POLÍTICA 
PROTECCIÓN DE DATOS

1. INTRODUCCIÓN

En REWIND S.A.S (en adelante, “REWIND”), nos tomamos muy en serio el tratamiento de sus datos personales y somos conscientes de lo importante que es para usted saber, de forma clara y transparente, qué datos personales recolectamos, para qué finalidades, si los compartimos con terceros o durante cuánto tiempo los almacenamos. Por ello, cuando tratamos datos personales lo hacemos conforme a lo establecido: en el Artículo 15 de la Constitución Política Colombiana y en la normativa de protección de datos vigente en Colombia, la Ley 1581 de 2012 y demás disposiciones que la desarrollen.

Lo anterior sin perjuicio de que adicionalmente, para garantizar una mayor protección de los datos personales que tratamos, apliquemos medidas técnicas y organizativas que también nos permitan cumplir con los requisitos establecidos en estándares internacionales (ISO 27001) y en el Reglamento General de Protección de Datos (RGPD, en inglés GDPR).

​

2. IDENTIFICACIÓN DEL RESPONSABLE

Razón social: REWIND SUSTAINABLE LIFE S.A.S.

NIT:  901.567.474-1

Sitio web: https://www.rewindmovement.com

Correo electrónico:  info@rewindmovement.com

Dirección: Km 27 vía las palmas centro Gourmet Carabanchel oficina administración, el Retiro (Antioquia), Colombia.

​

3. ÁMBITO DE APLICACIÓN

Los principios y disposiciones contenidas en la presente política serán aplicables a todo tratamiento de datos personales por parte de REWIND, sus trabajadores, colaboradores, prestadores de servicios y/o Encargados del Tratamiento de datos personales cuyo Responsable sea REWIND.

​

4. DEFINICIONES
Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

Base de datos automatizada: es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

Base de datos no automatizada: es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.

Base de datos personales o fichero: es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Cesión de datos: tratamiento de datos que supone su revelación a una persona diferente al Titular del dato o distinta de quien está habilitado como cesionario.

Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Dato personal: toda información sobre una persona física identificada o identificable (el Titular); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Dato personal sensible: los datos sensibles son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Destinatario: es la persona física o jurídica, autoridad, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho Colombiano; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.

Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

Fuentes accesibles al público: se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser efectuada por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.

Habeas Data: derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.

Limitación del tratamiento: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

Principios para el tratamiento de datos: son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales con el derecho a la información.

Procedimiento de análisis y creación de información: es la creación de información respecto de una persona, a partir del análisis y tratamiento de los datos personales recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del Titular de cada dato personal.

Procedimiento de disociación: hace referencia a todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

Seudonimización o Anonimización: consiste en el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un Titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

Tercero: es la persona física o jurídica, autoridad pública, servicio u organismo distinto del Titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Titular: es la persona física cuyos datos personales sean objeto de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.

Tratamiento de datos: cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se efectúen sobre datos personales tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.

Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

Violación de datos personales: es el delito creado por la Ley 1273 de 2009, contenido en el Artículo 269 F del Código Penal Colombiano. El tipo penal es el siguiente: "El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes".

​

5. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

El tratamiento de datos de carácter personal en REWIND estará sometido a los siguientes principios o reglas fundamentales:

• Consentimiento informado o principio de libertad: El tratamiento de datos personales sólo puede realizarse con la autorización previa, expresa e informada del Titular, salvo en aquellos supuestos exceptuados por la ley.

• Legalidad: El tratamiento de datos personales en Colombia es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 de 2012 y en las demás disposiciones que la desarrollen. En consecuencia, deben adoptarse medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos establecidos en la normativa.

• Finalidad del dato: El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución Política de Colombia y la ley, que deberá ponerse en conocimiento del Titular de los datos, de forma concreta y precisa, antes de que este autorice el tratamiento.

• Calidad o veracidad del dato: Los datos de carácter personal que sean tratados deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. Se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.

• Transparencia: En el tratamiento de datos personales debe garantizarse el derecho del Titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

• Minimización de datos: Los datos personales deben ser adecuados, pertinentes y no excesivos, teniendo en cuenta la finalidad del tratamiento. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen.

• Acceso y circulación restringida: El tratamiento de datos personales se sujeta a los límites que se deriven de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y de la Constitución Política de Colombia. En este sentido, el tratamiento solo podrá hacerse por personas físicas o jurídicas autorizadas por el Titular de los datos y/o por las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial y/o por los terceros autorizados por el Titular o por la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley.

• Temporalidad del dato: Agotada la finalidad en base a la cual se haya autorizado el tratamiento de datos personales por parte de sus titulares, deberá cesarse su uso y proceder a la destrucción de dichos datos personales.

• Seguridad del dato: Deben adoptarse aquellas medidas que garanticen un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.

  Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

• Confidencialidad: Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de esta.

