Objetivo

AVAL VALOR COMPARTIDO S.A.S. con NIT 901.940.570-8 (En adelante AVC), establece los lineamientos y mecanismos para la recolección, uso, administración, transmisión y demás actividades que involucren la gestión de tratamiento de los datos personales almacenados en las bases de datos que AVC administra, como los medios que le permiten a los titulares de los datos personales ejercer sus derechos.

El cumplimiento de esta política es obligatorio para AVC, sus colaboradores, contratistas, proveedores, aliados estratégicos y cualquier tercero que actúe como encargado del tratamiento. Su observancia garantiza la aplicación efectiva de los principios establecidos por la Constitución Política de Colombia y la Ley 1581 de 2012 reglamentada parcialmente por los Decretos 1377 de 2013 y 886 de 2014 y demás que la modifiquen, reglamenten y complementen el tratamiento para la Protección de Datos Personales en Colombia.

Alcance

Aplica a todas las bases de datos y/o archivos que contengan datos personales que sean objeto de tratamiento por parte de AVC y/o los terceros autorizados por AVC en calidad de Encargados del Tratamiento, incluida toda aquella información susceptible de ser tratada por la compañía en desarrollo de su objeto social o con ocasión de cualquier tipo de relación civil, laboral o comercial que llegue a surgir en virtud de sus actividades conexas o propias de su naturaleza societaria.

Así mismo, el compromiso de respetar la confidencialidad de los datos personales que administra AVC tiene alcance a todos sus colaboradores y los compromete a usarlos sólo y estrictamente en el cumplimiento de sus funciones, de conformidad con los alcances previstos en la autorización otorgada por el titular.

Glosario

• Autorización: Consentimiento previo, expreso e informado que da cualquier persona natural para que el Responsable, Encargado y/o sus encargados pueda (n) llevar a cabo el Tratamiento de sus datos personales.
• Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable del Tratamiento de los Datos Personales dirigida al Titular, mediante la cual se le informa acerca de la existencia de la política de protección de datos personales que le será aplicable y la forma de acceder a la misma.
• Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
• Causahabiente: Es aquella persona natural o jurídica que ha sucedido o sustituido a otra. Entiéndase también al representante legal del titular.
• Circuito cerrado de videovigilancia: Es un sistema de vigilancia soportado en tecnología que implica la instalación de cámaras de grabación, fijas o móviles, en lugares estratégicos para que capten imágenes y las envíen a uno o varios monitores en otro punto de la instalación. Las imágenes recibidas pueden ser almacenadas en un equipo videograbador para su análisis posterior.
• Dato personal: El literal C del artículo 3 de la Ley 1581 de 2012, considera dato personal a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Incluye conceptos como el nombre, estado civil, estudios realizados, número de documento de identidad, afiliación a organizaciones de diversa índole, entre otros conceptos que pueden ser incluidos como información de una persona natural.
• Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información y para su tratamiento requiere de su autorización expresa. (Ej. Nivel de escolaridad, información de procesos penales, datos relacionados con el estilo de vida del titular, entre otros).
• Dato público: Son datos que conciernen a un interés general como lo son (nombres y apellidos, documento de identidad, estado civil, nacionalidad, profesión, entre otros). Se dice que un dato es público cuando no sea semiprivado, privado o sensible.
• Dato semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas. Para su tratamiento se requiere la autorización expresa del titular de la información. (Ej. datos de ubicación física, correo electrónico personal, datos financieros y crediticios, entre otros).
• Dato sensible: Menciona el artículo 5º de la Ley 1581 de 2012 lo siguiente: “Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.” siendo esta una enumeración enunciativa ya que existen otros datos personales, en el caso particular, del trabajador o proveedor, que pueden ocasionar su discriminación.
• Entidades autorizadas: Para efectos de la presente POLÍTICA son las empresas subordinadas del Grupo Aval Acciones y Valores S.A., sus matrices, filiales, subordinadas, asociadas y demás entidades vinculadas, o a quien represente sus derechos.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
• RNBD: Abreviatura que hace referencia al Registro Nacional de Bases de Datos. Este es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual es administrado por la Superintendencia de Industria y Comercio.
• SIC:Abreviatura que hace referencia a la Superintendencia de Industria y Comercio de Colombia.
• Titular de datos personales: Persona natural cuyos datos personales sean objeto de Tratamiento.
• Transmisión de Datos Personales: Implica la comunicación de estos dentro o fuera del territorio de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
• Transferencia de Datos Personales: Es la transferencia de datos que se genera en los eventos en que el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.
• Tratamiento de datos: Se entiende como el uso que se haga de los datos en el curso de las actividades legítimas y con las debidas garantías de su privacidad, la actualización, corrección y conservación, así como la transferencia que se haga de la misma para efectos de validación de referencias, consulta a centrales de riesgos, consulta de antecedentes y demás necesarias para la vinculación ya sea de colaboradores, proveedores, clientes y demás terceros, así como toda actividad permitida por el régimen de protección de datos personales.

