PERSONAL DATA PROCESSING POLICY
1. COMPANY INFORMATION
Company name | Editorial Santillana S.A.S., Distribuidora y Editora Richmond S.A. las cuales se denominarán las Sociedad. |
Head Office | Bogotá D.C. |
Address | Carrera 11 No. 98 - 50 Oficina 501 |
2. LEGAL FRAMEWORK
a) Article 15 of Colombia’s Political Constitution
b) Law 1266 of 2008
c) Law 1581 of 2012
d) Regulatory Decrees 1727 of 2009, 2952 of 2010 and 1377 of 2013
e) Constitutional Court Rulings C-1018 of 2008 and C-748 of 2011
3. OVERVIEW
Our policies and procedures are based on the aforementioned legal framework, which purpose is the protection of information that has been entrusted to us. Our intention resides exclusively in the collection of information that has been voluntarily provided by our Customers, Contractors, Suppliers, Employees, Former Employees, Visitors, among other stakeholders.
This information may be obtained, not exclusively, through any of the following channels or means: i) commercial, contractual or professional relationship with the respective Client, Supplier or other third parties; ii) employment relationship with the Employees and Former Employees; iii) through personnel selection processes; iv) registration forms for trainings, competitions, seminars or courses; v) registration and access to educational platforms, pedagogical content, among others, and vi) referral of emails or electronic information requesting information.
We must point out that, when providing, delivering or sending any kind of personal information to the Corporations, the Personal Data Subject accepts that such information will be used in accordance with this Personal Data Processing policy.
This document establishes the Personal Data Processing policy of Corporations, in compliance with the provisions of Law 1581 of 2012 and Decree 1377 of 2013, and describes the mechanisms through which companies guarantee the adequate management of Personal Data collected in its Databases. This allows Subjects to exercise the right of habeas data. Likewise, the main purpose of this policy is to inform the Personal Data Subjects of their rights, the procedures and mechanisms provided by the Corporations to render these rights effective, and to make them aware of the scope and purpose of Processing and to which the Personal Data will be submitted in the event that the Subject grants his express, prior, informed and facultative Authorization.
4. MAIN DEFINITIONS
a) “Authorization”: it is the prior, express, informed and facultative consent of the Subject to carry out the Processing of his Personal Data.
b) “Authorized” Entity: refers to the Corporations and all the people under the responsibility of the Corporations, that by virtue of the Authorization and of this policy have legitimacy to process the Personal Data of the Subject.
c) “Clearance”: refers to legitimacy that is granted expressly and in writing by means of a contract or document that grants the Corporations permission to disclose information to third parties, in compliance with the applicable law, for Personal Data Processing, turning such third parties into Data Processors tasked with the processing of Personal Data that was delivered or made available.
d) “Client”: refers to a natural or legal person to whom the Corporations sell products or services to, by virtue of a pre-existing commercial or contractual relationship.
e) “Database”: refers to the organized set of Personal Data that is subject to Processing, via electronic means or otherwise, and referring to any means by which it was established, stored, organized and accessed.
f) Data “Controller”: natural or legal person, public or private, that by itself or in association with others, decides on the Database and / or the Processing of Personal Data.
g) Data “Processor”: refers to the natural or legal person, public or private, that by itself or in association with others, performs the processing of Personal Data on behalf of the Controller.
h) “Employee”: refers to a natural person who provides personal services to any of the Corporations by virtue of a pre-existing employment relationship.
i) “Financial Data”: any Personal Data referring to the setting-up, execution and extinction of monetary obligations, independently of the nature of the contract that gives rise to them, whose Processing is governed by Law 1266 of 2008 or the regulations that may complement, modify or add to said law.
j) “Former Employee”: natural person who was formerly employed by the Corporations. k) “Personal Data”: pertains to information of any kind, linked or that may be associated with one or several determined or determinable natural or legal persons.
l) Personal Data “Processing”: pertains to any operation and systematic procedure, electronic or otherwise, that allows the collection, conservation, ordering, storage, modification, use, circulation, evaluation, blocking, destruction, or, in general terms, the processing of Personal Data. This includes its transfer to third parties through communications, consultations, interconnections, assignments, and data messages.
m) Personal Data “Subject”: refers the natural or legal person to whom the information that rests in a Database refers to, and who is the subject of the right of habeas data.
n) “Privacy Notice”: refers to a verbal or written communication generated by the Controller, addressed to the Subject, for the Processing of their Personal Data, by which he is informed about the existence of the information Processing policies that will be applicable, the way to access them and the purposes of the Processing that is intended to be given to said Personal Data.
o) “Private Data”: data that is private or reserved by its nature. It only holds relevance to the Subject.