• Deber de información: REWIND informará, a los titulares de los datos personales, así como a los responsables y encargados del tratamiento, del régimen de protección de datos adoptado por la organización, así como la finalidad y demás principios que regulan el tratamiento de estos datos. Informará además sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del habeas data por parte de los titulares, procediendo al registro que exige la ley.

• Protección especial de datos sensibles: REWIND sólo recolectará datos personales de carácter sensible cuando ello sea necesario y pertinente para el desarrollo de su objeto social. En cada caso deberá obtener autorización expresa del Titular, o bien verificar que su tratamiento se origine y legitime en el marco de una relación contractual y/o negocial, o bien provenga de autorización legal.

•  

   

  6. DEBERES DE REWIND COMO RESPONSABLE DEL TRATAMIENTO

   

  Cuando REWIND trate datos personales en calidad de responsable del tratamiento deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que puedan regir su actividad:

• a)  Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.

• b)  Solicitar y conservar, en las condiciones previstas en el presente Política de Protección de Datos Personales, copia de la respectiva autorización otorgada por el Titular.

• c)  Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

• d)  Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• e)  Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

• f)  Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

• g)  Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.

• h)  Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

• i)  Exigir al encargado del tratamiento en todo momento respeto a las condiciones de seguridad y privacidad de la información del Titular.

• j)  Tramitar las consultas y reclamos formulados en los términos señalados en esta norma y en la ley.

• k)  Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos. REWIND cumple con esta obligación a través de la adopción de esta Política de Protección de Datos Personales.

• l)  Informar al encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

• m)  Informar a solicitud del Titular sobre el uso dado a sus datos.

• n)  Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

• o)  Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

7. DEBERES DE REWIND COMO ENCARGADO DEL TRATAMIENTO

Cuando REWIND trate datos personales en calidad de encargado del tratamiento deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

a)  Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.

b)  Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

c)  Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.

d)  Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

e)  Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en esta Política y en la ley.

f)  Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. REWIND cumple con dicha obligación a través de la adopción de la presente Norma.

g)  Registrar en la base de datos la leyenda "RECLAMO DE HABEAS DATA EN TRAMITE" en relación con la información personal que se discuta o cuestione por los titulares, acorde con la forma en que se regule en la ley.

h)  Insertar en la base de datos la leyenda "INFORMACION SOBRE HABEAS DATA EN DISCUSION JUDICIAL" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

i)  Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o por otra autoridad competente.

j)  Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

k)  Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los “Códigos de Seguridad” y existan riesgos en la administración de la información de los titulares.

l)  Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

8. DEBERES GENERALES DE REWIND

Además de los deberes anteriormente detallados, REWIND asumirá los siguientes deberes:

a)  Aplicar las medidas de seguridad conforme la clasificación de los datos personales que trata REWIND.

b)  Adoptar procedimientos de recuperación de desastres aplicables a las base de datos que contengan datos personales.

c)  Adoptar procedimientos de respaldo o back up de la base de datos que contienen datos personales.

d)  Auditar de forma periódica el cumplimiento de esta Política de Protección de Datos Personales y demás Políticas internas por parte de los destinatarios de la misma.

e)  Gestionar de manera segura las bases de datos que contengan datos personales.

f)  Aplicar esta Política de Protección de Datos Personales en armonía con las Políticas de Seguridad de los Datos y Derechos Digitales de REWIND.

g)  Llevar un registro central de las bases de datos que contengan datos personales que comprenda el historial desde su creación, tratamiento de la información y cancelación de la base de datos.

h)  Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como responsable o encargado del tratamiento.

i)  Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales.

j)  Regular en los contratos con terceros el acceso a las bases que contengan datos de carácter personal.

 

9. REGISTRO CENTRAL DE BASES DE DATOS

REWIND, dispondrá de un registro central en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información y demás archivos, diferenciando aquellas bases de datos de las que he responsable respecto de aquellas que trata como encargado.

El registro central de bases de datos personales permitirá:

      a)  Inscribir toda base de datos personales contenida en los sistemas de información y demás archivos de REWIND. A cada base se le asignará un número de registro.

1. b)  La inscripción de las bases de datos personales indicará:(i)  El tipo de dato personal que contiene;

   1. (ii)  La finalidad y uso previsto de la base de datos;

   2. (iii)  Identificación del área de REWIND que hace el tratamiento de la base de datos;

   3. (iv)  Sistema de tratamiento empleado (automatizado o manual) en la base de datos;

   4. (v)  Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene;

   5. (vi)  Ubicación de la base de datos en los sistemas de información de REWIND;

   6. (vii)  El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos;

   7. (viii)  La condición de REWIND como RESPONSABLE o ENCARGADO del tratamiento de las bases de datos;

   8. (ix)  Autorización de comunicación o cesión de la base de datos, si existe;

   9. (x)  Procedencia de los datos y procedimiento en la obtención del consentimiento;

   10. (xi)  Empleado de REWIND custodio de la base de datos;

   11. (xii)  Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse.

    c) De manera mensual se registrarán, para efectos de cumplimiento y auditoría, los cambios surtidos en las bases de datos personales en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia por el custodio de la misma.

     d)  La ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiadas por REWIND, serán documentados en este registro central.

    e)  El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de estas.

    f)  La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por REWIND para hacer efectiva la cancelación.