Responsable del tratamiento

AVAL VALOR COMPARTIDO S.A.S, sociedad comercial legalmente constituida, identificada con el NIT 901.940.570-8, con domicilio principal en la ciudad de Bogotá D.C., Colombia, en la dirección Cr 11 No. 87 A 51 - Piso 8. Página de internet disponible en https://www.avalvc.com.co/inicio con las respectivas líneas de atención.

Según el artículo 4° de la Ley 1581 de 2012 se deben aplicar de manera armónica e integral los siguientes principios al tratamiento de los datos personales:

• Principio de legalidad: El tratamiento de datos debe sujetarse a lo establecido en la Ley y demás disposiciones que se desarrollen.
• Principio de finalidad: El Tratamiento de datos debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley y por tanto debe ser informado al Titular de los datos.
• Principio de libertad: El Tratamiento de datos sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
• Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
• Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable o el encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de los datos.
• Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones legales y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley.
• Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

Toda actividad de Tratamiento de Datos Personales deberá obedecer a las finalidades mencionadas en la autorización otorgada por EL TITULAR del dato o en los documentos específicos donde se regule cada tipo o proceso de Tratamiento de Datos Personales. La finalidad particular del Tratamiento de un Dato Personal se informará a EL TITULAR del Dato Personal al obtener su autorización.

A continuación, se enumeran de manera general, sin limitar, las principales finalidades del Tratamiento de Datos Personales por parte de AVC:

• Llevar a cabo todos los procesos requeridos para atender las obligaciones pactadas con EL TITULAR.
• Realizar todos los procesos necesarios para dar cumplimiento a las obligaciones legales y reglamentarias inherentes a las relaciones de índole precontractual, contractual y postcontractual con EL TITULAR, conforme a la naturaleza de la relación.
• Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias, contables y financieras de AVC.
• Gestionar todos los procesos administrativos internos de AVC en materia de administración de proveedores y contratistas.
• Gestionar las solicitudes recibidas de usuarios con el fin de atender las necesidades expresadas por cada uno de ellos.
• Dar cumplimiento a las obligaciones relacionadas con el Sistema de Seguridad Social Integral.
• Elaborar estudios técnicos, estadísticos, encuestas, análisis de tendencias de mercado y en general cualquier estudio técnico o de campo relacionado con el sector o la prestación de servicios.
• Compartir los datos personales con las ENTIDADES AUTORIZADAS, para el desarrollo de su objeto social o para complementar o enriquecer la oferta y/o la prestación de los servicios de AVC.
• Dar tratamiento en medios físicos, digitales o por cualquier medio, asegurando el correcto registro y utilización.
• Optimizar la prestación del servicio o de los productos adquiridos por EL TITULAR con las ENTIDADES AUTORIZADAS.
• Informar a EL TITULAR acerca de las innovaciones efectuadas en sus productos y/o servicios, profundizar o ampliar su portafolio, dar a conocer las mejoras o cambios en sus canales de atención, así como de servicios y/o productos ofrecidos.
• Obtener conocimiento del perfil comercial o transaccional de EL TITULAR.
• Ofrecer campañas comerciales, publicitarias, de marketing o de educación financiera, relacionadas con productos y/o servicios ofrecidos.
• Dar cumplimiento a las obligaciones legales, en especial las reglamentaciones expedidas por la Superintendencia de Sociedades, Superintendencia Financiera de Colombia, Superintendencia de Industria y Comercio y demás entes de control.
• Para cumplir con normas legales de conocimiento del titular.
• Para determinar el nivel de endeudamiento de manera consolidada del TITULAR.
• Para realizar la transferencia internacional de los datos personales del TITULAR de conformidad con el Principio de Circulación Restringida.
• Para aspectos de seguridad de los datos personales del TITULAR.
• Para que en el evento que entregue datos sensibles (incluyendo datos obtenidos a través de biometría) se puedan tratar, recolectar, almacenar, usar, circular, suprimir o intercambiar dichos datos sin lugar a pagos ni retribuciones. Se consideran como datos sensibles además de los consagrados en la ley las fotos, correos, redes sociales, grabaciones y/o videograbaciones que el TITULAR entregue de forma voluntaria.
• Para tratar, consultar, obtener, recolectar, almacenar, analizar, usar o circular la información personal y comercial que repose por concepto de aportes obligatorios y/o voluntarios en salud, pensión y cesantías de las entidades de seguridad social, fondos de pensiones o cesantías y/o cualquier otra entidad similar asociable a los datos del TITULAR.
• Para tratar, consultar, obtener, recolectar, almacenar, analizar, usar, reportar, intercambiar, circular, suprimir o divulgar con carácter permanente a cualquier Operador de Información nacional o internacional, cualquier entidad del sector financiero o real, la matriz, las vinculadas y subordinadas nacionales o internacionales del Grupo AVAL, los depósitos centralizados de valores y/o cualquier entidad de certificación, mi información financiera, personal, comercial, o de cualquier naturaleza frente a: (i) información acerca del nacimiento, modificación, celebración y/o extinción de obligaciones directas, conjuntas o separadas, contingentes o indirectas; (ii) información acerca del incumplimiento de obligaciones financieras; (iii) cualquier novedad en relación con las obligaciones contraídas por el TITULAR.
• Para el desarrollo de actividades de conocimiento del perfil comercial del TITULAR para campañas comerciales, publicitarias, bienestar y de marketing relacionadas con productos y servicios de las entidades de Grupo Aval (incluidas y que puedan complementar o enriquecer la oferta productos y servicios).
• Para que se traten, recolecten y entregue información financiera, demográfica, datos personales, comerciales, privados, fiscales, semiprivados o de cualquier naturaleza del TITULAR en cumplimiento de regulación de autoridad extranjera, lo mismo que para efectuar las retenciones que igualmente ordenen como consecuencia de los requerimientos u órdenes de tales autoridades, todo lo anterior siempre y cuando le sean aplicables las disposiciones FATCA (Foreign Account Tax Compliance Act), CRS (Common Reporting Standard) u otros acuerdos de intercambio tributario que sean emitidos por otros Estados.
• Para que los datos personales del TITULAR puedan ser suministrados y tratados conjunta o separadamente por terceros, incluyendo proveedores de servicios, usuarios de red, redes de distribución y personas que realicen la promoción de sus productos y servicios, incluidos call centers, domiciliados en Colombia o en el exterior, relacionados al Grupo Aval.
• Para comercializar a título gratuito los datos personales del TITULAR bajo la siguiente lista de tecnologías o modelos de negocio presentes y/o futuros aplicables: a) Open Banking, b) Open Finance, c) Finanzas Abiertas y/o demás esquemas de negocio aplicables y permitidos por ley.
• Para tratar los datos personales mediante la aplicación de tecnología de Inteligencia Artificial (I.A.) y/o cualquier clase de tecnología futura permitida por la normatividad vigente en materia de datos personales.

Vigencia de la autorización: Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar la información, los datos serán eliminados de nuestras bases de datos.

Deberes como responsable

• Garantizar a EL TITULAR, el pleno y efectivo ejercicio del derecho de protección de datos personales.
• Solicitar y/o conservar, la respectiva autorización otorgada por EL TITULAR.
• Informar debidamente a EL TITULAR sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Garantizar que la información a la que se le dé tratamiento, sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Exigir al encargado del tratamiento el respeto a las condiciones de seguridad y privacidad de la información de EL TITULAR.
• Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
• Informar al encargado del tratamiento cuando determinada información se encuentre en discusión por parte de EL TITULAR, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
• Informar a solicitud de EL TITULAR sobre el uso dado a sus datos.
• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de EL TITULAR.

Deberes como encargado

• Garantizar a EL TITULAR, en todo tiempo, el pleno y efectivo ejercicio del derecho de protección de datos personales.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la normatividad vigente.
• Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
• Tramitar las consultas y los reclamos formulados por EL TITULAR.
• Abstenerse de circular información que esté siendo controvertida por EL TITULAR y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas que por naturaleza de sus funciones lo requieran.

