Reglamentar y proveer a COMUNICAN S.A. e INVERSIONES CROMOS S.A.S., en adelante denominadas “la Compañía”, lineamientos específicos sobre la recolección, almacenamiento, uso y tratamiento de datos personales así la exposición de los procedimientos y políticas asociados a esta información conforme lo requiere la norma vigente de habeas data a la fecha de publicación del presente manual.

II. Marco legal

El presente manual interno reglamenta las políticas y procedimientos de tratamiento de datos personales de la Compañía, en los términos y condiciones establecidos en la Ley 1581, Decreto 1377 de 2013, Decreto 886 de 2014 y demás normas concordante.

De conformidad con el literal k) del artículo 17 de la ley 1581 de 2012 y el artículo 13 del Decreto 1377 de 2013, la Compañía estipula en el presente documento un manual de procedimientos y políticas de tratamiento de datos personales.

El presente manual deberá ser acatado por todas las personas naturales o jurídicas que realizan operaciones en nombre de la Compañía que requieran la recolección de datos personales, bajo las definiciones de la ley 1581 de 2012, Decreto 1377 de 2013 y demás normas concordantes.

El marco legal destaca las siguientes definiciones:

• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

• Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.

• Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular

……….

• Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

III. Gobierno de datos

3.1. Responsable del tratamiento de datos

Nombre: COMUNICAN S.A. o INVERSIONES CROMOS S.A.S.

Domicilio: Bogotá D.C.

Dirección: Calle 103 No. 69B-43, Torre 5

Correo electrónico: e-mail databasemarketing@elespectador-cromos.com

Teléfono: 4232300

El área de inteligencia de mercados es responsable de asegurar el cumplimiento de las exigencias de habeas data y de soportar todos los procesos de la compañía para que se encuentren alineados con lo estipulado por el régimen de protección de datos personales en Colombia.

La Secretaría General y Jurídica es encargada de brindar todos los lineamientos legales para la recolección a través de todos cualquier canal, esto incluye cláusulas, contratos, acuerdos de confidencialidad y minutas de protección de datos personales.

Cualquier recolección que no se adapte a los procedimientos descritos en el presente manual, (por ejemplo, recolección de datos semiprivados, privados o sensibles) debe ser aprobada por esta área.

3.2. Tratamiento al cual son sometidos los datos:

(i) Gestionar tareas de administración;

(ii) Otorgar beneficios comerciales de la Compañía, filiales, subsidiarias, así como de sus anunciantes, aliados estratégicos y proveedores;

(iii) Realizar estudios estratégicos, y otorgamiento de los beneficios comerciales de clientes, entre otros;

……….

(iv) Realizar actividades de mercadeo de los productos y servicios de la Compañía, y de los productos y servicios de sus filiales y/o aliados comerciales.

3.3. Deberes del responsable del tratamiento de datos personales

(i) Solicitar y conservar copia de la respectiva autorización otorgada por el titular;

(ii) Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

(iii) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data;

(iv) Informar a solicitud del titular sobre el uso dado a sus datos personales;

(v) Tramitar las consultas y reclamos formulados por los titulares de los datos personales;

(vi) Atender las consultas y reclamos conforme se señala en el presente manual en sus numerales VII y VIII.

3.4. Deberes del responsable respecto de la calidad, seguridad y

confidencialidad de los datos personales

(i) Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la Ley;

(ii) Actualizar la información cuando sea necesario;

(iii) Rectificar los datos personales cuando ello sea procedente;

(iv) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3.5. Deberes del responsable cuando realiza el tratamiento a través de un encargado

(i) Suministrar al encargado del tratamiento únicamente los datos personales cuyo tratamiento esté previamente autorizado por el titular del dato personal;

(ii) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

(iii) Comunicar en forma oportuna al encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

(iv) Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

……….

3.6. Responsabilidades del encargado del tratamiento de datos

El encargado del tratamiento de datos es responsable de la administración de una base de datos única, centralizada y protegida con las mejores prácticas vigentes, la cual almacenará todos los registros personales recolectados en el ejercicio de la operación de la compañía, estos, con el respectivo canal de adquisición y soporte de autorización, área dueña del proceso de recolección y fin de la recolección de datos.

PROCEDIMIENTO PARA HABILITAR A UN TERCERO COMO ENCARGADO DE TRATAMIENTO DE DATOS PERSONALES.

Para que un tercero se convierta en Encargado de tratamiento de datos, este debe ser avalado por la Secretaría General y Jurídica y por la Jefatura de Inteligencia de Mercados.