​

10. FINALIDADES DEL TRATAMIENTO

REWIND trata datos personales, en calidad de responsable del tratamiento, en desarrollo de su objeto social y del giro ordinario de sus negocios, para las siguientes finalidades y aquellas afines o consecuentes:

a)  Proveer los servicios y/o productos de REWIND.

b)  Controlar el acceso a las instalaciones de REWIND.

c)  Informar por cualquier medio (correo electrónico, postal, teléfono fijo, celular, WhatsApp o sms), y mantener una eficiente comunicación con los titulares, acerca de las promociones, novedad y productos y servicios ofertados por REWIND, así como productos y servicios promovidos directamente por aliados estratégicos y entidades asociadas de REWIND, que generen valor agregado para el Titular.

d)  Gestionar las consultas y reclamaciones que nos lleguen por cualquier medio.

e)  Organizar y promocionar eventos, tales cómo, retos, seminarios, webinars, charlas, debates, talleres y concursos entre otros.

f)  Desarrollar campañas comerciales que nos permitan impactar en un público objetivo.

g)  Garantizar la gestión del servicio, su evaluación, optimización y la obtención de estadísticas.

h)  Gestionar tareas básicas de administración y gestión de servicio al cliente, de mercadeo y de facturación.

i)  Desarrollar relaciones comerciales con terceros.

j)  Dar cumplimiento a obligaciones contraídas con el Titular y cualquier otra finalidad que resulte en el desarrollo del contrato o de la relación que existe entre el Titular y REWIND.

k)  Cumplir con los procesos internos de REWIND en materia de administración de proveedores y contratistas.

l)  Dar cumplimiento a las obligaciones contraídas con clientes, proveedores, empleados y accionistas, por lo cual la información podrá ser transmitida y/o transferida a terceros.

m)  Soportar los procesos de auditoría interna o externa.

n)  Administrar y gestionar la información de empleados con el fin de dar cumplimiento a las obligaciones de carácter laboral, incluyendo, sin limitarse a, la ejecución de los contratos laborales, la regulación aplicable al Sistema Integral de Seguridad Social y el desarrollo de actividades de capacitación.

o)  Celebrar alianzas con terceros, con el fin de transmitir o transferir los datos personales para que los mismos realicen el tratamiento de los datos, respetando siempre las garantías y lineamientos de la ley de protección de datos personales.

p)  Transmitir y/o transferir los datos personales a terceros y entidades asociadas de acuerdo con los principios, lineamientos y garantías establecidas en la ley, con el fin de generar valor agregado para el Titular.

q)  Transmitir y/o transferir a encargados del tratamiento, entidades asociadas y terceros países los datos suministrados, para la ejecución de las actividades relacionadas con los servicios y productos adquiridos, respetando siempre las garantías y lineamientos de la ley de protección de datos.

r)  Transmitirlos, dentro o fuera de Colombia (sin consideración al país de destino), a terceros que actúen como encargados del tratamiento y que provean a REWIND servicios tecnológicos, logísticos, administrativos, de distribución, de marketing y/o cualquier otro servicio que requiera REWIND.

s)  Efectuar reportes con las distintas autoridades administrativas de control y vigilancia nacional, policiva o autoridades judiciales, entidades financieras y/o compañías de seguros.

t)  Administrar y gestionar la información de accionistas de REWIND para el reconocimiento, protección y ejercicio de sus derechos.

 

11.AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES

Sin perjuicio de las excepciones previstas en la ley, el Titular de los datos personales debe dar su autorización previa, expresa e informada para el tratamiento de sus datos, la cual deberá obtenerse a través de cualquier medio que permita dejar constancia y que pueda ser objeto de consulta posterior. REWIND conservará prueba de la autorización otorgada por los titulares de los datos personales para el tratamiento de sus datos.

En el caso de los niños, niñas o adolescentes, la autorización para el tratamiento de sus datos personales deberá otorgarla el representante legal de estos. El representante de los menores deberá garantizarles el derecho a ser escuchados y valorar su opinión del tratamiento teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto. El tratamiento debe respetar el interés superior de los menores y asegurar el respeto de sus derechos fundamentales.

Para el tratamiento de datos personales sensibles, deberán cumplirse los requisitos establecidos en la Ley 1581 de 2012, así como las siguientes obligaciones:

a)  Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.

b)  Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento, así como obtener su consentimiento expreso.

 

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

Según lo dispuesto por el artículo 10 de la Ley 1581 de 2012, no será necesario obtener autorización para el tratamiento de datos personales en los siguientes casos:

a)  Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

b)  Datos de naturaleza pública.

c)  Casosdeurgenciamédicaosanitaria.

d)  Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e) Datos relacionados con el registro civil de las personas.

​

12.DERECHOS DE LOS TITULARES DE DATOS

En cumplimiento de las garantías fundamentales consagradas en la Constitución Política y la ley, los titulares de los datos de carácter personal que sean tratados por REWIND gozarán de los derechos detallados en el presente apartado.