AVC realiza tratamiento sobre datos personales previa autorización por parte de sus respectivos titulares y de acuerdo con los propósitos establecidos para cada tipo de dato, por tanto y en su condición de Responsable del Tratamiento ha dispuesto los mecanismos necesarios para obtener la respectiva autorización, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

Se entiende que la autorización cumple con los requisitos de ley cuando se manifieste por escrito ya sea en medios físicos o digitales, de forma oral y/o mediante conductas inequívocas de EL TITULAR, que permitan concluir de forma razonable que otorgó la

La autorización de EL TITULAR no será necesaria cuando se trate de:

• Entrega de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
• Casos de urgencia médica o sanitaria.
• Tratamiento de información para fines históricos, estadísticos o científicos en los cuales no se vincule la información a una persona específica.
• Datos relacionados con el Registro Civil de las Personas.
• Demás eventos previstos en la normatividad vigente.

EL TITULAR declara haber recibido explicación o haber consultado la presente POLÍTICA, obligándose a leerla, conocerla y consultarla en desarrollo del derecho que le asiste como EL TITULAR de datos personales, sin perjuicio de haber recibido una clara y adecuada ilustración respecto de esta. En consecuencia, EL TITULAR manifiesta que acepta en su integridad la presente POLÍTICA, y autoriza a AVC para que obtenga y dé tratamiento a sus datos personales, de acuerdo con los siguientes parámetros de uso:

Cuando EL TITULAR no esté de acuerdo con la presente POLÍTICA, deberá abstenerse de entablar relación alguna con AVC.

AVC mantiene parámetros de seguridad y buen uso de los datos personales apropiados y acordes con la normativa que le rige, en consecuencia, les dará a los mismos los usos adecuados para mantener la confidencialidad requerida de acuerdo con lo establecido en esta POLÍTICA y en la legislación vigente.

Los datos personales tratados por AVC podrán ser transferidos o transmitidos a ENTIDADES AUTORIZADAS por EL TITULAR y a terceros autorizados por la ley, para llevar a cabo los usos y finalidades autorizadas por EL TITULAR conforme al objeto social de AVC, o para ofrecer sus productos y/o servicios que puedan complementar o enriquecer la oferta o cuando exista autorización legal para suministrar datos personales a un tercero. En todos los eventos, dicha información se conservará bajo estricta confidencialidad y será sometida a un Tratamiento riguroso, respetando los derechos y las garantías de EL TITULAR, de conformidad con lo previsto en la ley.

AVC podrá utilizar proveedores de servicios y/o procesadores de datos que trabajen en nombre de este, incluyendo sin limitarse, contratistas, delegados, outsourcing, tercerización o aliados, con el objeto de desarrollar servicios de alojamiento de sistemas, de mantenimiento, servicios de análisis, servicios de mensajería por email, servicios de entrega, gestión de transacciones de pago, entre otros. En consecuencia, EL TITULAR entiende que al conceder la autorización para el tratamiento de datos personales autoriza a terceros para acceder y tratar su información personal, en la medida en que así se requiera para la prestación de sus servicios. Sin perjuicio de lo anterior, se precisa que tanto los proveedores como las ENTIDADES AUTORIZADAS protegen la confidencialidad de la información a su cargo.

AVC podrá recolectar información que se encuentre en el dominio público y que sea catalogada como dato público para crear o complementar sus bases de datos. A dicha información se le dará el mismo tratamiento señalado en la presente POLÍTICA, con las salvedades contenidas en la ley.

Los formatos físicos con información personal son archivados y conservados en áreas y por personal exclusivamente designado; por otra parte, los formatos electrónicos, así como las bases de datos en las que los datos son registrados, hacen parte de los sistemas informáticos de la compañía y, por tanto, dicha información, así como su acceso, están protegidos de acuerdo con la política de seguridad de la información de AVC.

Los Datos Personales, son conocidos y tratados exclusivamente por el personal que ejecuta labores propias, quienes se comprometen a guardar confidencialidad en referencia a dicha información.

EL TITULAR de la Información Personal suministrada a AVC tendrá los siguientes derechos:

• Conocer, actualizar y rectificar su información personal sin costo alguno.
• Solicitar prueba de la autorización otorgada.
• Ser informado respecto al uso que se le ha dado a su información personal.
• Revocar la autorización y solicitar la supresión de los datos cuando su uso no esté considerado dentro de las finalidades autorizadas.
• Presentar consultas y reclamos referentes a la información personal.

