Política de tratamiendo de datos

  1. INTRODUCCIÓN

12 NIGHT GROUP SAS sociedad legalmente constituida e identificada con NIT 901.655.671-1, con domicilio en la carrera 48 B No 10 Sur 153   Medellín Antioquia, con teléfono +573012379008 y correo electrónico servicioalcliente12nights@gmail.com con fundamento en lo dispuesto en la Constitución Política de Colombia, la Ley 1581 de 2012 y demás normas que las desarrollen, complementen, modifiquen, sustituyan o adicionen, por medio del presente documento y en su calidad de responsable de la información, da a conocer la Política de Tratamiento y Protección de Datos Personales de 12 NIGHTS  GROUP SAS

  1. OBJETIVO

El presente documento tiene por objetivo establecer los principios, términos y condiciones para el tratamiento de datos personales, actividad que incluye la recolección, almacenamiento, procesamiento, actualización, uso, circulación, transferencia y supresión de la información que se suministra a 12 NIGHTS GROUP SAS en el desarrollo de su objeto social. Adicionalmente, la Política de Tratamiento y Protección de Datos Personales establece los derechos de los Titulares de la Información, los procedimientos para hacerlos efectivos y los procedimientos internos de la empresa para garantizar su obligación de protección de los datos personales suministrados. 

De esta manera, 12 NIGHTS GROUP S.A.S manifiesta que garantiza los derechos de la privacidad, la intimidad, el buen nombre y la autonomía, en el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

Todas las personas que, en desarrollo de diferentes actividades contractuales, comerciales, laborales, entre otras, sean permanentes u ocasionales, llegaran a suministrar a 12 NIGHTS GROUP S.A.S cualquier tipo de información o dato personal, podrá conocerla, actualizarla y rectificarla.

III. MARCO LEGAL

  1. Constitución Política, artículo 15.
  2. Ley 1266 de 2008.
  3. Ley 1581 de 2012.
  4. Decretos Reglamentarios 1727 de 2009 y 2952 de 2010.
  5. Decreto Reglamentario parcial 1377 de 2013.
  6. Decreto 886 de 2014.
  7. Decreto Único 1074 de 2015.
  8. Sentencias C 1011 de 2008, y C 748 del 2011, de la Corte Constitucional.

Se debe tener presente que esta política se regirá por todo el marco legal vigente y las demás normas que la modifiquen, adicionen o complementen.

  1. ÁMBITO DE APLICACIÓN

La presente política será aplicable a los datos personales registrados en cualquier base de datos de 12 NIGHTS GROUP S.A.S cuyo titular sea una persona natural.

  1. DEFINICIONES

Para los efectos de la presente política y en concordancia con la normatividad vigente en materia de protección de datos personales, se tendrán en cuenta las siguientes definiciones:

  1. Autorización: consentimiento que, de manera previa, expresa e informada emite el titular de algún dato personal para que la empresa lleve a cabo el tratamiento de sus datos personales.
  2. Base De Datos: conjunto organizado de datos personales que sea objeto de Tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso.
  3. Causahabiente: persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero).
  4. Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  5. Dato Público: es el dato personal calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna.Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  6. Dato semiprivado: es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales.
  7. Dato Sensible: es el Dato Personal que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen afiliaciones sindicales, el origen racial o étnico, la orientación política, las convicciones religiosas, morales o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  8. Información digital: toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.
  9. Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
  10. Responsable Del Tratamiento: Persona natural o jurídica, pública  privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
  11. Titular: Persona natural cuyos datos personales sean objeto de tratamiento por parte de 12 NIGHTS GROUP S.A.S y quien es sujeto del derecho de habeas data.
  12. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  13. Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable y dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
  14. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
  15. Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
  16. Autorizado: Es 12 NIGHTS GROUP S.A.S y todas las personas bajo la responsabilidad de la EMPRESA, que por virtud de la Autorización y de estas Políticas tienen legitimidad para Tratar los Datos Personales del Titular. El Autorizado incluye al género de los Habilitados.
  17. Habilitación: Es la legitimación que expresamente y por escrito mediante contrato o documento que haga sus veces, otorgue 12 NIGHTS GROUP S.A.S a terceros, en cumplimiento de la Ley aplicable, para el Tratamiento de Datos Personales, convirtiendo a tales terceros en Encargados del Tratamiento de los Datos Personales entregados o puestos a disposición.
  1. PRINCIPIOS

12 NIGHTS GROUP S.A.S, en el desarrollo de sus actividades comerciales recolectará, utilizará, almacenará, transmitirá y realizará diversas operaciones sobre los datos personales de los Titulares. En todo Tratamiento de Datos Personales realizados por la EMPRESA, los responsables, Encargados y/o terceros a quienes se les transfiera Datos Personales deberán dar cumplimiento a los principios y reglas establecidas en la Ley y en esta Política, con el fin de garantizar el derecho al habeas data de los Titulares y dar cumplimiento a las obligaciones de Ley de la Firma. Estos principios son:

  1. Autorización previa: todo tratamiento de datos personales se llevará cabo una vez se haya obtenido la Autorización previa, expresa e informada del Titular, salvo que la Ley establezca una excepción a esta regla. En caso de que los Datos Personales hayan sido obtenidos con anterioridad a la Ley, la EMPRESA buscará los medios ordinarios y alternativos pertinentes para convocar a los Titulares y obtener su autorización retroactiva, siguiendo lo establecido por el Decreto 1377 y las normas concordantes.
  1. Libertad: el tratamiento de los datos personales se realiza previa autorización expresa e informada del Titular por parte del titular o teniendo en cuenta las causales que relevan el consentimiento por parte del titular y  que se encuentran consagradas en la ley.
  1. Legalidad en materia de tratamiento de datos: 12 NIGHTS GROUP S.A.S se sujetará a lo establecido en la ley y en las disposiciones que la regulan.
  1. Finalidad: toda actividad de tratamiento de datos personales debe obedecer a las finalidades mencionadas en esta política o en la autorización otorgada por el titular de los datos personales, o en los documentos específicos donde se regule cada tipo o proceso de tratamiento de datos personales. la finalidad del tratamiento particular de un dato personal debe ser informada al titular del dato personal al momento de obtener su autorización. los datos personales no podrán ser tratados por fuera de las finalidades informadas y consentidas por los titulares de los datos.
  1. Veracidad de la calidad del Dato: el dato personal sometido a tratamiento debe ser veraz, completo, exacto, actualizado, comprobable y comprensible 12 NIGHTS GROUP S.A.S no hace tratamiento a datos personales que se encuentren de manera parcial, fraccionados y que su tratamiento pueda inducir a un error que pueda perjudicar al titular del tratamiento de la información, cuando se presenten estos casos, 12 NIGHTS GROUP S.A.S solicitará al titular la corrección y actualización necesaria para que no se siga presentando esa situación, en caso de no poder realizar la actualización de la información se abstendrá de realizar un tratamiento sobre estos datos.
  1. Transparencia: previa solicitud del titular, se deberá dar solución a la petición que eleve el titular sobre la información que repose en la base de datos. La respuesta a esta petición se llevará a cabo por parte del oficial de privacidad directamente. La dependencia encargada del tratamiento de la información acompañará el proceso de respuesta en los casos necesarios.
  1. Entrega de información al Titular: cuando el titular lo solicite, la EMPRESA deberá entregarle la información acerca de la existencia de datos personales que le conciernan al solicitante. Esta entrega de información la llevará a cabo la dependencia de la EMPRESA encargada de la protección de datos personales.
  1. Circulación restringida: los datos personales solo pueden ser tratados por aquel personal de la EMPRESA que cuente con autorización para ello, o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrá entregarse datos personales a quienes no cuenten con autorización o no hayan sido habilitados por la EMPRESA para llevar a cabo el tratamiento.
  1. Acceso restringido: salvo por los Datos expresamente autorizados, la EMPRESA no podrá hacer disponibles datos personales para su acceso a través de internet u otros medios de comunicación masiva, a menos que se establezcan medidas técnicas y de seguridad que permitan controlar el acceso y restringirlo solo a las personas autorizadas.
  1. Temporalidad: Por regla general no se usará la información del titular más allá del plazo razonable que exija la finalidad que fue informada al titular de los datos personales.

PARÁGRAFO. En los casos que haya legislación especial sobre el tema, se conservará la información el término que la ley especial indique.

  1. Confidencialidad: 12 NIGHTS GROUP S.A.S debe siempre realizar el Tratamiento disponiendo las medidas técnicas, humanas y administrativas que resulten necesarias para mantener la confidencialidad del dato y para evitar que sea éste adulterado, modificado, consultado, usado, accedido, eliminado, o conocido por personas no Autorizadas o por personas Autorizadas y no Autorizadas de manera fraudulenta, o que el Dato Personal se pierda. Todo nuevo proyecto que implique el Tratamiento de Datos Personales deberá ser consultada esta Política de Tratamiento para asegurar el cumplimiento de esta regla.
  1. Confidencialidad y tratamiento posterior: todo Dato Personal que no sea dato público debe tratarse por los responsables como confidencial, aun cuando la relación contractual o el vínculo entre el titular del dato personal y la firma haya terminado. a la terminación de dicho vínculo, tales datos personales deben continuar siendo tratados de conformidad con esta política y con la ley.
  1. Seguridad: la información sujeta a tratamiento por el responsable del  tratamiento o encargado del tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  1. Individualidad: 12 NIGHTS GROUP S.A.S mantendrá de manera separada las bases de datos en las que tiene la calidad de encargado o que pudiera llegar a serlo, de las bases de datos en las que actúa en calidad de responsable. 12 NIGHTS GROUP  S.A.S dará aplicación armónica, teniendo en cuenta la naturaleza de los datos y los anteriores principios.