El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima que corresponderá al Titular del dato de manera primigenia, su ejercicio será gratuito e ilimitado salvo en aquellos supuestos excepcionales previstos en la ley.

• Derecho de acceso: Este derecho comprende la facultad del Titular del dato de obtener toda la información respecto de sus propios datos personales, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus datos personales y sobre las comunicaciones y/o cesiones efectuadas respecto de ellos, sean estas autorizadas o no.

• Derecho de actualización: Este derecho comprende la facultad del Titular del dato de actualizar sus datos personales cuando estos hayan tenido alguna variación.

• Derecho de rectificación: Este derecho comprende la facultad del Titular del dato de modificar los datos que resulten ser inexactos, incompletos o inexistentes.

• Derecho de cancelación: Este derecho comprende la facultad del Titular del dato de cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepciones por la ley o contractualmente pactados en contrario.

• Derecho a la revocatoria del consentimiento: El Titular de los datos personales tiene el derecho de revocar el consentimiento o la autorización que habilita a REWIND para un tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepciones por la ley o contractualmente pactados en contrario.

• Derecho de oposición: Este derecho comprende la facultad del Titular del dato de oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular. El Comité de Protección de Datos de REWIND, con base en los legítimos derechos que argumente el Titular del dato personal, tomará la decisión pertinente.

• Derecho a presentar quejas y reclamos o a ejercer acciones: El Titular del dato personal tiene derecho a presentar ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente, quejas y reclamos, así como las acciones que resulten pertinentes, para la protección de sus datos. Previo a ello deberá haber agotado el ejercicio de su derecho frente a REWIND conforme a la ley 1581 de 2012.

• Derecho a otorgar autorización para el tratamiento de datos: En desarrollo del principio del consentimiento informado, el Titular del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en REWIND. De manera excepcional, esta autorización no será requerida en los siguientes casos:

a)  Cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.

b)  Cuando se trate de datos de naturaleza pública.

c)  Encasosdeemergenciamédicaosanitaria.

d)  Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e)  Cuando se trate de datos personales relacionados con el registro civil de las personas.

En estos casos, si bien no se requiere de la autorización del Titular, sí tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales.

​

13.PROCEDIMIENTO DE HABEAS DATA

En desarrollo del derecho constitucional de Habeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del Titular de datos personales, o interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, REWIND adopta el siguiente procedimiento: El Titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de identidad, que podrá suministrar por medio físico o digital. En caso de que el Titular esté representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento del contenido ante notario, habida cuenta de que se trata del ejercicio del Derecho Fundamental al Habeas Data. El apoderado deberá igualmente acreditar su identidad en los términos indicados.

La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal o al correo electrónico habilitado por REWIND para el ejercicio del Habeas Data. REWIND podrá disponer de otros medios para que el Titular de los datos personales ejerza sus derechos. En cualquier caso, la solicitud de ejercicio de los derechos deberá contener la siguiente información:

​

a)  Nombre e identificación del Titular del dato personal, y de sus representantes, de ser el caso.

b)  Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición al tratamiento y/o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que REWIND proceda, como responsable de la base de datos, a dar respuesta.

c)  Direcciónfísicay/oelectrónicaparanotificaciones.

d)  Documentos que soportan la solicitud, en su caso.

​

Si faltare alguno de los requisitos aquí indicados, REWIND así lo comunicará al interesado dentro de los cinco (5) días hábiles siguientes a la recepción de la solicitud, para que los mismos sean subsanados, procediendo entonces a dar respuesta a la solicitud de Habeas Data presentada. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud.

REWIND podrá disponer de formatos físicos y/o digitales para el ejercicio de este derecho y en ellos indicará si se trata de una consulta o de un reclamo del interesado. Dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud, REWIND indicará que se trata de un reclamo en trámite. En la respectiva base de datos se deberá consignar una casilla en la que se aparezcan las siguientes leyendas: “RECLAMO POR HABEAS DATA EN TRAMITE” y “RECLAMO POR HABEAS DATA RESUELTO”.

​

REWIND, cuando sea responsable de la base de datos personales contenidos en sus sistemas de información, dará respuesta a la solicitud en el término de diez (10) días hábiles si se trata de una consulta; y de quince (15) días hábiles si se trata de un reclamo. En los mismos plazos anteriores se pronunciará REWIND cuando verifique que en sus sistemas de información no tiene datos personales del interesado que ejerce alguno de los derechos indicados.

En caso de reclamo, si no fuere posible dar respuesta dentro del término de quince (15) días hábiles, se informarán al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento de los primeros quince (15) días hábiles.

​

REWIND, en los casos que ostente la condición de encargado del tratamiento informará tal situación al Titular o interesado en el dato personal, y comunicará al responsable del dato personal la solicitud, con el fin de que este dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al Titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.

REWIND documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de la organización. Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descritos.

