- PERSON RESPONSIBLE FOR THE TREATMENT OF THE INFORMATION
NATURAL PERSON: DRA. SANDRA GARCÍA
CC: 66.920.728
Domicile: Cali, Valle del Cauca, Colombia
Address: Calle 5D # 38A-35, Torre 2, Consultorio 509
CELL: +57 3197642472
E-mail: admondrasandragarcia@gmail.com
Website: www.drasandragarcia.com
- GENERAL PROVISIONS
2.1 General Objective
Structure and develop the way in which the processing of information and personal data by DRA. SANDRA GARCIA in the provision of general and specialized dentistry services and orofacial harmonization. This information is contained in databases and information systems, both physically and electronically. For the proper provision of its services, it carries out the collection, storage and processing of personal information of patients, providers and / or employees, information consisting, among others, in general identification data, location, contact, socioeconomic content and sensitive nature, committing itself to an appropriate and responsible handling of this information, in accordance with the right of Habeas Data enshrined in the Political Constitution of Colombia and limiting itself to the collection and processing of personal data that are relevant and appropriate for the purpose for which they are collected.
2.2 Specific objectives
- Clearly state the manner in which the collection and storage of personal information of third parties is carried out.
- Establish who will be responsible or in charge of processing complaints, claims, petitions or queries from the owners of the information.
- Determine the treatment to which the data and personal information of third parties collected and stored in the information systems available will be subjected.
- Determine the purpose or use that will be given to the personal information of third parties.
- Establish the rights of the owners of the information, as well as the procedures and channels for attending to requests or claims in relation to the processing of their information.
2.3Legal Framework
These Information Processing Policies are based on the provisions of Law 1581 of 2012, Decree 1074 of 2015, Law 1266 of 2008, Regulatory Decrees 1727 of 2009 and 2952 of 2010, and other related regulations, without prejudice to the guidelines issued by the Superintendence of Industry and Commerce on this subject and the jurisprudential pronouncements that apply to the case such as the judgments of the Constitutional Court C 1011 of 2008, and C 748 of 2011, among others.
2.4Legal Definitions
Authorization: Prior, express and informed consent of the holder for the processing of personal data.
Database: Organized set of personal data that is subject to processing.
Personal data: Information related to one or several determined or determinable natural persons.
Public data: Information qualified as such according to the law or the Political Constitution and which is not semi-private, private or sensitive. For example, data relating to the civil status, profession or trade of persons. They may be contained in public records, public documents, gazettes and official bulletins.
Semi-private data: Data that is not of an intimate, reserved or public nature and whose knowledge or disclosure may be of interest not only to its owner but also to a certain sector or group of persons or to society in general.
Private data: Data that, due to its intimate or reserved nature, is only relevant to the owner.
Sensitive data: Data that affects the owner’s privacy or whose improper use may lead to discrimination. For example, those that reveal racial or ethnic origin, political orientation, religious or philosophical convictions, membership in trade unions, social organizations, human rights organizations or that promote the interests of any political party or that guarantee the rights and guarantees of opposition political parties, as well as data related to health, sex life and biometric data.
Data Processor: Natural or legal person, public or private, who by himself or in association with others, carries out the processing of personal data on behalf of the Data Controller.
Data Controller: Natural or legal person, public or private, who alone or in association with others, decides on the database and / or the processing of data.
Processing: Any operation or set of operations on personal data, such as collection, storage, use, circulation or deletion.
Data subject: Natural person whose personal data is the object of processing.
2.5. Principles
Principle of restricted access and circulation: Processing may only be done by persons authorized by the owner of the information. Private personal data may not be available on the Internet or other means of mass dissemination or communication, unless access is technically controllable.
Principle of confidentiality: All persons involved in the processing of private personal data are obliged to guarantee the confidentiality of the information, even after the end of the relationship that supported the processing.
Principle of purpose: The processing of personal information must respond to a specific and legal purpose, which must always be informed to the owner.
Principle of legality in data processing: The processing of personal information is a regulated activity that must be subject to the provisions of the law that regulates it.
Principle of freedom: The processing of information can only be carried out with the prior, express and informed consent of the owner.