p) “Public Data”: refers to Personal Data qualified as such according to the mandates of the law or the Political Constitution of Colombia, and that is not semi-private, private or sensitive. Public Data is, among other provisions, such data as it pertains to the marital status of individuals, their profession or trade, their status as a merchant or public servant and those that can be obtained without any reservation. By its nature, Public Data may be stored, among other places, in public records, public documents, gazettes and official bulletins, or duly executed judicial sentences that are not subject to reservation.
q) “Semiprivate Data”: refers to data which has no private, reserved, or public nature and which knowledge or disclosure may be of interest not only to the Subject but to a certain sector or group of people or to society in general. Such data includes Financial Data and credit information of commercial activity, or of services.
r) “Sensitive Data”: refers to Personal Data that affects the privacy of the Subject, on which improper use can lead to their discrimination, such as information that reveals union affiliations, racial or ethnic origin, political or religious orientation, moral or philosophical convictions, social organizations, human rights organizations or those that promote the interests of any political party or that guarantee the rights and guarantees of opposition political parties, as well as data related to health, sexual life, biometric data and data about minors.
s) “Supplier”: natural or legal person who supplies goods or services to any of the Corporations by virtue of a pre-existing commercial or contractual relationship.
t) “Transfer”: refers to Personal Data Processing that implies the communication of such data inside or outside the territory of the Republic of Colombia when it pertains to the Processing of data by the Data Processor On behalf of the Controller.
u) “Transmission”: refers to Personal Data Processing activity through which they are communicated, either internally or with third parties, within or outside the territory of the Republic of Colombia, when said communication is intended to perform any activity associated with Processing by the Processor of Personal Data.
v) “User”: natural or legal person who uses any good or service offered by the Corporations.
w) “Visitor”: Any person who enters the Corporation’s facilities, who does not have an employment relationship with the Corporations.
5. PRINCIPLES
These principles are:
a) Prior authorization: all Personal Data Processing will be carried out once the prior, express, informed and facultative Authorization of the Subject has been obtained, unless the law establishes an exception to this rule. In the event that the Personal Data has been obtained prior to the law, the Corporations will seek the appropriate ordinary and alternative means to summon the Subject and obtain their retroactive Authorization, following the provisions of Decree 1377 of 2013 and the corresponding norms.
b) Authorized purpose: all Personal Data Processing must comply with the purposes mentioned in this policy or in the Authorization granted by the Personal Data Subject, or in the specific documents where each type or process of Personal Data Processing is regulated. The purpose of Processing any particular Personal Data must be informed to the Personal Data Subject at the moment of obtaining his or her Authorization. Such Personal Data cannot be processed outside of the purposes informed and consented by the Subjects.
c) Data quality: the Personal Data submitted for Processing must be truthful, complete, accurate, updated, verifiable and understandable. Should the Processor be in the possession of partial, incomplete, fragmented or misleading Personal Data, the Corporations must refrain from Processing said data, or request the Subject to complete or correct the information.
d) Delivery of information to the Subject: upon Subject request, the Corporations must provide information about the existence of Personal Data that concerns the petitioner. This delivery of information will be carried out by the corresponding department within the Corporations that is responsible for the protection of Personal Data.
e) Restricted circulation: Personal Data can only be processed by such personnel inside the Corporations that have Authorization to do so, or those who within their functions are in charge of carrying out such activities. Personal Data can not be delivered to those who do not have Authorization or have not been authorized by the Corporations to carry out Processing.
f) Temporality: the Corporations will not use the information of the Subject beyond the reasonable term required for the purposes of fulfilling the task that was informed to the Personal Data Subject.
g) Restricted access: except for the data expressly authorized, the Corporations will not be able to make Personal Data available for access through the internet or other means of mass communication, unless technical and security measures are established to control access and restrict it only to Authorized persons.
h) Confidentiality: the Corporations must always perform the Processing of Data by providing the technical, human and administrative measures that are necessary to maintain the confidentiality of said Personal Data and to prevent it from being adulterated, modified, viewed, used, accessed, deleted, lost or known by unauthorized persons, or by authorized and unauthorized persons in a fraudulent manner. For the undertaking of any new project involving Personal Data Processing, this Data Processing policy should be consulted.
i) Confidentiality and subsequent Processing: all Personal Data that is not Public Data must be processed and handled by the Controller as confidential, even when the contractual relationship or the link between the Personal Data Subject and the Corporations has ended. Upon termination of such link, all Personal Data must continue to be processed in accordance with this policy and with the law.
j) Individuality: the Corporations will keep Databases in which they are acting as the Processor, and for which they are acting as the Controller, separate.
k) Necessity: Personal Data can only be processed during the time and to the extent that the purpose of it´s Processing justifies.
6. DATABASE CONTENTS
Sensitive information may be stored within the Databases with the prior Authorization of the Subject, in compliance with the provisions of articles 5 and 7 of Law 1581 of 2012.