​

14.TRATAMIENTO DE DATOS PERSONALES EN WWW.REWINDMOVEMENT.COM

​

14.1 Cuenta de usuario registrado

Nuestro sitio web www.rewindmovement.com (de ahora en adelante, el “Sitio Web”) ofrece la posibilidad de que los usuarios creen una cuenta de usuario registrado utilizando una dirección de correo electrónico o bien, accediendo vía Facebook o Google. Los usuarios registrados podrán participar en programas de fidelidad, consultar su historial de actividad en el Sitio Web y ajustar su perfil y preferencias, entre otras funcionalidades.

Si usted decide crear una cuenta de usuario registrado, además de tratar los datos necesarios para registrar su cuenta (nombre y apellidos / dirección email), REWIND también tratará los datos personales adicionales que usted facilite al configurar su perfil, por ejemplo: su sexo, idioma(s) preferido(s), ciudad y una descripción personal. Estos datos forman parte de su página de perfil pública y serán visibles para todos los visitantes del Sitio Web.

La licitud del tratamiento de estos datos personales se basa, exclusivamente, en el consentimiento del Titular, quién podrá retirar su autorización en cualquier momento siguiendo el procedimiento de Habeas Data que se detalla en la cláusula 13 de esta Política de Protección de Datos Personales. REWIND almacenará estos datos hasta que el Titular revoque su consentimiento o expire el motivo por el cual fueron recopilados.

Para eliminar su cuenta definitiva, por favor envíe un correo electrónico, con asunto: “ELIMINAR CUENTA”, a la siguiente dirección: info@rewindmovement.com

​

14.2 Formularios de contacto y correos electrónicos

Si usted decide enviarnos un correo electrónico, o rellenar alguno de los formularios de contacto disponibles en el Sitio Web, le pediremos que nos facilite una serie de datos personales para que podamos dar respuesta a su consulta, reclamación o solicitud. Dichos datos personales serán, principalmente, los siguientes:

• Nombre y apellidos.

• Teléfono de contacto

• Correo electrónico

• Cualquier otro dato personal que faciliten mediante el formulario de contacto.

La licitud del tratamiento de estos datos personales se basa, exclusivamente, en el consentimiento del Titular, quién podrá retirar su autorización en cualquier momento siguiendo el procedimiento de Habeas Data que se detalla en la cláusula 13 de esta Política de Protección de Datos Personales. REWIND almacenará estos datos hasta que el Titular revoque su consentimiento o expire el motivo por el cual fueron recopilados.

 

14.3 Newsletter

El envío de nuestras Newsletter se realiza a través de la plataforma MailChimp (Rocket Science Group LLC) con sede en Atlanta, Georgia, Estados Unidos. La utilización de este proveedor requiere una transferencia internacional de datos. Los usuarios que se dan de alta en la Newsletter autorizan a REWIND para que utilice dicho proveedor y, en consecuencia, se produzca la mencionada transferencia internacional de datos.

Puedes acceder a la política de protección de datos de Mailchimp a través del siguiente enlace: https://www.intuit.com/privacy/statement/

Todas las Newsletter tienen un enlace en el pie del correo electrónico que permite darse de baja. REWIND almacenará la dirección de correo electrónico de los usuarios que se den de alta en la Newsletter hasta que revoquen su autorización mediante el proceso de habeas data que se detalla en la cláusula 13 de esta Política de Protección de Datos Personales.

 

14.4 Cookies

El Sitio Web utiliza cookies propias y de terceros. Las cookies son pequeños archivos de texto que se almacenan en el navegador web para los siguientes fines

• Habilitar la reproducción de contenido y funcionalidades del Sitio Web.

• Mejorar la experiencia de navegación de los usuarios.

• Analizar el uso de nuestro Sitio Web e identificar que atrae a nuestros visitantes.

• Personalizar contenido y publicidad de terceros.

• Mejorar la seguridad del Sitio Web.

  Para obtener más información acerca del uso de Cookies en nuestro Sitio Web consulte nuestra Política de Cookies.

​

14.5 Servicios y herramientas de Google

Nuestro Sitio Web utiliza los siguientes servicios o herramientas ofrecidos por Google LLC, con sede en Mountain View, California, Estados Unidos. La utilización de este proveedor requiere una transferencia internacional de datos. Cuando un usuario acepta el uso de cookies publicitarias, de marketing y de análisis a través del banner de cookies habilitado en el Sitio Web está autorizando a REWIND para que utilice dicho proveedor y, en consecuencia, se produzca una transferencia internacional de sus datos personales.

A continuación, detallamos cuáles son las herramientas de Google que utilizamos:

• Google Analytics con remarketing

  Herramienta que permite analizar la actividad dentro del Sitio Web (por ejemplo, la duración de las visitas y las zonas o puntos calientes). Para ello, Google utiliza cookies que recogen y almacenan la siguiente información:

  o Dirección IP.
  o Sistema operativo, navegador y tipo de dispositivo utilizado. o Idioma de navegación
  o Fecha y hora de la visita a nuestro Sitio Web.
  o Actividad y puntos calientes en nuestro Sitio Web.