Principle of security: The information subject to processing by the Data Controller or Data Processor must be handled with the technical, human and administrative measures necessary to provide security to the records avoiding their adulteration, loss, consultation, use or unauthorized or fraudulent access.
Principle of transparency: In the treatment, the right of the holder to obtain at any time and without restrictions, information about the existence of data concerning him/her must be guaranteed.
Principle of truthfulness or quality: The information subject to processing must be truthful, complete, accurate, updated, verifiable and understandable. The processing of partial, incomplete, fractioned or misleading data is prohibited.
- DERECHOS DEL TITULAR DE LA INFORMACIÓN
- Conocer, actualizar y rectificar sus datos personales frente a los Responsables del tratamiento o Encargados del tratamiento. Este derecho se podrá ejercer frente a datos parciales, inexactos, incompletos, fraccionados, o aquellos cuyo tratamiento no haya sido autorizado.
- Solicitar prueba de la autorización otorgada al Responsable del tratamiento salvo cuando dicha autorización no sea necesaria para el tratamiento.
- Ser informado por el Responsable del tratamiento o el Encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio, quejas por infracciones a lo dispuesto en Ley 1581 de 2012 y las demás normas relacionadas.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
La lista anterior es enunciativa y no limitativa, pues se entienden por Derechos del Titular, todos aquellos conferidos por la legislación colombiana y las normas internacionales de aplicación en el país.
- INFORMACIÓN SENSIBLE
Los datos sensibles son aquellos que afectan la intimidad del titular y/o cuyo uso indebido puede generar su discriminación, tales como el origen racial o étnico de la persona, orientación política, religiosa o filosófica, pertenencia a sindicatos o cualquier organización social. Así mismo, los relativos a su condición de salud, tales como exámenes médicos, diagnósticos clínicos, historias clínicas, incapacidades, etc.
DRA. SANDRA GARCÍA, garantiza de manera especial la seguridad, custodia y adecuado tratamiento de los datos sensibles, como garantía de los derechos de sus titulares. Dicho tratamiento podrá hacerse siempre bajo las siguientes condiciones:
- El Titular haya dado su autorización explícita a dicho tratamiento.
- El Tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
- El Tratamiento se refiere a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
4.1 Datos personales de niños, niñas y adolescentes
Cuando se trate de datos personales de niños, niñas y adolescentes, DRA. SANDRA GARCÍA podrá hacer uso y tratamiento de ellos únicamente cuando se traten de datos que sean de naturaleza pública o cuando el tratamiento responda y respete el interés superior del menor y que se asegure el respeto de sus derechos fundamentales, previa autorización del representante legal quien deberá escuchar la opinión del menor y valorarla teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto. En todo caso, DRA. SANDRA GARCÍA, aplicará los principios y obligaciones establecidos en la normatividad vigente.
No obstante, DRA. SANDRA GARCÍA se reserva el derecho de priorizar la vida o salud de los niños, niñas y adolescentes en los casos en que éstos se puedan ver vulnerados, y de esta forma, garantizar la prevalencia de sus derechos, tal como lo expresa la Corte Constitucional en Sentencia T-587 de octubre 20 de 1998:
Por lo tanto, es responsabilidad de DRA. SANDRA GARCÍA, velar por los derechos fundamentales de estos sujetos de especial protección, por lo que si se enfrentan el derecho a la vida o salud y el derecho a la privacidad de los datos personales de los menores, prevalecerán los primeros, y DRA. SANDRA GARCÍA hará el tratamiento de esos datos en la forma que estime pertinente para dar cumplimiento a dicha obligación.
4.2 Datos relativos a la salud
Dado que resulta obligatorio para los prestadores del servicio de salud la elaboración de la historia clínica de sus pacientes, la cual incluye aspectos biológicos, psicológicos, sociales del paciente, su familia y su comunidad, cada titular debe dar autorización expresa y escrita para la recolección y tratamiento de los mismos, frente a los cuales, el Responsable conservará medidas de seguridad y confidencialidad de la información adecuados que garanticen la integridad de los datos sensibles.