VII. DERECHOS DE LOS TITULARES

Para todos los procesos que impliquen el tratamiento de datos personales de clientes, empleados, proveedores, contratistas, accionistas o terceros con los cuales se relacione en desarrollo de las actividades previstas para el cumplimiento de su objeto social, 12 NIGHTS GROUP S.A.S deberá tener encuenta e informarle a dichas personas de manera expresa y previa, por cualquier medio del cual se pueda conservar una constancia de su cumplimiento, que de acuerdo con la ley, los titulares de datos personales tienen los siguientes derechos:

  1. Conocer, actualizar y rectificar sus Datos Personales frente a 12 NIGHTS GROUP S.A.S o a los Encargados. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
  1. Solicitar prueba de la autorización otorgada a 12 NIGHTS GROUP S.A.S, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en la ley.
  1. Presentar solicitudes 12 NIGHTS GROUP S.A.S ante o el Encargado del Tratamiento respecto del uso que le ha dado a sus Datos Personales, y a que éstas le entreguen tal información.
  1. Ser informado por el responsable del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
  1. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley.
  1. Ser informado por 12 NIGHTS GROUP S.A.S o el Encargado, previa solicitud, respecto del uso que les ha dado a sus datos personales.
  1. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
  1. Revocar la autorización y/o solicitar la supresión de sus Datos Personales de las bases de datos de la EMPRESA cuando la Superintendencia de Industria y Comercio haya determinado mediante acto administrativo definitivo que en el Tratamiento la Firma o el Encargado del Tratamiento ha incurrido en conductas contrarias a la Ley o cuando no hay una obligación legal o contractual de mantener el Dato Personal en la base de datos del responsable.
  1. Solicitar acceso y acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento de acuerdo con el artículo 21 del Decreto 1377 del 2013. El Titular de la Información podrá consultar de forma gratuita sus datos personales:
  1. Al menos una vez cada mes calendario.
  2. Cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la Información que motiven nuevas consultas, entendiéndose por sustancial cuando el cambio se refiera a la finalidad del tratamiento.
  1. Conocer las modificaciones a los términos de esta Política de manera previa y eficiente a la implementación de las nuevas modificaciones o, en su defecto, de la nueva política de tratamiento de la información.
  1. Tener fácil acceso al texto de esta Política y sus modificaciones.
  2. Acceder de manera fácil y sencilla a los Datos Personales que se encuentran bajo el control de la Firma para ejercer efectivamente los derechos que la Ley les otorga a los Titulares.
  1. Conocer a la dependencia o persona facultada por 12 NIGHTS GROUP S.A.S frente a quien podrá presentar quejas, consultas, reclamos y cualquier otra solicitud sobre sus Datos Personales.
  1. Los demás previstos en la Ley 1581 de 2012 y las normas que las modifiquen, sustituyan, desarrollen y/o complementen. Los Titulares podrán ejercer sus derechos de Ley y realizar los procedimientos establecidos en esta Política, mediante la presentación de su cédula de ciudadanía o documento de identificación original. Los menores de edad podrán ejercer sus derechos personalmente, o a través de sus padres o los adultos que detenten la patria potestad, quienes deberán demostrarlo mediante la documentación pertinente. Así mismo podrán ejercer los derechos del Titular los causahabientes que acrediten dicha calidad, el representante y/o apoderado del titular con la acreditación correspondiente y aquellos que han hecho una estipulación a favor de otro o para otro.

VIII. DEBERES DE 12 NIGHTS GROUP S.A.S CON LOS TITUTALES DE

DATOS

Los datos personales pertenecen a sus titulares, quienes tienen facultad para tomar decisiones sobre dichos datos. Al reconocer lo anterior, 12 NIGHTS GROUP S.A.S usará los datos personales exclusivamente para los fines permitidos por las normas vigentes y por esta Política, necesarios para el cumplimiento de las actividades previstas en su objeto social. En consecuencia, 12 NIGHTS GROUP  S.A.S como responsable del tratamiento de los datos informa los deberes a su cargo:

  1. Obtener la autorización expresa del Titular del dato, por cualquier medio idóneo.
  1. Informar al Titular del dato sobre sus derechos, al recopilar los datos, dentro de las opciones que permitan las disposiciones legales vigentes.
  1. Dar a conocer al Titular del dato que es su decisión responder y brindar la información requerida.
  1. Informar a sus proveedores, clientes, contratistas, empleados, accionistas y toda persona de quien reciba datos personales, el tratamiento que dará a dichos datos, así como su finalidad y mecanismos de actualización; esto se divulgará por los medios  legalmente permitidos, tales como y sin limitarse al diligenciamiento de formatos, envío de mensajes de texto, acceso a través de redes sociales, acceso al sitio web de 12 NIGHTS GROUP S.A.S.
  1. Velar por que al Titular del dato le sea respetado en todo momento el derecho al Habeas Data en los términos de ley y de la presente Política.
  1. Conservar de manera adecuada, segura los registros de datos personales.
  1. Reportar los datos de identificación, dirección física o electrónica, teléfono, del funcionario o área que tendrá la calidad de responsable del tratamiento, a través de cualquier medio de divulgación idóneo.
  1. CASOS EN LOS QUE NO ES NECESARIA LA AUTORIZACIÓN PARA TRATAMIENTO DE LOS DATOS
  1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
  1. Datos de naturaleza pública.
  2. Casos comprobados de urgencia médica o sanitaria.
  3. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  1. Datos relacionados con el Registro Civil de las personas.
  2. FINALIDAD DEL TRATAMIENDO DE DATOS PERSONALES

Los datos personales de los titulares de la información serán recolectados, almacenados, procesados, usados, circulados, transferidos, transmitidos, compartidos y/o suprimidos, de conformidad con el vínculo contractual que se haya establecido, en la siguiente base de datos y con la finalidad indicada para ella.

  1. FINALIDADES GENERALES A LA BASE DE DATOS

La base de datos almacena toda la información de pacientes y clientes y dentro de la cual se puede encontrar información relacionada con el nombre, correo electrónico, entre otros.

Esta información es recaudada a través de los canales físicos, digitales o virtuales dispuestos por 12 NIGHTS GROUP S.A.S. como puede ser la entrega en su sede física, sitios web, redes sociales y tiendas virtuales, y la cual es tratada de acuerdo con las siguientes finalidades:

  1. Fines administrativos, operativos, industriales, comerciales, sociales,  promocionales, informativos, de mercadeo, ventas, para el mejoramiento continuo y cumplimiento en el desarrollo de sus actividades.
  1. Ejercer su derecho de conocer de manera suficiente al usuario con quien se propone entablar relaciones, prestar servicios, y valorar el riesgo presente o futuro de las mismas relaciones y servicios.
  1. Ofrecer conjunta o separadamente con terceros o a nombre de terceros, servicios financieros, comerciales y conexos.
  1. Realizar campañas de promoción, marketing, publicidad, beneficencia, servicio social o en conjunto con terceros.
  1. Ingreso en concursos o participación en encuestas.
  2. Registros para eventos.
  3. Procesos de selección en el manejo de información de aspirantes y empleados directos e indirectos.
  1. Estudiar y atender solicitudes de servicios de los titulares de datos en cualquier tiempo.
  1. Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables de la empresa.
  1. Cumplir con los procesos internos de la empresa en materia de administración de proveedores y contratistas.
  1. Cumplir los contratos de servicios celebrados con los clientes.
  2. Las demás finalidades que determinen los responsables en procesos de obtención de Datos Personales para su Tratamiento y que sean comunicadas a los Titulares en el momento de la recolección de los datos personales.
  1. El control y la prevención del fraude y de lavado de activos, incluyendo, pero sin limitarse a la consulta en listas restrictivas, y toda la información necesaria requerida para el SARLAFT.
  1. El proceso de archivo, de actualización de los sistemas, de protección y custodia de información y bases de datos de la empresa.
  1. Procesos al interior de la empresa, con fines de desarrollo u operativo y/o de administración de sistemas.
  1. La transmisión de datos a terceros con los cuales se hayan celebrado contratos con este objeto, para fines comerciales, administrativos, de mercadeo y/o operativos, incluyendo, pero sin limitarse a la expedición de carnets, certificados personalizados y certificaciones a terceros, de acuerdo con las disposiciones legales vigentes.
  1. Mantener y procesar por computadora u otros medios, cualquier tipo de información relacionada con el negocio del cliente con el fin de brindar los servicios y productos pertinentes.
  1. Las demás finalidades que determinen los responsables en procesos de obtención de Datos Personales para su Tratamiento, con el fin de dar cumplimiento a las obligaciones legales y regulatorias, así como de las políticas de 12 NIGHTS GROUP S.A.S.