  Estas cookies suelen caducar a los 30 días naturales y no están destinadas a identificar personalmente al usuario de los datos, pero permiten que Google evalúe el uso de los visitantes del Sitio Web, recopilando informes sobre la actividad del Sitio Web para los operadores y para proporcionar otros servicios relacionados con la actividad del Sitio Web y uso de internet al proveedor de la página.

  La función de remarketing de Google permite crear audiencias de remarketing y compartirlas con nuestra cuenta de Google Adwords. Una audiencia de remarketing es una lista con cookies o IDs de publicidad que representa a un grupo de usuarios con los que queremos volver a conectar debido a su probabilidad de completar una conversión.

  Con el Remarketing de Google AdWords, Google establece una cookie en el navegador del dispositivo del usuario que habilita, automáticamente, la publicidad basada en los intereses mediante un ID de cookie seudónimo y basada en las páginas visitadas. Si el usuario ha consentido compartir su historial web con Google, entonces Google puede utilizar el historial de la visita a nuestro Sitio Web junto con los datos de Google Analytics y los datos

• de Google AdWords para crear un público objetivo para el remarketing de dispositivos cruzados.

• Google Adwords con conversion tracking

Herramienta que permite crear y publicar anuncios en Google y en otras páginas web, así como medir la efectividad de nuestras campañas. Cuando creamos un anuncio a través de esta herramienta REWIND puede segmentar el público según:

o Área geográfica determinada
o Datos demográficos (edad, sexo,etc.) o Intereses (actividades, aficiones, etc.) o Preferencias de compra online

Cuando un usuario hace clic en alguno de nuestros anuncios Google almacena, de forma temporal, una cookie en el navegador de su terminal. Estas cookies suelen caducar a los 30 días naturales y no están destinadas a identificar al usuario personalmente, pero permiten que Google evalúe si finalmente el usuario contacta con nosotros o se interesa en nuestros productos o servicios tras haber clicado previamente en alguno de nuestros anuncios.

Google se reserva el derecho a almacenar y tratar datos personales de los usuarios en cualquier país en el que Google o cualquiera de sus sub encargados del tratamiento de datos mantenga instalaciones. Por tanto, puede producirse una transferencia internacional de datos personales hacia otros países.

Los datos que facilita Google a través de estas herramientas son meramente estadísticos y no permiten sacar ninguna conclusión sobre la identidad de los usuarios de modo que la información que REWIND obtiene como operador del Sitio Web mediante el uso de dichas herramientas es totalmente anónima.

La licitud del tratamiento de estos datos personales se basa, exclusivamente, en la autorización del usuario.

Puede evitar que Google recopile sus datos configurando su navegador, a través del panel de ajustes de privacidad y seguridad, para que no almacene cookies de terceros o para que bloquee las cookies de rastreo y seguimiento de conversiones.

Si dispone de una cuenta Google, desde el panel de control de su cuenta también puede consultar y modificar determinadas categorías de datos asociadas a su cuenta de Google (personalización de anuncios, elección de actividades que quiere que se almacenen en una cookie o tecnología similar cuando utiliza algún servicio de Google si haber iniciado sesión, controlar con quién comparte información de su cuenta, etc.)

Puedes acceder a la política de protección de datos de Google a través del siguiente enlace: https://policies.google.com/privacy?hl=en-ES&fg=1&utm_source=ucbs

​

15.TRATAMIENTO DE DATOS PERSONALES EN LA APLICACIÓN DE REWIND (IOS y ANDROID)

​

15.1 Cuenta de usuario registrado

Para poder utilizar nuestra aplicación (en lo sucesivo, la “APP”) es necesario disponer de una cuenta de usuario registrado. El registro podrá realizarse utilizando una dirección de correo electrónico o bien, accediendo vía Facebook o Google. Los usuarios registrados podrán participar en programas de fidelidad, realizar retos sobre sostenibilidad, visualizar contenido exclusivo, consultar su historial de actividad en el Sitio Web y ajustar su perfil y preferencias, entre otras funcionalidades.

Si usted decide crear una cuenta de usuario registrado, además de tratar los datos necesarios para registrar su cuenta (nombre y apellidos / dirección email), REWIND también tratará los datos personales adicionales que usted facilite al configurar su perfil, por ejemplo: su sexo, idioma(s) preferido(s), ciudad y una descripción personal. Estos datos forman parte de su página de perfil pública y serán visibles por el resto de los usuarios registrados en la APP, salvo que usted decida lo contrario al crear dicho perfil.

La licitud del tratamiento de estos datos personales se basa, exclusivamente, en el consentimiento del Titular, quién podrá retirar su autorización en cualquier momento siguiendo el procedimiento de Habeas Data que se detalla en la cláusula 13 de esta Política de Protección de Datos Personales. REWIND almacenará estos datos hasta que el Titular revoque su consentimiento o expire el motivo por el cual fueron recopilados.

