personal.

Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al reclamante los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Una vez surtido el reclamo, el Oficial de Cumplimiento deberá informar y solicitar realizar la correspondiente actualización, corrección o supresión del Dato Personal al Encargado, con el fin de que éste refleje la modificación de la información personal en su respectiva Base de Datos.

En caso que el reclamo sea referente a la supresión del Dato Personal por parte del Responsable, la Compañía deberá proceder a eliminar todos los Datos Personales del Titular de sus archivos, excepto aquella información personal que deba ser conservada para el cumplimiento de una obligación legal o contractual de Comunidad Musas o que sea referente a un Dato Público.

El Oficial de Cumplimiento deberá reportar semestralmente la presentación de los reclamos que hayan sido realizados dentro del semestre inmediatamente anterior en el del Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, de conformidad con lo estipulado en el capítulo 11 de este Manual.

7.3. En caso que un Titular presente alguna tutela en contra de Comunidad Musas relacionada con el Tratamiento de sus Datos Personales, la misma será contestada por el Departamento Jurídico con ayuda del Oficial de Cumplimiento, de conformidad con los términos estipulados en el Decreto 2591 de 1991, y las normas que lo adicionen, modifiquen o reemplacen.

8. REPORTE DE INCIDENTES

En caso que cualquier empleado conozca o tenga noticia de un incidente de seguridad que pueda poner en peligro los Datos Personales almacenados por Comunidad Musas, su confidencialidad, uso, circulación, pérdida, y modificación no autorizada, entre otros, deberá notificar inmediatamente y por escrito de dicho incidente al Oficial de Cumplimiento de Comunidad Musas, con el fin de que se surta el trámite correspondiente.

La notificación del incidente deberá contener la fecha y hechos que ocurrieron, la forma como tuvo conocimiento del mismo, y cualquier medio que permita probar su ocurrencia, en caso de contar con éstos.

Una vez tenga conocimiento del incidente, el Oficial de Cumplimiento deberá proceder a revisar las causas que ocasionaron el incidente, cuáles son sus efectos y riesgos, así como las medidas de seguridad que sean necesarias implementar para evitar otro incidente o su propagación.

El Oficial de Cumplimiento deberá reportar la ocurrencia del incidente en el del Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, dentro de los quince (15) días hábiles siguientes a la fecha en que haya tenido conocimiento de la ocurrencia del mismo.

9. MEDIDAS DE SEGURIDAD

Los Datos Personales se encuentran en Bases de Datos físicas y automatizadas. El acceso a las Bases de Datos automatizadas está restringido a los empleados de Comunidad Musas que tengan un usuario y clave de acceso y/o privilegios de acceso para el caso de las Bases de Datos físicas. Los riesgos a los que están expuestas son los asociados con la tecnología de la información incluyendo accesos no autorizados o virus.

En cuanto a los Datos Personales que están en Bases de Datos físicas, las mismas se encuentran en las instalaciones de Comunidad Musas las cuales cuentan con dos controles de acceso, uno de la propiedad horizontal y otro ubicado en la recepción de las oficinas. El ingreso sólo es autorizado por empleados de Comunidad Musas, y el mismo queda registrado en los sistemas de video. Adicionalmente, las Bases de Datos físicas se encuentran en archivadores o cuartos asegurados. Los riesgos a los que están expuestas estas Bases de Datos consisten básicamente en el ingreso no autorizado por parte de terceros o empleados.

En todo caso, determinada información que contenga Datos Privados, Datos Financieros y/o Datos Sensibles, sea en Bases de Datos físicas y/o automatizadas, pueden tener un acceso controlado y restringido con el fin de resguardar la información, de tal forma que solo se podrán acceder a los mismos si se cuenta con la autorización previa y expresa del Gerente del respectivo departamento. Adicionalmente, Comunidad Musas ha implementado acuerdos de confidencialidad con todas las personas que puedan tener acceso a los Datos Personales, sea que estas se encuentren en medios físicos o automatizado.

Una vez finalice el período de conservación del Dato Personal, Comunidad Musas deberá proceder a eliminar inmediatamente todos los Datos Personales que no revistan del carácter de Dato Público o que no sean necesarios para el cumplimiento de sus deberes legales, a través de mecanismos y procedimientos que garanticen la supresión, archivo o destrucción final de la información, sean estos realizados directamente por Comunidad Musas o a través de terceros contratistas especializados, quienes en tal caso revestirán de la calidad de Encargados del Tratamiento y, por tanto, estarán sujetos al marco legal que regula su actividad.

10. AUDITORÍA, MONITOREO y CAPACITACIÓN

Corresponde a todos los empleados de Comunidad Musas dar cumplimiento constante a las disposiciones contenidas en este Manual, y en dicho sentido, verificar periódicamente que se de aplicación al mismo.

En adición de lo anterior, el Oficial de Cumplimiento podrá realizar anualmente y en cualquier momento una auditoria a cualquier departamento de Comunidad Musas con el fin de verificar que estén cumpliendo con las disposiciones de este Manual y, en dicho sentido, con las estipulaciones legales vigentes en materia de Datos Personales y Habeas Data, de conformidad con la naturaleza específica de cada tipo de Dato Personal recolectado por Comunidad Musas.