7. DATA PROCESSING AND PURPOSES
The Personal Data processed by the Corporations are subject to the purposes indicated below. Likewise, the Processors or third parties who have access to the Personal Data by virtue of the law or contract, will perform Data Processing only for the following purposes:
a) Execute all existing commercial or contractual relationship with Customers, Suppliers, Employees and Former Employees, including the payment of contractual obligations and the exercise of the rights derived from them.
b) Consult, request, supply, report, and disclose all the information that refers to the credit, financial and commercial behavior of Clients in the credit bureaus: CIFIN (BANK ASSOCIATION) and DATACREDITO (COMPUTEC), as well as to financial entities of Colombia that lend the same service or whoever represents their rights;
c) Provide the services and / or products required by its Users;
d) Inform about new products or services and / or about changes regarding such products or services;
e) Conduct internal research on consumer habits;
f) Send commercial, advertising or promotional information about products and / or services, events and / or promotions, in order to promote, invite, direct, execute, inform and in general, carry out campaigns, promotions or contests of a commercial or advertising nature, developed by the Corporations and / or third parties;
g) Provide tools for the improvement of all educational process of its Users;
h) Develop selection, evaluation, and employment relationship processes, and the processes required to fully comply with the employment relationship. This includes the granting of employment benefits;
i) Partake in internal or external audit processes;
j) Manage all necessary information for the fulfillment of tax obligations and commercial, corporate and accounting records of the Corporations;
k) Comply with the internal processes of the Corporations as it relates to the of administration of Suppliers, Clients, Employees, Former Employees, Users and Visitors;
l) Execute archiving processes, and perform system updates, protection, and custody of information and Databases of the Corporations;
m) Carry out processes within the Corporations for the development, operation and / or administration of their own or third-party systems;
n) Transmit or transfer data to third parties with which contracts have been executed for commercial, contractual, administrative, marketing and / or operational purposes; o) Determine, with absolute certainty, the identity of the people who shall enter the Corporation’s facilities. This shall ensure Employee safety, and safeguarding assets of the Corporations and Visitors. This information may be shared with the company that provides private security services to the Corporations, with the aim of ensuring the safety of Employees, Visitors and assets of the Corporations;
p) Carry out an adequate risk management assessment that allows for the timely and adequate response in emergencies that may affect the physical integrity of Employees and Visitors, as well as the facilities and assets of the Corporations;
q) Facilitate access the Corporations´ facilities;
r) Control, monitor and record the historical information of movement of people, personnel, Visitors and assets that shall enter the facilities of the Corporations;
s) Any other purposes determined by the Controllers that are tasked with obtaining Personal Data for Processing, and that are communicated to the Subjects at the time of the collection of Personal Data.
8. USE OF SENSITIVE DATA
a) Obtención de Datos Sensibles. Las Sociedades obtendrán información catalogada por la normatividad como Datos Sensibles en los siguientes eventos, cuando:
(i) Los Titulares sean menores de edad;
(ii) Los Titulares den su Autorización de manera expresa y previa o concomitante en relación con el dato recolectado. Lo anterior salvo que se presente uno de los eventos en los cuales por ley la Autorización no sea requerida;
(iii) El Tratamiento de los datos sea necesario para salvaguardar un interés vital del Titular, caso en el cual se requerirá la Autorización previa de quien ejerza la representación legal del Titular;
(iv) Se refieran a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
(v) Tengan una finalidad histórica, estadística o científica, para lo cual deberán tomarse todas las medidas conducentes a la eliminación de la identidad de los Titulares.
(vi) Sean necesarios para ejecutar la relación laboral, incluido el pago de obligaciones contractuales y el otorgamiento de beneficios.
(vii) Se usen para garantizar la seguridad de los Empleados, los bienes de las Sociedades y los Visitantes dentro de las instalaciones de las Sociedades.
b) Excepciones a la Autorización previa y expresa del Titular. Sin perjuicio de lo anterior, y de conformidad con la ley, las Sociedades podrán proceder al Tratamiento de sus datos, sin que se requiera su Autorización previa, cuando se trate de:
(i) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
(ii) Datos de naturaleza pública (de conformidad con la definición legal del término);
(iii) Casos de urgencia médica o sanitaria;
(iv) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
(v) Datos relacionados con el Registro Civil de las Personas.
Salvo las excepciones anteriormente mencionadas, y dentro de los fines legítimos propios del objeto social de las Sociedades, en ningún caso las Sociedades suministrarán, distribuirán, comercializarán, compartirán, intercambiarán con terceros y, en general, realizarán actividad alguna en la cual se vea comprometida la confidencialidad y protección de la información recolectada.