4.3 Historia clínica
Según lo establecido por la ley, las historias clínicas deben conservarse por mínimo de 20 años contados a partir de la fecha de su última anotación, una vez transcurrido este tiempo, la historia clínica podrá́ destruirse, razón por la cual DRA. SANDRA GARCÍA se acoge a este periodo para conservar estos documentos.
- DEBERES Y OBLIGACIONES A CARGO
5.1. Deberes en su Calidad de Responsable del Tratamiento
- Garantizar al titular, de manera permanente, el ejercicio del derecho de hábeas data.
- Informar al titular acerca de la finalidad de la recolección de su información y los derechos que le asisten.
- Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Solicitar y conservar copia de la respectiva autorización otorgada por el titular.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Actualizar y rectificar la información, comunicando al Encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado.
- Suministrar al Encargado del tratamiento sólo datos cuyo tratamiento esté previamente autorizado.
- Exigir al Encargado del tratamiento el respeto a las condiciones de seguridad y privacidad de la información del titular.
- Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
5.2. Deberes en su Calidad de Encargado del Tratamiento
En caso de que DRA. SANDRA GARCÍA realice alguna actividad donde se constituya como Encargado del tratamiento de información personal de un tercero, tendrá que cumplir con los siguientes deberes:
- Garantizar al titular el pleno y efectivo ejercicio del derecho de hábeas data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos establecidos por la ley.
- Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
- Tramitar consultas y reclamos formulados por los titulares en los términos señalados en la ley.
- Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley.
- Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
- TITULARES Y TRATAMIENTO DE INFORMACIÓN PERSONAL
En DRA. SANDRA GARCÍA se adelanta tratamiento de información personal, tanto de proveedores, pacientes y empleados, para lo cual, se aplicarán las políticas de tratamiento de información personal adoptadas en el presente manual.
6.1 Pacientes
6.1.1 Canales de captura de la información
La recolección de información personal de los pacientes se realiza a través del servicio odontológico y/o orofacial solicitado, así mismo, cuando se trata de ayudas diagnósticas o resultados de exámenes médicos, estos pueden ser recolectados posteriormente a medida que se va a adelantando el procedimiento.
El paciente suscribe en todos los casos la autorización para el tratamiento de información personal en los términos de la ley 1581 de 2012, donde se le expone de manera clara las finalidades para las cuáles serán tratados tales datos, así mismo se suscribe por parte del paciente el respectivo consentimiento informado para la realización de uno o varios procedimientos o intervenciones de naturaleza odontológica y/o orofacial.
De manera excepcional, podría presentarse la necesidad de solicitar algún tipo de información adicional a través de correo electrónico o vía telefónica, casos en los cuales, se da igual cumplimiento a los requisitos necesarios y legales para la obtención de la información, esto es, la obtención de la autorización del titular para el tratamiento de sus datos personales, así como la exposición precisa acerca del uso que se le dará a la misma.
6.1.2 Tipo de información capturada y uso de la misma
La información solicitada a los pacientes consiste en información general, como nombre, sexo, edad, estado civil, documento de identificación o cédula, teléfonos, dirección y correo electrónico. Además, se conservan historias clínicas o ayudas diagnósticas que pueden contener datos que incluyen pero no se limitan a antecedentes, resultados quirúrgicos, consultas, prescripciones, diagnósticos y resultados de exámenes.
DRA. SANDRA GARCÍA, informa al paciente al momento de la recolección de estos datos y documentos, que la información y documentación aportada será utilizada de manera estricta y cuidadosa para adelantar la prestación del servicio requerido, así como para la creación e ingreso como paciente nuevo dentro del sistema de información y para el adelantamiento de las gestiones contables y de facturación.
6.2 Proveedores
6.2.1 Canales de captura de la información
Para darle inicio a la negociación y posterior contratación con proveedores, se diligencia la autorización para el tratamiento de la información suministrada en los términos de la ley 1581 de 2012 y el decreto 1074 de 2015.
En el caso de necesitar contactar a un nuevo proveedor, se consultan directorios públicos, páginas web y/o referidos. En estos casos, no es necesario contar con autorización para tratamiento de información por ser datos públicos y expuestos de manera voluntaria por sus titulares dentro del desarrollo de su actividad económica.