Para eliminar su cuenta definitiva, por favor envíe un correo electrónico, con asunto: “ELIMINAR CUENTA”, a la siguiente dirección: info@rewindmovement.com

 

15.2 Información necesaria para el uso de las funcionalidades de pago

Si usted decide utilizar alguno de los servicios de pago, se le solicitará que facilite ciertos datos financieros, como los datos de su cuenta bancaria o de su tarjeta de crédito, para procesar los pagos y cumplir con la legislación aplicable.

También se podría llegar a solicitar al pagador información adicional para verificar la identidad de éste, por ejemplo, una fotocopia o fotografía del documento de identidad, pasaporte, domicilio, correo electrónico, número de teléfono o cualquier otro dato que estime conveniente para tal fin, y así poder cumplir con la legislación aplicable y procesar el pago.

En caso de que los pagos se realicen a través de una pasarela de pagos, REWIND no almacenará ninguno de los datos que el pagador suministre durante dicho proceso, de forma que el Responsable del Tratamiento de datos será la sociedad que preste los servicios de pasarela pago. Si ese fuera el caso, para más detalles sobre licitud del tratamiento y sobre el periodo de almacenamiento de los datos consulte la Política de Protección de Datos del prestador de servicios de pasarela de pagos, el Responsable del Tratamiento de los datos de pago.

15.3 Información que REWIND recopila automáticamente cuando usted utiliza la APP

Cuando usted utiliza la APP, REWIND recopila cierta información de carácter personal de forma automática, concretamente:

• Dirección IP.

• Datos de geolocalización.

• Sistema operativo, navegador y tipo de dispositivo utilizado.

• Idioma de navegación

• Fecha y hora de la visita a nuestra APP.

• Actividad y puntos calientes en nuestra APP.

• ​

Esta información permite que la APP y sus funcionalidades se ejecuten correctamente, facilita la corrección de errores y permite aumentar los niveles de seguridad contra ataques de ciberdelincuentes.

La licitud del tratamiento de estos datos personales se basa, exclusivamente, en el consentimiento del Titular, quién podrá retirar su autorización en cualquier momento siguiendo el procedimiento de Habeas Data que se detalla en la cláusula 13 de esta Política de Protección de Datos Personales. REWIND almacenará estos datos hasta que el Titular revoque su consentimiento o expire el motivo por el cual fueron recopilados.

 

16.TRATAMIENTO DE DATOS PERSONALES A TRAVÉS DE REDES SOCIALES

REWIND utiliza redes sociales como Facebook, Instagram y WhatsApp para dar visibilidad y difusión a las actividades que desarrolla y a los productos o servicios que ofrece. Estas herramientas almacenan datos personales en sus respectivos servidores y se rigen por su propia política de privacidad. Recomendamos la revisión y lectura de las condiciones de uso y políticas de privacidad de las redes sociales que utilicen. Asimismo, también recomendamos que se revisen las configuraciones de privacidad de usuario que ofrecen cada una de estas redes sociales.

REWIND no almacenará ni tratará fuera de sus redes sociales aquellos datos personales que los usuarios le faciliten a través de estas, salvo cuando así lo autorice el Titular de los datos tras haber sido debidamente informado de la finalidad y alcance del tratamiento de sus datos personales.

REWIND se reserva el derecho de eliminar de sus redes sociales cualquier información publicada por terceros que vulneren la legalidad, incite a hacerlo o contenga mensajes que atenten contra la dignidad de personas o instituciones, pudiendo bloquear o denunciar el perfil autor de esos mensajes.

 

17.PERIODO DE ALMACENAMIENTO DE LOS DATOS PERSONALES

Como regla general REWIND tratará y mantendrá en sus sistemas los datos personales de los titulares hasta que se agote la finalidad para la cual se recolectaron o hasta que el Titular revoque su autorización, en cuyo caso se procederá a la destrucción o devolución de los mismos, según proceda.

Sin perjuicio de lo anterior, cuando se recabe la autorización del Titular para el tratamiento de sus datos personales REWIND le informará si existe o no un periodo de retención específico.

 

18. CESIONES Y TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES

REWIND únicamente compartirá datos personales con entidades aliadas, con Encargados del Tratamiento o por obligación legal.

Está prohibida la transferencia de datos personales a cualquier persona ubicada en un país considerado como no seguro para la protección de datos personales. A los efectos de los dispuesto en esta cláusula se entienden como países seguros aquellos que cumplan con los estándares fijados por la Superintendencia de Industria y Comercio. De manera excepcional se podrán efectuar transferencias internacionales de datos por REWIND cuando:

a)  El Titular del dato haya otorgado su autorización previa, expresa e inequívoca para efectuar la transferencia.

b)  La transferencia sea necesaria para la ejecución de un contrato entre el Titular y REWIND como responsable y/o encargado del tratamiento.

c)  Se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.

d)  Se trate de transferencia de datos en el marco de tratados internacionales que hagan parte del ordenamiento jurídico colombiano.

e)  Se trate de transferencias legalmente exigidas para salvaguardar un interés público.