Las personas titulares de los datos personales tratados por AVC pueden ejercer los derechos de protección de sus datos personales estipulados en el artículo octavo de la Ley 1581 de 2012 mediante el buzón oficial_proteccion@avalvc.com.co, diligenciando y adjuntando el documento "Formato para Solicitudes Datos Personales"

Las solicitudes pueden ser realizadas por una persona diferente al titular de los datos (denominado para estos efectos “Causahabiente”), en cuyo caso deberá adjuntar autorización escrita y firmada por el titular de los datos, acompañada de imagen física o digital de los documentos de identificación del titular y del causahabiente.

Nota:La solicitud de supresión o revocatoria no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

Tiempo de atención de solicitudes de protección de datos personales

Las solicitudes referentes a protección de datos personales serán atendidas dentro de los 15 días hábiles posteriores a su recepción, cuando no fuere posible atender la solicitud dentro de dicho término, se debe informar al interesado indicando los motivos de la demora y señalando la fecha en que se atenderá su solicitud, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Reclamos de protección de datos personales

Cuando el titular de los datos considere que existe incumplimiento a las obligaciones señaladas en la Ley 1581 de 2012 sobre la información personal contenida en alguna de las bases de datos administrada por AVC, podrá presentar reclamo mediante el correo electrónico oficial_proteccion@avalvc.com.co adjuntando el documento "Formato para Solicitudes Datos Personales" correctamente diligenciado, imagen del documento de identidad del titular y los documentos que quiera hacer valer.

Para la radicación y atención de su solicitud le solicitamos suministrar la siguiente información:

• Nombre completo y apellidos.
• Datos de contacto (Dirección física y/o electrónica y teléfonos de contacto).
• Fotocopia o imagen de la Cédula de Ciudadanía del Titular y, en su caso, de la persona que lo representa, así como del documento que acredita tal representación.
• Medios para recibir respuesta a su solicitud, Motivo(s)/hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información).
• Firma (si aplica).
• Número de identificación.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Si transcurridos dos (2) meses desde la fecha del requerimiento el solicitante no ha presentado la información requerida, se entenderá que ha desistido del reclamo y por tanto se dará cierre al caso enviando la respectiva notificación.

El titular o causahabiente podrá elevar queja ante la SIC una vez haya agotado el trámite de consulta o reclamo ante AVC, si el reclamo procede y no recibe respuesta en los tiempos estipulados.

Renovación de la autorización de tratamiento de datos por cambios significativos

De acuerdo con lo establecido en el Artículo 5 del Decreto 1377 de 2013 AVC informará a los titulares de los datos personales cuando se presente alguna de las siguientes situaciones:

• Cambios sustanciales en la política de protección de datos personales de AVC.
• Cambios en la finalidad del tratamiento de los datos personales que reposan en las bases de la compañía.

Datos de manejo especial

Datos personales de niños, niñas y adolescentes

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:

• Que respondan y respeten el interés superior de los niños, niñas y adolescentes.
• Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

Son datos personales sensibles aquellos que afectan la intimidad de EL TITULAR o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a vida sexual y datos biométricos.

Adicionalmente, se consideran datos sensibles entre otros, los datos recolectados y tratados a través de las pruebas psicotécnicas, visitas domiciliarias, estudios de seguridad, que tienen como finalidad determinar el nivel de ajuste entre el perfil y las competencias del candidato a la vacante.

Las imágenes y grabaciones obtenidas por diferentes medios, que tienen como finalidad brindar seguridad de las personas, los bienes e instalaciones, y el monitoreo de las actividades propias del sector financiero, las cuales pueden ser empleadas como prueba en cualquier tipo de proceso ante cualquier autoridad. Es facultativo para EL TITULAR responder preguntas sobre datos sensibles.

De conformidad con lo establecido en el artículo 6 de la ley 1581 y normas reglamentarias, sólo procederá la autorización para tratamiento de datos sensibles cuando se cumpla con los siguientes requisitos:

• Que exista autorización explícita de EL TITULAR de los datos sensibles.
• Que EL TITULAR conozca que no está obligado a autorizar el tratamiento de dicha información.
• Que se informe a EL TITULAR cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad de ello.

De igual forma, se podrá hacer uso y tratamiento de los datos cuando:

• El Tratamiento sea necesario para salvaguardar el interés vital de EL TITULAR y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
• El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
• El Tratamiento tenga una finalidad histórica, estadística o científica.