6.2.2 Tipo de información capturada y uso de la misma
La información solicitada a proveedores consiste en información general como nombres, razón social, número de identificación tributaria, cédula de ciudadanía, números telefónicos, correos electrónicos, certificaciones bancarias y demás contenidos en un Certificado de Existencia y Representación Legal o un Registro Único Tributario, sin perjuicio de la documentación solicitada en relación al producto o servicio requerido.
6.3 Empleados
6.3.1 Canales de captura de la información
Cuando se solicita la información y documentación necesaria para procesos de contratación se procede a través de correo electrónico y/o vía telefónica. Por otro lado, los documentos solicitados siempre se entregan por parte del trabajador de manera física para la posterior verificación de la información.
6.3.2. Tipo de información capturada y uso de la misma
La información solicitada a los trabajadores de DRA. SANDRA GARCÍA, consiste en información general de identificación, ubicación, contacto, contenido socioeconómico y de naturaleza sensible, que se encuentra en documentos como la hoja de vida, certificados académicos y certificados de experiencia laboral, resultados de exámenes médicos de ingreso, pruebas técnicas practicadas, referencias laborales y familiares, entre otros.
La información recolectada es utilizada de manera exclusiva para efectos de suscribir el respectivo contrato de trabajo, así como para los siguientes fines:
- Trámites relativos a afiliación a: Riesgos Profesionales (ARL), Caja de Compensación Familiar, Prestadora de Salud (EPS), Fondo de Pensión y Fondo de Cesantías.
- Registro de la información en la base de datos para la alimentación de su propio archivo y el envío de información de interés.
- Ser contactado en asuntos presentados en virtud de la relación laboral vigente.
- Realizar el envío de información general o de interés, así como la inscripción a eventos con previo anuncio.
- Conocer los antecedentes disciplinarios, fiscales y en la agremiación relacionada con su profesión.
- AUTORIZACIÓN Y ACCESO A LA INFORMACIÓN POR PARTE DE LOS TITULARES
7.1. Autorización y consentimiento
DRA. SANDRA GARCÍA, se limitará a solicitar aquellos datos personales que son estrictamente pertinentes y adecuados para la finalidad con que son recolectados para el cumplimiento de su objeto social y no hará uso de medios engañosos o fraudulentos para recolectar y realizar tratamiento de datos personales.
La recolección, almacenamiento, uso, circulación o supresión de datos personales, requiere del consentimiento libre, previo, expreso e informado del titular de los mismos, lo cual se realiza de la manera y con las finalidades expuestas en las presentes Políticas de Tratamiento. De esta forma, existen mecanismos implementados para garantizar la obtención de la autorización por parte del titular de la información a través de formatos de autorización para el tratamiento de datos y consentimiento informado y contratos laborales, donde se exponen de manera clara las finalidades para las cuales dicha información será utilizada.
7.2. Acceso a la Información
DRA. SANDRA GARCÍA, considera que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos solo para fines para los que se encuentra facultado debidamente, respetando en todo caso la normatividad vigente.
DRA. SANDRA GARCÍA garantizará el derecho de acceso cuando, previa acreditación de la identidad del titular, legitimidad o personalidad de su representante, poniendo a disposición de éste, sin costo alguno, los respectivos datos personales a través de todo tipo de medio, incluyendo medios electrónicos.
7.3. Prueba de la Autorización
DRA. SANDRA GARCÍA, utilizará los mecanismos técnicos o tecnológicos necesarios para mantener registros de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales. Para tal fin, se podrán establecer archivos físicos o electrónicos de manera directa o a través de terceros contratados.
7.4. Datos recolectados antes de la vigencia de estas políticas.
Para los datos personales recolectados antes de la vigencia de esta política, DRA. SANDRA GARCÍA solicitará la autorización de los titulares de la información para continuar realizando tratamiento de sus datos, a través de avisos informativos, vía correo electrónico o personal, donde se pondrá en conocimiento los derechos que tienen respecto al manejo y conservación de sus datos y la existencia e implementación de las presentes políticas.