Sin embargo, los datos que sean recolectados por las Sociedades podrán, eventualmente, ser entregados, transmitidos o transferidos a entidades públicas, socios comerciales, contratistas, afiliados, subsidiarias, filiales, terceros, o miembros del grupo corporativo a nivel mundial, únicamente con el fin de cumplir con las finalidades de la Base de Datos correspondiente. En todo caso, la entrega, Transmisión o Transferencia se hará previa suscripción de los compromisos que sean necesarios para salvaguardar la confidencialidad de la información y se deberá contar con su consentimiento y Autorización antes de compartir dicha información.
9. AUTHORIZATION
La Autorización es una declaración que informa al Titular de los datos la siguiente información:
a) El Responsable o Encargado de recopilar la información.
b) Los Datos Personales recopilados.
c) Las finalidades del Tratamiento. d) El procedimiento para el ejercicio de los derechos de acceso, corrección, actualización o supresión de datos.
10. PRIVACY NOTICE
En el evento en el que las Sociedades no puedan poner a disposición del Titular del Dato Personal la presente política de Tratamiento de la Datos Personales, publicará el Aviso de Privacidad que se adjunta al presente documento, cuyo texto conservará para consulta posterior por parte del Titular del Dato y/o de la Superintendencia de Industria y Comercio.
11. MINORS AND ADOLESCENTS DATA PROTECTION
a) La finalidad del Tratamiento responda al interés superior de los niños, niñas y adolescentes.
b) Se asegure el respeto de sus derechos fundamentales de los niños, niñas y adolescentes.
c) De acuerdo con la madurez del niño, niña o adolescente se tenga en cuenta su opinión.
En todo caso, en las actividades educativas y pedagógicas, así como en las actividades comerciales y de mercadeo que se realicen se deberá contar con la Autorización previa, expresa, informada y facultativa del padre o madre o del representante legal de la niña, niño o adolescente.
12. INTERNATIONAL TRANSFER OF PERSONAL DATA
a) Información respecto de la cual el Titular haya otorgado su Autorización expresa e inequívoca para la Transferencia;
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la Autorización del Titular;
f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
13. INTERNATIONAL TRANSMISSION OF PERSONAL DATA
Igualmente, las Sociedades deberán suscribir los correspondientes contratos de Transmisión internacional de Datos con los Encargados, para el Tratamiento de Datos Personales bajo su control y responsabilidad, señalando los alcances del Tratamiento, las actividades que el Encargado realizará por cuenta de las Sociedades y las obligaciones del Encargado para con el Titular y las Sociedades.
Mediante dicho contrato los Encargados se deben comprometer a dar aplicación a las obligaciones que surgen para las Sociedades de su política de Tratamiento de Datos Personales y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deben incluirse las siguientes obligaciones en cabeza del respectivo Encargado:
a) Dar Tratamiento, a nombre de las Sociedades, a los Datos Personales conforme a los principios que los tutelan.
b) Salvaguardar la seguridad de las Bases de Datos en los que se contengan Datos Personales.
c) Guardar confidencialidad respecto del Tratamiento de los Datos Personales.
14. SECURITY
De conformidad con lo dispuesto en el artículo 19 del Decreto 1377 de 2013, las Sociedades se comprometen a adoptar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros. No obstante lo anterior, las Sociedades declaran que poseen políticas de seguridad de la información y una infraestructura tecnológica que protege de manera razonable la información personal recolectada, limitando el acceso a terceros en la medida de lo posible. Sin embargo, las Sociedades realizarán esfuerzos continuados para mejorar los estándares de seguridad que protegen la información personal recolectada.
15. COOKIES
Las Sociedades reconocen que es posible que en sus sitios web se utilicen “cookies”. Por “Cookie” se entiende un archivo pequeño con una cadena de caracteres que se envía al ordenador de quien ingresa a un sitio web, lo cual permite almacenar, entre otras, las preferencias del Usuario. Si bien es posible que el Usuario, aun cuando no permita la utilización de cookies, pueda acceder a los sitios web de las Sociedades, para poder administrar y hacer una correcta administración de los sitios web, es posible que de manera anónima las Sociedades alimenten sus sistemas operacionales con la información derivada de las cookies, e identifiquen las categorías de Visitantes por rubros como dominios y tipo de “browsers”. Toda esta información podrá ser introducida en los webmasters de las Sociedades, con la finalidad de proporcionar una mejor experiencia a quienes utilicen los sitios web de las Sociedades.