En consecuencia, para las finalidades descritas anteriormente, 12 NIGHTS GROUP S.A.S, puede, entre otras actividades:

  1. Conocer, almacenar y procesar toda la información suministrada por los titulares de datos en una o varias bases de datos, en el formato que estime más conveniente.
  1. Ordenar, catalogar, clasificar, dividir o separar la información suministrada por los titulares de datos.
  1. Verificar, corroborar, comprobar, validar, investigar o comparar la información suministrada por los titulares de datos, con cualquier información que tenga a disposición legítimamente, referente a cualquier relación que tenga el titular de los datos con 12 NIGHTS GROUP S.A.S, donde el responsable del tratamiento cuente con previa autorización.
  1. Acceder, consultar, comparar y evaluar toda la información que sobre el Titular se encuentre almacenada en las bases de datos de cualquier central de riesgo crediticio, financiero, de antecedentes judiciales o de seguridad legítimamente constituida, de naturaleza estatal o privada, nacional o extranjera, o cualquier base de datos comercial o de servicios que permita establecer de manera integral e históricamente completa el comportamiento que como deudor, usuario, cliente, garante, endosante, afiliado, beneficiario, suscriptor, contribuyente y/o como titular de servicios financieros, comerciales o de cualquier otra índole.
  1. Analizar, procesar, evaluar, tratar o comparar la información suministrada por el Titular.
  1. Estudiar, analizar, personalizar y utilizar la información suministrada por el Titular para el seguimiento, desarrollo y/o mejoramiento, tanto individual como general, de condiciones de servicio, administración, seguridad o atención, así como para la implementación de planes de mercadeo, campañas, beneficios especiales y promociones.
  1. Compartir con sus accionistas y con empresas aliadas, vinculadas, afiliadas o con los aliados de negocios que se sometan a las condiciones de la presente Política.
  1. Extender la información que obtenga en los términos legales, a las compañías contratistas de servicios de recolección, almacenamiento y manejo de sus bases de datos, previas las autorizaciones con que cuente para ello.

XII. AUTORIZACIÓN DEL TITULAR

Para el logro de las anteriores finalidades, 12 NIGHTS GROUP S.A.S requiere de los titulares de los datos su autorización previa, libre y debidamente informada. Esta autorización del Titular es una declaración que le informa:

  1. Quién es el responsable o encargado de recopilar la información.
  2. Los datos recopilados.
  3. Las reglas para ejercitar los derechos de acceso, supresión o actualización de datos.
  1. Las finalidades del tratamiento de los datos.
  2. La información sobre recolección de datos sensibles.
  3. La autorización puede constar en cualquier medio permitido por las normas vigentes, bien sea físico o electrónico, siempre que permita su consulta a través de sistemas organizados.

Para obtener la autorización del Titular, 12 NIGHTS GROUP S.A.S puede utilizar, entre otros y sin limitarse a estos medios:

  1. Los diferentes contratos celebrados por 12 NIGHTS GROUP S.A.S, siempre que haya previa socialización de la Política de Habeas Data y en cumplimiento a lo legalmente establecido.
  1. Formulario de inscripción y registro/o actualización a los programas que realice

12 NIGHT GROUP S.A.S

  1. Formatos, cartas, actas y/o diferentes documentos de autorización.
  2. Actividades por medio de redes sociales, como Facebook, YouTube, Google plus e Instagram.
  1. El diligenciamiento de formatos de petición, queja o reclamos establecidos por la empresa.
  1. A través de los medios de comunicación establecidos con las partes interesadas y por los medios establecidos por la empresa para el desarrollo de sus actividades y los estipulados para servicio al cliente a nivel Nacional.
  1. A los datos resultantes de análisis, procesamientos, evaluaciones, tratamientos y comparaciones, les serán aplicables las mismas autorizaciones que otorga el Titular.
  1. En los eventos de datos personales de menores de edad y adolescentes,

12 NIGHTS GROUP S.A.S deberá contar con la autorización previa, expresa e informada del padre, la madre o representante legal del niño o adolescente.

XIII. PROCEDIMIENTOS PARA EL EJERCICIO DE LOS DERECHOS DE LOS

TITULARES DE LA INFORMACIÓN

A continuación, se describen los procedimientos y reglas para el ejercicio de los derechos a favor de los Titulares de la Información. Canales y Horarios Para el ejercicio de los derechos a conocer, actualizar, rectificar y suprimir información, así como para revocar la autorización, los Titulares de la Información pueden hacer sus solicitudes a través del correo electrónico mccontabilidad@musicalcedar.com

Personas Autorizadas: los derechos de los Titulares de la Información podrán ejercerse por las siguientes personas, acreditando la calidad correspondiente:

  1. Por el Titular, quien deberá presentar el documento de identidad.
  2. Por sus causahabientes, quienes deberán presentar el documento de identidad, registro civil de defunción del Titular, documento que acredite la calidad en que actúa y el número del documento de identidad del Titular.
  1. Por el representante y/o apoderado del Titular, quien deberá presentar documento de identidad válido, documento que acredite la calidad en la que actúa (poder) y el número del documento de identidad del Titular.
  1. Los solicitantes deberán anexar los documentos que acrediten su condición para actuar frente a 12 NIGHTS GROUP S.A.S.