AVC cuenta con un sistema de videovigilancia (SV) en sus instalaciones, cuyo propósito es preservar los bienes y el bienestar de las personas que allí se encuentran, así como para revisar y reconstruir hechos que alteren la seguridad dentro de las instalaciones, tales como hurtos, altercados o emergencias. Teniendo en cuenta que las tareas de monitoreo realizadas a través del SV implican la recopilación de imágenes de personas y por ende el tratamiento de datos personales (de acuerdo con la definición contenida en la Ley 1581 de 2012), AVC ha establecido las siguientes directrices para garantizar los derechos de protección de datos personales:

• La autorización para la grabación y tratamiento de sus imágenes se obtiene de parte del titular a través de “conductas inequívocas”, toda vez que al ingreso de las instalaciones se ubican avisos claramente visibles informando al titular de datos personales que a partir de su ingreso estará siendo monitoreado a través de un SV.
• El acceso y tratamiento de las imágenes está restringido a cargos de manejo y confianza y/o al personal de seguridad autorizado.
• El acceso a las imágenes por parte de terceros sólo se da a su titular, representante legal o por solicitud de una autoridad en ejercicio de sus funciones.
• Reconociendo el derecho a la intimidad, en ningún caso se instalarán sistemas de video vigilancia en los baños.
• Cuando menores de edad van a ingresar a las instalaciones de AVC, deben hacerlo en compañía de sus padres o representantes legales quienes, mediante conducta inequívoca, al ingreso de las instalaciones otorgar la autorización respectiva.

Consulta o eliminación de imágenes en el Sistema de Videovigilancia

Cuando el titular de los datos personales requiera ver o eliminar imágenes en las que él aparece, debe presentar la solicitud al correo electrónico oficial_proteccion@avalvc.com.co, indicando la ubicación de la cámara, fecha y hora respectiva y adjuntando copia de la cédula de ciudadanía del titular.

Cuando la solicitud haga referencia al acceso visual de las imágenes, se programará cita con el solicitante y se llevará a cabo respetando la privacidad de las imágenes.

Cuando la solicitud requiera la entrega de la grabación, se procederá según el tamaño de la grabación así:

• Videos con tamaño reducido: Se envía por correo electrónico cifrado al solicitante.
• Videos con tamaño mayor al permitido por el correo electrónico: Se realiza entrega de manera personal, directamente al titular en un CD/DVD o USB suministrada por el solicitante, con la carta de entrega y una copia para confirmación de recibido por parte del solicitante.

En cumplimiento de lo indicado en el artículo 25 de la ley 1581 de 2012, AVC mantiene un inventario de las bases de datos que contienen datos personales y de las cuales es Responsable. Así mismo, realiza el registro de estas bases y sus novedades en el Registro Nacional de Bases de Datos, sitio que es administrado por la Superintendencia de Industria y Comercio.

AVC se encuentra eximido de responsabilidad frente a las obligaciones adquiridas a través de la presente POLÍTICA, cuando por cualquier circunstancia una autoridad competente solicita sea revelada la información personal, para actuaciones judiciales o administrativas vinculadas a cualquier tipo de obligación, proceso, investigación, persecución, o actualización de datos acción de interés público, o entrega de reportes tributarios, entre otros.

Teniendo en cuenta las definiciones establecidas en la Ley 1581 de 2012 sobre transferencia de datos personales (ver glosario), AVC no realiza este tipo de tratamiento.

En caso de que a futuro se transfieran datos personales a otro país, deberá contarse con la autorización de EL TITULAR de la información que es objeto de transferencia.

De acuerdo con lo contemplado en el Decreto 1377 de 2013 y las directrices emitidas por la SIC, son responsabilidades del Oficial de Protección de Datos Personales:

• Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
• Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal de la Gestión de Datos Personales.
• Impulsar una cultura de protección de datos dentro de la organización.
• Mantener un inventario de las bases de datos personales en poder de la organización y clasificarlas según su tipo.
• Velar por el registro y actualización de las bases de datos de la organización en el Registro Nacional de Bases de Datos atendiendo las instrucciones que sobre el particular emita la SIC.
• Gestionar para que se realice análisis de las responsabilidades de cada cargo de la organización, para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos.
• Velar porque los colaboradores de la compañía sean entrenados en protección de datos personales, incluyendo a aquellos que por la naturaleza de su cargo tengan acceso a datos personales gestionados por la organización.
• Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la SIC.

Velar porque se dé cumplimiento a la política y al proceso de protección de datos personales.