16. PERSONAL DATA SUBJECT RIGHTS
a) Conocer, actualizar y rectificar sus Datos Personales frente a las Sociedades o los Encargados del Tratamiento de los mismos. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la Autorización otorgada a las Sociedades, salvo que la Ley indique que dicha Autorización no es necesaria.
c) Presentar solicitudes ante las Sociedades o el Encargado del Tratamiento respecto del uso que le ha dado a sus Datos Personales, y a que éstas le entreguen tal información.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley.
e) Revocar su Autorización y/o solicitar la supresión de sus Datos Personales de las Bases de Datos de las Sociedades, cuando la Superintendencia de Industria y Comercio haya determinado mediante acto administrativo definitivo que en el Tratamiento las Sociedades o el Encargado del Tratamiento ha incurrido en conductas contrarias a la ley o cuando no hay una obligación legal o contractual de mantener el Dato Personal en la Base de Datos del Responsable.
f) Solicitar acceso y acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento de acuerdo con el artículo 21 del Decreto 1377 del 2013.
g) Conocer las modificaciones a los términos de esta política de manera previa y eficiente a la implementación de las nuevas modificaciones o, en su defecto, de la nueva política de Tratamiento de la información.
h) Tener fácil acceso al texto de esta política y sus modificaciones.
i) Acceder de manera fácil y sencilla a los Datos Personales que se encuentran bajo el control de las Sociedades para ejercer efectivamente los derechos que la ley les otorga a los Titulares.
j) Conocer a la dependencia o persona facultada por las Sociedades frente a quien podrá presentar quejas, consultas, reclamos y cualquier otra solicitud sobre sus Datos Personales.
Los Titulares podrán ejercer sus derechos de ley y realizar los procedimientos establecidos en esta política, mediante la presentación de su cédula de ciudadanía o documento de identificación original. Los menores de edad podrán ejercer sus derechos personalmente, o a través de sus padres o los adultos que detenten la patria potestad, quienes deberán demostrarlo mediante la documentación pertinente. Así mismo podrán ejercer los derechos del Titular los causahabientes que acrediten dicha calidad, el representante y/o apoderado del Titular con la acreditación correspondiente y aquellos que han hecho una estipulación a favor de otro o para otro.
17. DUTIES OF THE CONTROLLERS AND PROCESSORS RESPONSIBLE FOR PERSONAL DATA PROCESSING
a) Deberes cuando actúa como Responsable:
(i) Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva Autorización otorgada por el Titular.
(ii) Informar de manera clara y suficiente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la Autorización otorgada.
(iii) Informar a solicitud del Titular sobre el uso dado a sus Datos Personales.
(iv) Tramitar las consultas y reclamos formulados en los términos señalados en la presente política.
(v) Procurar el cumplimiento de los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en esta política.
(vi) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
(vii) Actualizar la información cuando sea necesario.
(viii) Rectificar los Datos Personales cuando ello sea procedente.
b) Deberes respecto de la Superintendencia de Industria y Comercio:
(i) Informar las eventuales violaciones a los códigos de seguridad y la existencia de riesgos en la administración de la información de los Titulares.
(ii) Realizar la inscripción en el Registro Nacional de Bases de Datos, administrado por la Superintendencia de Industria y Comercio.
(iii) Actualizar la información registrada de las Bases de Datos de las Sociedades dentro de los diez (10) días hábiles de cada mes cuando haya cambios sustanciales y en todo caso anualmente, entre el dos de enero y el treinta y uno de marzo.
(iv) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
18. AREA RESPONSIBLE FOR PROCESSING INQUIRIES, PETITIONS, COMPLAINTS OR CLAIMS
Algunas de las funciones particulares de esta área en relación con Datos Personales son:
- a) Recibir las solicitudes de los Titulares de Datos Personales, tramitar y responder aquellas que tengan fundamento en la ley o estas políticas, como por ejemplo: solicitudes de actualización de Datos Personales; solicitudes de conocer los Datos Personales; solicitudes de supresión de Datos Personales cuando el Titular presente copia de la decisión de la Superintendencia de Industria y Comercio de acuerdo con lo establecido en la ley, solicitudes de información sobre el uso dado a sus Datos Personales, solicitudes de actualización de los Datos Personales, solicitudes de prueba de la Autorización otorgada, cuando ella hubiere procedido según la ley.
- b) Dar respuesta a los Titulares de los Datos Personales sobre aquellas solicitudes que no procedan de acuerdo con la ley. Los datos de contacto de la dirección administrativa y financiera son:
(i) Dirección física: carrera 11A No. 98 – 50 Oficina 501, Bogotá D.C., Colombia
(ii) Dirección electrónica: servclient@santillana.com
(iii) Teléfono: línea de atención nacional (601) 390 6950 – 300 912 14 32.
19. PROCEDURES TO EXERCISE THE RIGHTS OF PERSONAL DATA SUBJECTS
Las Sociedades dispondrán de mecanismos para que el Titular, sus causahabientes, sus representantes y/o apoderados, aquellos a quienes se ha estipulado a favor de otro o para otro, y/o los representantes de menores de edad Titulares, formulen consultas respecto de cuáles son los Datos Personales del Titular que reposan en las Bases de Datos de las Sociedades.