Para efectos de realizar la auditoria, el Oficial de Cumplimiento deberá enviar un correo electrónico al Gerente del respectivo departamento de Comunidad Musas señalando la fecha en la cual se realizará la auditoria, así como los documentos y soportes que prueben que, en efecto, están cumpliendo debida y oportunamente con este Manual. En dicho sentido, se podrán requerir copias documentales así como realizar entrevistas a empleados del departamento, las cuales podrán ser grabadas para efectos probatorios. En todo caso, el proceso de auditoría y los documentos que se requieran en virtud de la misma, deberán tener en cuenta la naturaleza del Dato Personal, las obligaciones estipuladas en este Manual y en la normatividad legal vigente que rige la materia.

Toda la información que se suministre en virtud de la auditoria será confidencial y se devolverá al respectivo departamento luego de su revisión.

El Oficial de Cumplimiento deberá realizar capacitaciones por lo menos una vez al año a los funcionarios que hacen parte de las áreas que tratan los Datos Personales.

11. REGISTRO DE BASES DE DATOS

El Oficial de Cumplimiento para la protección de datos personales de Comunidad Musas ha solicitado a los Asesores Legales el efectuar la inscripción de las Bases de Datos de empleados ante el Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, de conformidad con lo estipulado en el Decreto 1074.

Igualmente, deberá realizar la actualización de dicha inscripción (i) dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada; y (ii) anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2018.

Para efectos de lo anterior, se entenderán por cambios sustanciales aquellos que se relacionen con la finalidad de la Base de Datos, el Encargado, los canales de atención al Titular (PQR’s), la clasificación o tipos de Datos Personales almacenados en cada Base de Datos, las medidas de seguridad de la información implementadas, la política de Tratamiento de la información y la transferencia y transmisión internacional de Datos Personales.

Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, se deberá actualizar la información de los reclamos presentados por los Titulares en el semestre inmediatamente anterior, de acuerdo con lo estipulado en el numeral 7.2 del capítulo 7 de este Manual.

12. PUBLICACIÓN, MODIFICACIONES Y VIGENCIA DE ESTE MANUAL

12.1 Este Manual se encontrará publicado en el espacio de comunicaciones de las oficinas, y podrá ser consultado por los empleados de Comunidad Musas en cualquier momento.

12.2. Cualquier modificación que se realice a este Manual se dará a conocer a través de comunicación enviada al correo electrónico de cada empleado por el Oficial de Cumplimiento. En todo caso, las modificaciones serán implementadas dentro de los cinco (5) días hábiles siguientes a la fecha en que se haya dado a conocer la respectiva modificación al Manual, según lo aquí previsto.

12.3. Este Manual se encontrará vigente a partir del día 2 de octubre de 2017.

ANEXO 4.3.5(iii)

AUTORIZACION PARA EL TRATAMIENTO DE DATOS PERSONALES DE CLIENTES PÁGINA WEB

Al hacer click en esta casilla, autorizo de manera expresa, voluntaria e informada a Comunidad Musas S.A.S., con el NIT 901.087.930-7 y domicilio principal en la Transversal 1B No. 55-42 de la ciudad de Bogotá D.C. (en adelante, “Comunidad Musas”), para que toda mi información personal que suministre o se genere a través de esta Página Web, así como en desarrollo de las relaciones comerciales, contractuales o de servicios, sea tratada, recolectada, almacenada, reportada, consultada, puesta en circulación y usada para: (i) realizar gestiones internas de la operación de la compañía; (ii) ofrecerme productos o servicios de Comunidad Musas o de terceros; (iii) la posible grabación de mi imagen y/o voz en los eventos presenciales y/o virtuales por parte de Comunidad Musas para ser publicada en las redes sociales de ésta; (iv) iniciar cobros prejudiciales o judiciales; (v) que la información sea transferida a terceros ubicados dentro y/o fuera de la República de Colombia con el fin de que aquel pueda realizar el ofrecimiento, venta y/o prestación de un servicio o producto propio o de terceros, de manera directa y/o a través de la Comunidad Musas; (vi) que la información sea transmitida a personas y/o entidades ubicadas dentro y/o fuera de la República de Colombia, para cualquiera de los fines previstos en esta autorización; (vii) como elemento de análisis para establecer y/o mantener una relación contractual o comercial, cualquiera que sea su naturaleza; (viii) como insumo para hacer análisis de mercado e investigaciones relevantes a los fines de la Comunidad; (ix) la actualización del sitio web o las redes sociales del Responsable del Tratamiento; (x) ajustar el Sitio Web y otros medios digitales a sus intereses y necesidades; (xi) acelerar la velocidad de sus futuras actividades en el Sitio Web y en sus espacios digitales de la Comunidad, por ejemplo, para que ésta no solicite por segunda vez información que usted ya nos ha proporcionado; y (xii) para personalizar la navegación en nuestra página, así como para evaluar de manera anónima estadísticas sobre el uso del Sitio Web.

Yo como titular tengo derecho a: (i) conocer, actualizar y rectificar mis datos personales; (ii) solicitar prueba de mi autorización dada a la Comunidad Musas; (iii) ser informado, previa solicitud, sobre el uso que se dará a mis datos; (iv) presentar a la SIC quejas, previo agotamiento de la consulta y/o reclamo frente a Comunidad Musas; (v) revocar mi autorización o solicitar la supresión del dato; y (vi) acceder gratuitamente a mi información.

La política de tratamiento de datos personales de Comunidad Musas puede ser accedida a través del siguiente link www.musas.co, o bien solicitarla al correo electrónico alejandra@musas.co