Si en término treinta (30) días hábiles, a partir del envío de la comunicación, el titular no ha contactado al Responsable para solicitar la supresión de sus datos personales, DRA. SANDRA GARCÍA podrá continuar realizando el tratamiento de los datos para las finalidades indicadas en la política de Tratamiento de Datos.
7.5. Casos en que no se requiere autorización del titular
No es necesario contar con la autorización del titular en los siguientes casos:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial
- Datos de naturaleza pública
- Casos de urgencia médica o sanitaria
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos
- Datos relacionados con el Registro Civil de las Personas
- ATENCIÓN DE PETICIONES, RECLAMOS Y CONSULTAS DE LOS TITULARES DE LA INFORMACIÓN
8.1 Responsable de la atención a las peticiones, reclamos o consultas de los titulares de la información
Se ha encargado como responsable de la atención de las peticiones, reclamos o consultas, al área administrativa que está en capacidad de atender cualquiera de ellos.
8.2 Procedimiento para garantizar el derecho a rectificar, actualizar o suprimir sus datos
En cualquier momento y de manera gratuita, el titular o su representante podrán solicitar a DRA. SANDRA GARCÍA, la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad.
Estos derechos podrán ejercerse únicamente por:
- El titular, acreditando su identidad o a través de instrumentos electrónicos que le permitan identificarse
- Su representante, previa acreditación de la representación
- Cuando la solicitud sea formulada por persona distinta del titular, deberá acreditarse en debida forma el mandato para actuar y en caso de no acreditar tal calidad, la solicitud se tendrá por no presentada.
8.3 Requisitos de solicitud de rectificación, actualización o supresión de datos
La solicitud de rectificación, actualización o supresión de datos, debe ser presentada a través de alguno de los canales de atención al titular definidos en estas políticas de tratamiento, y deberá contener al menos lo siguiente:
- El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta.
- La descripción clara de los datos personales respecto de los cuales el titular busca ejercer derechos.
- En las solicitudes de rectificación y actualización de datos personales, el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.
8.4 Canales de atención al titular y procedimientos
8.4.1 Correo electrónico:
El titular de la información podrá comunicarse a admondrasandragarcia@gmail.com y se procederá a dar respuesta dentro de diez (10) días hábiles siguientes a su recibo.
8.4.2 Physical mail addressed to DRA. SANDRA GARCIA
Dirección: Calle 5D # 38A-35, Edificio Vida, Torre 2, Consultorio 509
The mail received will initiate the response procedure within ten (10) working days.
- INFORMATION SECURITY RISKS AND MEASURES
9.1 Probable risks
9.1.1 Loss or disappearance of information
Tangible damage due to situations such as fire or flood in the case of physical files and documents, as well as damage and/or failure of the company’s system and/or server, due to hacking of the same that does not allow the recovery of the information, preventing the continuation of the provision of the service.
9.1.2 Misuse of information
It is caused by external factors, such as situations of hacking of the system and/or servers for criminal purposes or that go against the holder’s right to Habeas Data, as well as by internal factors, such as the improper use of information handled by an employee that goes beyond the functions entrusted to his or her position.
9.2 Information security systems and risk mitigation behaviors
A weekly back up of the information has been implemented, a copy of which is kept on an external hard disk and/or in the cloud of the clinical software service provider.
- USE AND TRANSFER OF PERSONAL DATA AND PERSONAL INFORMATION BY DRA SANDRA GARCÍA TO THIRD PARTIES OR DATA PROCESSORS
Depending on the nature of the permanent or occasional relationship that the holder of personal data may have with DRA. SANDRA GARCÍA, the totality of your information may be transferred to a third party in charge, following the applicable legal requirements and with the express authorization of the owner of the same. The information will be transferred without prejudice to the obligation to observe and maintain the confidentiality of the information, and may not be used or intended for a different purpose or different.
- MODIFICATIONS
Any modification to these policies, whether or not they are substantial modifications, shall imply the respective dissemination.
- IMPLEMENTATION AND VALIDITY
The present Policies of Treatment of the information will come into force from the month of June 2018, once it has been informed of its adoption, both patients, suppliers and employees of DRA. SANDRA GARCÍA, as holders of personal information, which will be done through the sending of personalized communications or mass media.