Estos mecanismos podrán ser: electrónicos, a través del correo electrónico servclient@santillana.com; físicos, en la dirección carrera 11A No. 98 – 50 oficina 501 Bogotá D.C.; o telefónicos en la línea de atención nacional (601) 390 6950 – 300 912 14 32, encargados de recibir las peticiones, quejas y reclamos. Cualquiera que sea el medio, las Sociedades guardarán prueba de la consulta y su respuesta.
(i) Si el solicitante tuviere capacidad para formular la consulta, de conformidad con los criterios de acreditación establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013, las Sociedades recopilarán toda la información sobre el Titular que esté contenida en el registro individual de esa persona o que esté vinculada con la identificación del Titular dentro de las Bases de Datos de las Sociedades y se la hará conocer al solicitante.
(ii) El responsable de atender la consulta dará respuesta al solicitante siempre y cuando tuviere derecho a ello por ser el Titular del Dato Personal, su causahabiente, apoderado, representante, se haya estipulado por otro o para otro, o sea el responsable legal en el caso de menores de edad. Esta respuesta se enviará dentro de los diez (10) días hábiles contados a partir de la fecha en la que la solicitud fue recibida por las Sociedades.
(iii) En caso de que la solicitud no pueda ser atendida a los diez (10) días hábiles, se contactará al solicitante para comunicarle los motivos por los cuales el estado de su solicitud se encuentra en trámite. Para ello se utilizará el mismo medio o uno similar al que fue utilizado por el Titular para comunicar su solicitud.
(iv) La respuesta definitiva a todas las solicitudes no tardará más de quince (15) días hábiles desde la fecha en la que la solicitud inicial fue recibida por las Sociedades.
b) Reclamos
Las Sociedades disponen de mecanismos para que el Titular, sus causahabientes, representante y/o apoderados, aquellos que estipularon por otro o para otro, y/o los representantes de menores de edad Titulares, formulen reclamos respecto de:
(i) Datos Personales tratados por las Sociedades que deben ser objeto de corrección, actualización o supresión, o
(ii) el presunto incumplimiento de los deberes de ley de las Sociedades.
Estos mecanismos podrán ser: electrónicos, a través del correo electrónico servclient@santillana.com; físicos, en la dirección carrera 11A No. 98 – 50 oficina 501 Bogotá D.C.; o telefónicos en la línea de atención nacional (601) 390 6950 – 300 912 14 32, encargados de recibir las peticiones, quejas y reclamos.
(i) El reclamo deberá ser presentado por el Titular, sus causahabientes o representantes o acreditados de conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013, así:
-
- Deberá dirigirse a las Sociedades por vía electrónica a la dirección de correo servclient@santillana.com; físicos, en la dirección carrera 11A No. 98 – 50 oficina 501 Bogotá D.C.; o telefónicos en la línea de atención nacional (601) 390 6950 – 300 912 14 32.
- Deberá contener el nombre y documento de identificación del Titular.
- Deberá contener una descripción de los hechos que dan lugar al reclamo y el objetivo perseguido (actualización, corrección o supresión, o cumplimiento de deberes).
- Deberá indicar la dirección y datos de contacto e identificación del reclamante.
- Deberá acompañarse por toda la documentación que el reclamante quiera hacer valer.
Las Sociedades antes de atender el reclamo verificarán la identidad del Titular del Dato Personal, su representante y/o apoderado, o la acreditación de que hubo una estipulación por otro o para otro. Para ello pueden exigir la cédula de ciudadanía o documento de identificación original del Titular, y los poderes especiales, generales o documentos que se exijan según sea el caso.
(ii) Si el reclamo o la documentación adicional están incompletos, las Sociedades requerirán al reclamante por una sola vez dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Si el reclamante no presenta la documentación e información requerida dentro de los dos (2) meses siguientes a la fecha del reclamo inicial, se entenderá que ha desistido del reclamo.
(iii) Si por cualquier hecho la persona que recibe el reclamo al interior de las Sociedades no es competente para resolverlo, dará traslado a la dirección administrativa y financiera dentro de los dos (2) días hábiles siguientes a haber recibido el reclamo, e informará de dicha remisión al reclamante.
(iv) Una vez recibido el reclamo con la documentación completa, se incluirá en la Base de Datos de las Sociedades donde reposen los datos del Titular sujetos a reclamo una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Esta leyenda deberá mantenerse hasta que el reclamo sea decidido.
(v) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
20. CHANGES TO THE PERSONAL DATA PROCESSING POLICY
Las Sociedades se reservan el derecho de modificar la presente política según lo requiera para su funcionamiento y cumplimiento normativo. No obstante lo anterior, en caso de haber cambios sustanciales en el contenido de la política de Tratamiento de Datos Personales se dará a conocer su última versión a través de medios físicos o electrónicos.