Trámite de consultas: las consultas serán atendidas en un término de diez (10) días hábiles contados a partir de la fecha de recibo de la respectiva solicitud. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Trámite de peticiones o reclamos: el Titular o sus causahabientes que consideren que la información contenida en las bases de datos que administra

12 NIGHTS GROUP S.A.S debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley aplicable, podrán presentar una petición o reclamo ante el responsable del tratamiento el cual será tramitado bajo las siguientes reglas:

  1. El reclamo se formulará mediante solicitud dirigida a 12 NIGHTS GROUP S.A.S físicamente a la dirección carrera 48 B 10 SUR 153 de Medellín o vía electrónica a servicioalcliente12nights@gmail.com
  1. La solicitud deberá contener:
  2. Nombre y documento de identificación del Titular.
  3. Descripción de los hechos que dan lugar al reclamo y el objetivo perseguido (actualización, corrección o supresión, o cumplimiento de deberes).
  1. Dirección y datos de contacto e identificación del reclamante.
  2. Toda la documentación que el reclamante quiera hacer valer.
  3. La EMPRESA antes de atender el reclamo verificará la identidad del Titular del Dato Personal, su representante y/o apoderado, o la acreditación de que hubo una estipulación por otro o para otro. Para ello puede exigir la cédula de ciudadanía o documento de identificación original del Titular, y los poderes especiales, generales o documentos que se exijan según sea el caso.
  1. Si el reclamo o la documentación adicional están incompletos, la EMPRESA requerirá al reclamante por una sola vez dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Si el reclamante no presenta la documentación e información requerida dentro de los dos (2) meses siguientes a la fecha del reclamo inicial, se entenderá que ha desistido del reclamo.
  1. Si por cualquier hecho la persona que recibe el reclamo al interior de la EMPRESA no es competente para resolverlo, dará traslado del reclamo a la brevedad posible a la Gerencia, e informará de dicha remisión al reclamante.
  1. Una vez recibido el reclamo con la documentación completa, se incluirá en la Base de Datos de la EMPRESA donde reposen los Datos del Titular sujetos a reclamo una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Esta leyenda deberá mantenerse hasta que el reclamo sea decidido.
  1. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
  1. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

Quejas ante la Superintendencia de Industria y Comercio: el titular, causahabiente o apoderado deberá agotar en primer lugar el trámite de consulta o reclamo, antes de dirigirse a la Superintendencia de Industria y Comercio.

XIV. MEDIDAS DE SEGURIDAD

La empresa está comprometida con la seguridad de la información de la cual puede ser responsable o encargado, motivo por el cual para cumplir y garantizar su deber de seguridad consagrada en la ley 1581 de 2012.

Por este motivo la compañía ha implementado las siguientes medidas de seguridad para los diferentes tipos de datos que maneja.

  1. MEDIDAS GENERALES A TODOS LOS TIPOS DE DATOS.
  2. Medidas que eviten el acceso indebido o la recuperación de los datos que han sido descartados, borrados o destruidos.
  1. Acceso restringido al lugar donde se almacenan los datos.
  2. Autorización del responsable de administrar las bases de datos para la salida de documentos o soportes por medio físico o electrónico.
  1. Sistema de etiquetado o identificación del tipo de información.
  2. Inventario de soportes.
  3. Acceso de usuarios limitado a los datos necesarios para el desarrollo de sus funciones.
  1. Lista actualizada de usuarios y accesos autorizados.
  2. Mecanismos para evitar el acceso a datos con derechos distintos de los autorizados.
  1. Concesión, alteración o anulación de permisos por el personal autorizado.
  1. Registro de incidencias donde se indique el tipo de incidencia, momento en que se ha producido, emisor de la notificación, receptor de la notificación, efectos y medidas correctoras.
  1. Procedimiento de notificación y gestión de incidencias.
  2. Definición de las funciones y obligaciones de los usuarios con acceso a los datos.
  1. Definición de las funciones de control y autorizaciones delegadas por el responsable del tratamiento.
  1. Divulgación entre el personal de las normas y de las consecuencias del incumplimiento de estas.
  1. Elaboración e implementación del manual de obligatorio cumplimiento para el personal donde se consagre mínimamente el ámbito de aplicación, medidas y procedimientos de seguridad, funciones y obligaciones del personal, descripción de las bases de datos, procedimiento ante incidencias, identificación de los encargados del tratamiento.
  1. Archivo de documentación siguiendo procedimientos que garanticen una correcta conservación, localización y consulta, que permitan el ejercicio de los derechos de los titulares.
  1. Dispositivos de almacenamiento con mecanismos que impidan el acceso a personas no autorizadas.
  1. Deber de diligencia y custodio de la persona a cargo de documentos durante la revisión o tramitación de estos.
  1. Identificación personalizada de usuarios para acceder a los sistemas de información y verificación de su autorización.
  1. Mecanismos de identificación y autenticación como pueden ser contraseñas que requieran parámetros mínimos para su asignación y que tengan una caducidad periódica que requiera su cambio.
  1. Acceso a datos mediante redes seguras.
  2. Auditoria ordinaria, la cual puede ser interna o externa periódicamente frente al cumplimiento de las obligaciones de protección de datos personales.
  1. Auditoria extraordinaria por modificaciones sustanciales en los sistemas de información.
  1. Informe de detección de deficiencias y propuesta de correcciones.
  2. Análisis y conclusiones del responsable de seguridad y del responsable del tratamiento.
  1. Designación de uno o varios administradores de las bases de datos.
  2. Designación de uno o varios encargados del control y coordinación de las medidas de la política de tratamiento de datos personales.
  1. Prohibición de delegación de la responsabilidad del responsable del tratamiento de los administradores de las bases de datos.
  1. Controles periódicos de cumplimiento.
  2. Acceso solo del personal autorizado.
  3. Mecanismo de identificación de acceso.
  4. Registro de accesos de usuarios no autorizados.
  5. Destrucción que impida el acceso o recuperación de los datos.
  6. Archivadores, armarios u otros ubicados en áreas de acceso protegidas con llaves u otras medidas.
  1. Medidas que impidan el acceso o manipulación de documentos almacenados en forma física.
  1. Sistema de etiquetado confidencial.
  2. Mecanismos de cifrado de datos para la transmisión y almacenamiento.
  1. Registro de accesos donde se indiqué la hora, base datos a la que se accede, que tipo de acceso se presentó y que información se accedió.
  1. Control del registro de accesos por el responsable de seguridad.
  2. Acceso y transmisión de datos mediante redes electrónicas seguras.
  3. Transmisión de datos mediante redes cifradas, donde se pueden utilizar sistemas
  1. USO DE COOKIES O WEB BUGS