La primera se encargará de asegurar que las políticas de tratamiento de datos del encargado, están completamente alineadas con las políticas de tratamiento de datos de la compañía con el fin de evitar incurrir en manejos o tratamientos inadecuados de los datos personales que los titulares han otorgado a la compañía. Todas las actividades que requieran de un tercero para administrar cualquier tipo de dato personal, semiprivado, privado o sensible, deben adoptar una minuta contractual de tratamiento de datos personales. La segunda se encargará de validar que la parte operativa de la recolección y almacenamiento de datos personales cumple con los mínimos de seguridad adecuados para la protección de los datos otorgados por los titulares.

Es deber de todo funcionario seguir el procedimiento descrito anteriormente, cuando este, en consecución de sus actividades requiera delegar actividades de recolección de datos personales.

El encargado del tratamiento de datos está en la obligación de asesorar y guiar a cualquier área de negocio o soporte de la compañía sobre la implementación de los parámetros y metodologías adecuadas para la recolección de datos personales, semiprivados, privados o sensibles.

……….

Una vez los datos sean recolectados, siguiendo las normas que se indican en el marco legal de este manual, el procedimiento será evaluado nuevamente por el encargado del tratamiento quien, siguiendo los lineamientos del marco legal sobre la protección de datos personales, decidirá si los datos o cualquier información asociada a estos podrá ser almacenada, o deberá ser eliminada por negligencias o fallas en el proceso de autorización y recolección de datos personales.

3.7. El despliegue interno de la Política de Protección de Datos

A partir de la adopción de la presente Política, COMUNICAN S.A. e INVERSIONES CROMOS S.A.S. establecerán:

3.7.1. Términos y condiciones de uso de herramientas informáticas externas:

Autorregulación de los principios y las reglas consagradas en la ley 1581 de 2012, dirigidos específicamente a proteger el derecho de hábeas data de clientes, usuarios y en general toda persona natural con la que se tenga una interacción de orden transaccional (gestión de información física o electrónica).

3.7.2. Oficial de Protección de Datos:

En cumplimiento del deber legal consagrado en el artículo 17 de la ley 1581 de 2012, relativo a la necesidad de asignar unas responsabilidades directas a un sujeto dentro de la Organización, se crea el rol de Oficial de Protección de Datos Personales, quien articulará todas las acciones para el efectivo cumplimiento de la Política de Protección de Datos Personales en COMUNICAN S.A. e INVERSIONES CROMOS S.A.S.

Las obligaciones más importantes a cargo del Oficial de Protección de Datos son las siguientes:

i. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

ii. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.

iii. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

……….

iv. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

v. Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. vi. Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

vii. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del tratamiento.

viii. Suministrar al Encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

ix. Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

x. Tramitar las consultas y reclamos formulados en los términos señalados en la ley.

xi. Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

xii. Informar a solicitud del Titular el uso dado a sus datos personales.

xiii. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. xiv. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio (SIC).

El Oficial del Protección de Datos en la Compañía, es además el Jefe de Inteligencia de Mercados.

IV. Definición de políticas sobre los canales de adquisición de datos personales y sensibles

La compañía a la fecha reconoce los siguientes canales de adquisición de datos personales y sensibles:

4.1. Canal telefónico: a través de un contacto telefónico, cualquier área de negocio o soporte de la compañía que requiera la recolección de datos personales, semiprivados, privados o sensibles, deberá informar de manera previa al usuario o cliente los fines, términos y condiciones bajo los cuales son recolectados estos datos y guardar un soporte de validación en audio.

4.2. Canal digital: todos los datos personales, semiprivados, privados o sensibles recolectados a través de las diferentes plataformas digitales como www.elespectador.com, www.cromos.com.co, aplicaciones basadas en plataformas móviles o cualquier plataforma digital conocida o por conocer que

……….

recolecte datos de esta naturaleza deberá presentar al usuario o cliente un requerimiento de aceptación de términos y condiciones (ver anexo 1) de manera previa al registro o introducción de esta información.

4.3. Canal presencial o físico: para cualquier dato personal, semiprivado, privado o sensible recolectado a través de este canal se requiere una autorización que puede estar o no anexa a un documento relacionado con la transacción, que muestre los términos y condiciones bajo los cuales el usuario o cliente entrega los tipos de datos mencionados.

4.4. Canal de terceros: la obtención de datos personales a través de: (fuentes secundarias)

• Negociaciones

• Alianzas

• Adquisiciones de bases de datos

• Proveedores

• Contratistas o subcontratistas

Requerirá un soporte contractual asociado a la autorización brindada por los titulares de los datos cedidos a la compañía, sin este soporte los datos no serán cargados a las bases de datos administradas por el encargado. La Secretaría General y Jurídica debe avalar el soporte contractual cuando se obtienen dtos personales a través de terceros. Es deber del funcionario que en función de sus actividades y deberes, requiera la adquisición de datos personales a través de terceros, validar todos los aspectos legales con la Secretaría General y Jurídica y los aspectos operativos de recolección, almacenamiento y/o transferencia de datos personales con la Jefatura de Inteligencia de Mercados.