21. VALIDITY
Esta política rige a partir del 29 de enero de 2018. Los Datos Personales que sean almacenados, utilizados o transmitidos permanecerán en nuestra Base de Datos, con base en el criterio de temporalidad y necesidad, durante el tiempo que sea necesario para las finalidades mencionadas en esta política, para las cuales fueron recolectados.
ANEXO. AVISO DE PRIVACIDAD
Esta página web pretende ofrecer el más alto nivel de seguridad. Sin embargo, teniendo en consideración las características técnicas de la Transmisión de información por internet, ningún sistema es cien por ciento (100%) seguro o exento de ataques. Las Sociedades respetan su privacidad y por lo tanto toda información que nos sea proporcionada será tratada con cuidado y con la mayor seguridad posible, y solo será usada de acuerdo con las limitaciones que en este documento se establecen. Las Sociedades, sólo obtienen sus Datos Personales cuando éstos son suministrados directa, voluntaria y conscientemente por el Titular.
Su privacidad y confianza son muy importantes para nosotros. Por ello, y en cumplimiento con lo establecido por la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de Datos Personales”, y el Decreto 1377 del 27 de junio de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”, las Sociedades ponen en su conocimiento la política de Tratamiento de Datos Personales que puede consultar a través de la página web www.santillana.com.co/tratamiento-de-datos/
Los Datos Personales, incluyendo los sensibles, que actualmente o en el futuro obren en nuestras Bases de Datos, y que proporcione cualquier persona física, incluyendo sin limitar, Clientes, Proveedores y/o cualquier Usuario, a las Sociedades, serán tratados, almacenados, utilizados, transferidos y/o transmitidos precisamente por las Sociedades, y/o las empresas controladoras de éste, y/o sus empresas filiales, y/o subsidiarias, y/o aquellos terceros que, por naturaleza de sus trabajos o funciones tengan la necesidad de tratar y/o utilizar para los fines que en forma enunciativa pero no limitativa se describen a continuación:
a) Ejecutar la relación comercial o contractual existente con sus Clientes, Proveedores, Empleados y Exempleados, incluida el pago de obligaciones contractuales y el ejercicio de los derechos derivados de los mismos;
b) Consultar, solicitar, suministrar, reportar, y divulgar toda la información que se refiere al comportamiento crediticio, financiero y comercial de Clientes en las centrales de riesgo: CIFIN (ASOCIACION BANCARIA) y DATACREDITO (COMPUTEC) y a entidades financieras de Colombia, que presten el mismo servicio o a quien represente sus derechos;
c) Proveer los servicios y/o los productos requeridos por sus Usuarios;
d) Informar sobre nuevos productos o servicios y/o sobre cambios en los mismos;
e) Realizar estudios internos sobre hábitos de consumo;
f) Enviar información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o promociones, con el fin de impulsar, invitar, dirigir, ejecutar, informar y de manera general, llevar a cabo campañas, promociones o concursos de carácter comercial o publicitario, adelantados por las Sociedades y/o por terceras personas;
g) Brindar herramientas para el mejoramiento del proceso educativo de los Usuarios;
h) Desarrollar el proceso de selección, evaluación, y vinculación laboral, así como los procesos requeridos para dar cumplimiento a cabalidad de la relación laboral, incluido el otorgamiento de beneficios;
i) Soportar procesos de auditoría interna o externa;
j) Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables de las Sociedades;
k) Cumplir con los procesos internos de las Sociedades en materia de administración de Proveedores, Clientes, Empleados, Exempleados, Usuarios y Visitantes;
l) Ejecutar el proceso de archivo, de actualización de los sistemas, de protección y custodia de información y Bases de Datos de las Sociedades;
m) Realizar procesos al interior de las Sociedades, con fines de desarrollo, operación y/o de administración de sistemas propios o de terceros;
n) Transmitir o transferir datos a terceros con los cuales se hayan celebrado contratos con este objeto, para fines comerciales, contractuales, administrativos, de mercadeo y/u operativos;
o) Determinar de manera cierta la identidad de las personas que ingresan a las instalaciones de las Sociedades por temas de seguridad de los Empleados, bienes de las Sociedades y Visitantes. Esta información podrá ser compartida con la empresa que presta los servicios de seguridad privada a las Sociedades, con el objetivo de velar por la seguridad de Empleados, Visitantes y bienes de las Sociedades;
p) Realizar una adecuada gestión de riesgos que permita atender de manera oportuna y adecuada emergencias que puedan afectar la integridad física de Empleados y Visitantes, además de las instalaciones y bienes de las Sociedades;
q) Facilitar el acceso a las instalaciones de las Sociedades;
r) Controlar, monitorear y registrar la información histórica de ingresos de personal, Visitantes y activos a las instalaciones de las Sociedades;
s) Las demás finalidades que determinen los Responsables en procesos de obtención de Datos Personales para su Tratamiento y que sean comunicadas a los Titulares en el momento de la recolección de los Datos Personales.