Las cookies o web bugs usados por la empresa mediante su sitio web no tienen como finalidad recolectar datos personales del usuario, se utilizan con la finalidad limitada de facilitar al usuario el acceso a la página web. La empresa también podrá usar cookies para el inicio de sesión, la cuales no serán memorizadas de forma permanente y desaparecerán una vez el usuario proceda a cerrar el navegador, estas estarán limitadas a recoger información técnica con la finalidad de identificación la sesión y permitir el acceso seguro y eficiente a la página web, todo esto para prestarle el mejor servicio al usuario.

En caso de no permitir el uso de las cookies, estas pueden ser rechazadas o en caso de contar con cookies ya existentes eliminarlas, esto con la configuración de del navegador desde el cual se esté realizando el acceso al sitio web.

Es necesario tener en cuenta que en caso de bloquear las cookies o eliminarlas, esto puede afectar el correcto uso del sitio web.

Las cookies usadas por la empresa podrán ser propias o de un tercero, pero el usuario siempre tendrá la opción de decidir sobre el uso de las cookies, teniendo en cuenta lo indicado anteriormente sobre los efectos de bloquear o eliminarlas.

XVI. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE

INCIDENTES.

La empresa posee un procedimiento establecido para la notificación, gestión y respuesta de incidentes buscando garantizar la confidencialidad, disponibilidad e integridad de la información contenida en las bases de datos bajo nuestra responsabilidad.

Los pasos que seguir por la empresa son los siguientes:

  1. Se tiene conocimiento de la incidencia la cual puede consistir en: perdida, hurto y/o acceso no autorizado, que afecten o puedan afectar la confidencialidad, disponibilidad e integridad de la información protegida de la empresa o alguno de los encargados. Se deberá comunicar de manera inmediata, al área encargada de protección de datos personales.

Se debe describir de manera detallada el tipo de incidencia que se produjo, indicando las personas que hayan podido tener relación con la incidencia, la fecha y hora en que se ha producido, la persona que notifica la incidencia, la persona a quien se le comunica y los efectos que ha producido.

  1. Una vez se comunica la incidencia se solicitará al área encargada de protección de datos personales que expida el recibo que conste que la incidencia fue reportada con todos los requisitos indicando anteriormente.
  1. El área encargada creara un registro de incidencias que contendrá el tipo de incidencia, fecha y hora de esta, persona que la notifica, persona que la comunica, efectos generados por la incidencia y las medidas correctoras que se deban aplicar según el caso.
  1. Cuando se permita, se debe implementar el procedimiento para la recuperación de los datos, manifestando y dejando plasmado, quien ejecuta el proceso, los datos que serán restaurados y dependiendo del caso, los datos que tuvieron que ser grabados de manera manual durante el proceso de recuperación.
  1. Bajo la obligación estipulada en la Ley 1581 de 2012 la empresa procederá informar a la Superintendencia de Industria y Comercio dentro de los 15 días hábiles siguientes a la detección de la incidencia, este proceso se realizará mediante el Registro Nacional de Base de datos y siguiendo los lineamientos consagrados por la SIC en sus guías.
  1. La empresa comunicara a los titulares de la información que puedan haber sido afectados con la incidencia, para que estos puedan tomar las respectivas medidas de protección.
  1. Luego del respectivo estudio de la incidencia, la empresa implementara las correcciones acordes a la incidencia presentada.