……….

V. Repositorios físicos, plataformas de almacenamiento de datos, protocolos de seguridad aplicables y manejo de incidentes

Todo repositorio físico que contenga datos personales debe tener restricción de acceso con llave y está en cabeza del responsable directo del repositorio.

Bajo la operación de la compañía, las bases de datos que contienen datos personales, semiprivados, privados o sensibles podrán ser almacenadas en las siguientes plataformas o sistemas de administración de bases de datos:

• SAP®

• Kpital

• Google Analytics (tm)

• CRM

• Plataformas de envío masivo de correo

• Sistemas de bases de datos relacionales usados por inteligencia de mercados

Los cuales deben cumplir con los siguientes requerimientos mínimos de seguridad:

• Verificación de identidad y definición de usuarios

• Protección de muros de fuego (firewall)

• Protección contra ataques de inyección de datos

• Encriptación de datos

Para la transferencia de cualquier tipo de archivo que contenga datos personales, semiprivados, privados o sensibles se debe seguir el siguiente procedimiento:

• Encriptación del archivo bajo protocolo AES(256)

• Si se trata de archivos con datos sensibles la encriptación debe implementar el protocolo AES(256) y TWOFISH, acérquese al área de TI o de Inteligencia de Mercados para realizar dicha encriptación

• Transferencia del archivo a través de la infraestructura técnica de la compañía

De manera categórica, el presente manual prohíbe el envío de información que contenga o pueda revelar datos personales, semiprivados, privados o sensibles a través de plataformas de uso público disponibles en internet.

Manejo de incidentes: En caso de presentarse un incidente que comprometa los repositorios o los datos personales almacenados en los mismos, comuníquese con la Jefatura de Inteligencia de Mercados o con la Secretaría general y jurídica, quienes le entregarán un formulario para diligenciar detalles acerca del incidente, usted,

……….

como funcionario, está obligado a reportar el incidente inmediatamente este se presente o sea de su conocimiento

VI. Uso y tratamiento de datos personales y sensibles

Las áreas de la compañía, bajo su operación regular y a través de la autorización y/o supervisión del área de inteligencia de mercados, y el encargado del tratamiento teniendo en cuenta que el usuario o cliente autorizó en forma expresa a la compañía, la recolección, almacenamiento, uso, circulación, supresión de datos bajo cualquier tecnología conocida o por conocer, de los datos personales aprobados en el momento de su registro, suscripción, concursos, autorización de contacto podrán realizar las siguientes acciones con datos personales

• Gestionar tareas básicas de administración, como descripción de perfil sociodemográfico de usuarios o clientes por productos y canales

• Diseñar mejoras a productos, procesos, servicios; crear nuevos productos y servicios para usted mediante el desarrollo de estudio de clientes y análisis de perfiles geo-demográficos, intereses y hábitos.

• Permitir al usuario o cliente extenderle beneficios otorgados por anunciantes, aliados estratégicos, proveedores y acreedores.

• Informar por cualquier medio conocido o por conocer, las promociones, novedades, productos y servicios relacionados con los eventos y productos editados o comercializados por la compañía.

VII. Procedimientos para la consulta, corrección, actualización y supresión de datos

La supresión de datos personales debe ocurrir en los siguientes casos:

• Existe una invocación explícita de un usuario o cliente al derecho de habeas data, en donde solicita la supresión parcial o total de sus datos personales.

• El procedimiento de verificación de legitimidad de adquisición de los datos indica que existe una carencia o falla en la manera en la que fueron adquiridos los datos, por lo que de manera inmediata se realizará un comunicado oficial, indicando al responsable de la adquisición de los datos las fallas encontradas en la validación y solicitar la eliminación de dicha información.

VIII. Derechos del titular y procedimientos para consulta, corrección, actualización y supresión de datos personales

En el registro que se efectúe de las bases de datos COMUNICAN S.A. e INVERSIONES CROMOS S.A.S. indicarán su razón social, número de identificación tributaria, así como sus datos de ubicación y contacto.

COMUNICAN S.A. e INVERSIONES CROMOS S.A.S. indicarán en el Registro Nacional de Base de Datos la razón social, número de identificación tributaria, ubicación y contacto de los Encargados del tratamiento de sus bases de datos (artículo 7 del Decreto 886 de 2014).

Finalmente, COMUNICAN S.A. e INVERSIONES CROMOS S.A.S., deberán actualizar en el Registro Nacional de Base de Datos la información inscrita cuando se presenten cambios sustanciales a la misma o con una periodicidad trimestral.

Si necesita mas información puede contactar con EL ESPECTADOR por medio del siguiente contacto: kacero@elespectador.com