Las Sociedades podrán transferir los Datos Personales que obren en sus Bases de Datos a cualesquiera de las empresas del grupo corporativo al cual pertenecen, sean controladoras, y/o subsidiarias, y/o filiales, e incluso a terceras personas jurídicas, nacionales o extranjeras, salvo que el respectivo Titular manifieste expresamente su oposición. Para conocer en cada momento las empresas y/o servicios que forman parte del Grupo Prisa y/o las empresas afiliadas, puedes consultar la siguiente página www.prisa.com. En todo momento, el uso de los Datos Personales tendrá relación con el tipo de interacción jurídica que usted tiene con las Sociedades en su calidad de “Responsable”: ya sea comercial, contractual, civil, mercantil o de cualquier otra naturaleza.
Al visitar cualquiera de los sitios de internet de las Sociedades, será posible recopilar automáticamente información estándar de registro, incluyendo tu dirección IP, tipo de navegador, el idioma, tiempos de acceso y direcciones de sitios web. Para asegurar que este sitio web está siendo bien administrado y facilitar una mejor navegación, las Sociedades o los Proveedores de servicios podrán utilizar cookies (archivo pequeño con una cadena de caracteres que se envía al ordenador de quien ingresa a un sitio web, lo cual permite almacenar, entre otras, las preferencias del Usuario) o web beacons (imágenes electrónicas que permiten contar los Visitantes que han accedido a una página en particular y acceder a determinadas cookies) para recoger datos agregados.
Es requisito indispensable para acceder y beneficiarse de las ventajas de determinadas secciones de la web, que se registre a través del formulario habilitado para tal efecto, facilitándole a las Sociedades sus Datos Personales. Aunque varios de ellos no son obligatorios para el registro, le aconsejamos que también proporcione los demás datos que figuren en el formulario, ya que ello ayudará a las Sociedades a prestarle un mejor servicio. El Titular es responsable de la veracidad, exactitud y actualización de la información facilitada a través de la web; en este sentido, queda prohibida la utilización de identidades falsas y la suplantación, de cualquier forma, de la identidad de terceros (incluyendo el uso de sus datos, contraseñas o claves). En tales casos, la información que el Titular envíe se utilizará para gestionar su solicitud, para personalizar y mejorar este sitio web y los servicios relacionados. Las Sociedades también podrán utilizar su información personal para fines de marketing o para enviarle materiales promocionales o comunicaciones relativas a los servicios prestados por otras entidades relacionadas con las Sociedades, que consideremos puedan ser de su interés. La información personal del Titular también puede ser usada para proteger los derechos o propiedad de las Sociedades, así como la de sus Usuarios y, en su caso, en el cumplimiento de un proceso legal.
El nombre de Usuario, clave o contraseña que las Sociedades le faciliten para el acceso y utilización de la web deberá ser custodiado por el Titular de forma diligente, respondiendo por su uso indebido y exonerando a las Sociedades de cualquier responsabilidad que pudiera derivarse de su pérdida o acceso ilegítimo por parte de un tercero, hasta que el Titular comunique dicha circunstancia.
Le recordamos que tiene la posibilidad de acceder en cualquier momento a sus Datos Personales y el derecho de solicitar expresamente, su corrección, actualización o supresión, en los términos establecidos por la Ley 1581 de 2012 dirigiendo una comunicación escrita a través del correo electrónico servclient@santillana.com; físicos, en la dirección carrera 11A No. 98 – 50 oficina 501 Bogotá D.C.; o telefónicos en la línea de atención nacional (601) 390 6950 – 300 912 14 32.
a) Informar el nombre y adjuntar documento de identificación del Titular.
b) Describir los hechos que dan lugar al reclamo y el objetivo perseguido (actualización, corrección o supresión, o cumplimiento de deberes).
c) Indicar la dirección y datos de contacto e identificación del reclamante.
d) Adjuntar la documentación que el reclamante quiera hacer valer.
Para lo anterior, el Titular deberá remitir a las Sociedades mediante documento escrito físico y/o electrónico según corresponda, los Datos Personales que desea sean rectificados, cancelados o revisados, así como el propósito para el cual los aportó, cumpliendo con los siguientes requisitos:
Las Sociedades se reservan el derecho de cambiar, modificar, complementar, alterar o ampliar el presente Aviso de Privacidad en cualquier tiempo, y lo mantendrán siempre a disposición a través de los medios que establece la legislación en la materia.