Al momento de presentarse una transferencia internacional de datos personales, previo envío o recepción de los mismos, REWIND suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes que resulten aplicables para las partes intervinientes.

​

Estos acuerdos o contratos que se celebren deberán atender lo dispuesto en esta Política de Protección de Datos, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales.

En línea con lo anterior, le informamos que el proveedor de servicios de hosting de este Sitio Web es una empresa con sede en EE. UU y que, por lo tanto, sus datos personales podrán ser transferidos a este país, el cual no ofrece un nivel de protección de datos adecuado según las leyes de protección de datos aplicables en Colombia, ya que la normativa de EE. UU. permite de forma amplia, e incluso desproporcionada, el acceso y utilización de los datos por parte de las autoridades de dicho país para la ejecución de sus programas de vigilancia, sin que existan garantías para las personas no nacionales de los EE. UU. que sean potencialmente objeto de esos programas.

​

19.ENTREGA DE DATOS PERSONALES A AUTORIDADES

Cuando las autoridades del Estado soliciten a REWIND el acceso y/o entrega de datos de carácter personal contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran.

​

Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riegos que conlleva su indebido uso e inadecuado tratamiento.

​

20.ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS PERSONALES

La responsabilidad en el adecuado tratamiento de datos personales al interior de REWIND, está en cabeza de todos los empleados.

En consecuencia, al interior de cada área que maneje los procesos de negocios que involucren tratamiento de datos personales, deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la presente norma, dada su condición de custodios de la información personal que está contenida en los sistemas de información de REWIND.

En caso de duda respecto del tratamiento legal de los datos personales, se acudirá a cualquier miembro del Comité de Protección de Datos para que indiquen la directriz a seguir, según el caso.

​

21.MEDIDAS DE SEGURIDAD

En el tratamiento de los datos personales objeto de regulación en esta Política de Protección de Datos, REWIND adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los datos personales tratados. En desarrollo del principio de seguridad de los datos personales, REWIND adoptará una política general sobre seguridad de la información que serán de obligatorio acatamiento por parte de los destinatarios de esta norma.

 

22.PROHIBICIONES Y SANCIONES

En desarrollo de esta norma de seguridad de la información personal de REWIND, se establecen las siguientes prohibiciones y sanciones como consecuencia de su incumplimiento.

1. REWIND prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible sin autorización del Titular del dato personal y/o de REWIND.

   El incurrir en esta prohibición por parte de los empleados de REWIND acarreará las sanciones a que haya lugar de conformidad con la ley.

   El incurrir en esta prohibición por parte de los proveedores que contraten con REWIND dará lugar a las consecuencias previstas para tales efectos, sin perjuicio de las acciones a que haya lugar.

   En los contratos con los proveedores, en lo que el objeto contratado tenga relación con datos personales, se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a REWIND como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente o negligente del proveedor.

2. REWIND prohíbe la cesión, comunicación o circulación de datos personales, sin el consentimiento previo, escrito y expreso del Titular del dato o sin autorización de REWIND. La cesión o comunicación de datos personales deberá ser inscrita en el registro central de datos personales de REWIND y contar con la autorización del custodio de la base de datos.

3. REWIND prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible que llegaren a ser identificados en un procedimiento de auditoría en aplicación de la norma sobre el buen uso de los recursos informáticos de la organización y/u otras normas expedidas por REWIND para estos fines. Los datos sensibles que llegaren a identificarse en elproceso de auditoría serán informados al usuario del recurso informático, con el fin de que este proceda a eliminarlos; de no ser posible esta opción, REWIND procederá a eliminarlos de manera segura.

4. REWIND prohíbe a los destinatarios de esta Norma cualquier tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009. Salvo que se cuente con la autorización del Titular del dato y/o de REWIND, según el caso.

5. REWIND solamente procederá el tratamiento de datos personales de niños y adolescentes menores de edad con el consentimiento expreso, previo e informado de sus representantes y/o de las personas que ostenten la representación del menor, para las finalidades requeridas en relación con el ejercicio de su actividad empresarial y en todo caso se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.

 

REWIND comunica a los destinatarios de esta Norma el régimen de sanciones previsto por la Ley 1581 de 2012 en su Artículo 23, que materializa los riesgos que se asume por un indebido tratamiento de datos personales:

“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.”

La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el tratamiento de datos personales, deberá ser comunicada de manera inmediata a cualquier miembro del Comité de Protección de Datos de REWIND, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación colombiana, en particular las consignadas en el Título VI, Capítulo 3 de la Ley 1581 de 2012 antes descritas.

 

Consecuencia de los riesgos que asume REWIND bien en calidad de responsable y/o encargado del tratamiento de los datos personales, el incumplimiento de esta norma por parte de sus destinatarios dará lugar a las sanciones y/o medidas contempladas en las normas aplicables.

 

23. VIGENCIA

Esta norma ha sido aprobada mediante decisión adoptada por el Comité de Protección de Datos de REWIND el día diecisiete (17) de enero de dos mil veintitrés (2023).