XVII. SISTEMAS DE VIDEOVILIGANCIA

12 NIGHTS GROUP S.A.S, informa sobre la existencia de mecanismos de seguridad adoptados mediante la difusión en sitios visibles de anuncios de video vigilancia. De acuerdo con lo anterior la empresa cuenta con un sistema de vigilancia instalados en el interior y exterior de la planta de producción y oficinas.

XVIII. TRATAMIENTO DE IMÁGENES

El tratamiento de datos personales ha sido definido como “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión” en el caso de las imágenes de personas determinadas o determinables operaciones como la captación, grabación, transmisión, almacenamiento, conservación, o reproducción en tiempo real o posterior entre otras, son consideradas como tratamiento de datos personales y en consecuencia, se encuentran sujetas al régimen de General de Protección de Datos.

  1. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES: se entiende que el titular de la información ha dado su autorización cuando sea por escrito, oral o mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación y que permitan concluir de forma razonable que otorgó la autorización.

Se informará a los titulares de datos personales que se encuentran en una zona de video vigilancia mediante señales o avisos implementados que cumplirán con el siguiente contenido:

  1. Incluir información sobre quién es el responsable del tratamiento y sus datos de contacto.
  1. Indicar el tratamiento que se dará a los datos y la finalidad de este.
  2. Incluir los derechos de los titulares de la información.
  3. Indicar el lugar donde está publicada la política de tratamiento de la información
  1. DIVULGACIÓN DE LA INFORMACIÓN: el acceso y divulgación de las imágenes será restringido y su tratamiento solo será por personas autorizadas por el Titular y/o por solicitudes de una autoridad en ejercicio de sus funciones. En consecuencia, esta información que se recolecta por medio de sistema de vigilancia será controlada y consistente con la finalidad establecida por el responsable del tratamiento de datos.

XIX. SEGURIDAD INFORMÁTICA

12 NIGHTS GROUP S.A.S ha implementado una política de Seguridad Informática de estricto cumplimiento para todos los colaboradores, enfocada en prevenir el uso y acceso no autoriza a los datos de carácter personal.

La empresa hace declaración de seguridad y privacidad en orden a demostrar y comunicar su compromiso con una práctica de negocios de alto nivel ético y dotado de los controles internos apropiados. Además, hace esta declaración para garantizar el compromiso con la protección de los datos personales de los usuarios internos y externos de la compañía.

  1. ENCARGADO DE PROTECCION DE DATOS RESPONSABLE

Toda petición, consulta, queja o reclamo relacionada con el manejo de datos personales, en aplicación de lo previsto en la Ley 1581 de 2012 y el Decreto 1377 de 2013, deberá enviarse a:

Entidad: 12 NIGHTS GROUP S.A.S

Dependencia: Administración

Dirección física: carrera 48 B 10 SUR 153 de Medellín o vía electrónica a Correo electrónico: servicioalcliente12nights@gmail.com

Teléfono: 57 6043217771188/3137575120

Algunas de las funciones particulares de esta área en relación con Datos Personales son:

  1. Recibir las solicitudes de los Titulares de Datos Personales, tramitar y responder aquellas que tengan fundamento en la Ley o estas Políticas, como, por ejemplo: solicitudes de actualización de Datos Personales; solicitudes de conocer los Datos Personales; solicitudes de supresión de Datos Personales cuando el Titular presente copia de la decisión de la Superintendencia de Industria y Comercio de acuerdo con lo establecido en la Ley, solicitudes de información sobre el uso dado a sus Datos Personales, solicitudes de actualización de los Datos Personales, solicitudes de prueba de la Autorización otorgada, cuando ella hubiere procedido según la Ley.
  1. Dar respuesta a los Titulares de los Datos Personales sobre aquellas solicitudes que no procedan de acuerdo con la Ley.

XXI. VIGENCIA Y MODIFICACIONES.

La presente versión de la Política de Tratamiento de Datos Personales se publicará en la página web de 12 NIGHTS GROUP S.A.S., igualmente se difundirá la entre los funcionarios, colaboradores, proveedores y demás personas que tienen alguna responsabilidad en el tratamiento de datos personales. La empresa se reserva el derecho de modificar esta Política de Tratamiento de Datos Personales en cualquier momento, cualquier cambio será informado y publicado oportunamente.

Finalmente, 12 NIGHT GROUP S.A.S está comprometida con la realización oportuna de campañas de difusión y capacitación para el debido entendimiento y aplicación de la presente Política de Tratamiento de Datos Personales. Esta es la primera versión la cual empieza a regir a partir del 01 de enero de 2023.