Políticas de Privacidad

undefined

NORMA DE PROTECCIÓN DE DATOS PERSONALES Y HABEAS DATA

HUBPHARMA S.A.S.

agosto de 2024


La sociedad HUBPHARMA S.A.S., en adelante y para efecto del presente documento HUBPHARMA, en relación con sus grupos de interés adopta la siguiente Norma sobre Protección de Datos Personales, que desarrolla su Política de Privacidad.

Los datos personales en custodia de HUBPHARMA, en su condición de Responsable y/o Encargado según el caso, serán tratados cumpliendo los principios y regulaciones previstas en las leyes colombianas y en las buenas prácticas aplicables al régimen de protección de datos personales que de manera particular se adoptan a través de la presente norma.

Contenido

CONSIDERANDOS 3

ARTÍCULO 1. DEFINICIONES. 4

ARTÍCULO 2. OBJETO. 4

ARTÍCULO 3. ÁMBITO DE APLICACIÓN. 4

ARTÍCULO 4. DESTINATARIOS. 4

ARTÍCULO 5. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS

PERSONALES. 5

5.1. Consentimiento informado o principio de libertad. 5

5.2. Legalidad. 6

5.3. Finalidad del dato. 7

5.4. Calidad o veracidad del dato. 8

5.5. Transparencia. 8

5.6. Pertinencia del dato. 8

5.7. Acceso y circulación restringida. 8

5.8. Temporalidad del dato. 9

5.9. Seguridad del dato. 9

5.10. Confidencialidad. 9

5.11. Deber de información. 10

5.12. Protección especial de datos sensibles. 10

5.13. Responsabilidad Demostrada. 10

ARTÍCULO 6. DERECHOS DE LOS TITULARES DE LOS DATOS. 10

6.1. Derecho de Acceso. 11

6.2. Derecho de actualización. 11

6.3. Derecho de rectificación. 11

6.4. Derecho de cancelación 11

6.5. Derecho a la revocatoria del consentimiento. 11

6.6. Derecho de oposición 12

6.7. Derecho a presentar quejas y reclamos o a ejercer acciones. 12

6.8. Derecho a otorgar autorización para el tratamiento de datos. 12

ARTÍCULO 7. DEBERES DE LOS TITULARES, RESPONSABLES Y ENCARGADOS. 13

7.1. Deberes del Titular del Dato Personal 13

7.2. Deberes del Responsable. 13

7.3. Deberes de los encargados del tratamiento de datos personales. 14

7.4. Deberes comunes de Responsables y Encargados del tratamiento. 15

ARTÍCULO 8. PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION,

CANCELACION Y OPOSICION. ..........................................................................................16

ARTÍCULO 9.  REGISTRO CENTRAL DE BASES DE DATOS PERSONALES. ........18

ARTICULO 10. TRATAMIENTO DE DATOS PERSONALES. .......................................19

10.1. Datos personales relacionados con la gestión del recurso humano............................19

10.2.Tratamiento de datos personales de proveedores. .......................................................21

10.3.Tratamiento de datos personales en procesos de contratación. ..................................22

10.4.Tratamiento de datos personales de la comunidad en general. ..................................22

ARTÍCULO 11. PROHIBICIONES. ........................................................................................23

ARTICULO 12. TRANSFERENCIA INTERNACIONAL DE DATOS. 24

ARTICULO 13. ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA

PROTECCION DE DATOS PERSONALES. 25

ARTÍCULO 14. TEMPORALIDAD DEL DATO PERSONAL. 26

ARTÍCULO 15. MEDIDAS DE SEGURIDAD. 26

ARTICULO 16. PROCEDIMIENTOS Y SANCIONES. 26

ARTÍCULO 17. ENTREGA DE DATOS PERSONALES A AUTORIDADES. 27

ARTÍCULO 18. VIGENCIA. 28

CONSIDERANDO

  1. 1. Que la Seguridad de la Información constituye un deber respecto del cual HUBPHARMA tiene un compromiso irrestricto, máxime frente al cumplimiento de las disposiciones legales, acogiendo para los efectos también buenas prácticas en la materia.
  1. 2. Que HUBPHARMA adoptó por conducto de la Dirección General y Representante Legal, la Política de Privacidad para dar cumplimiento a las disposiciones legales, la cual debe ser desarrollada a partir de normas internas y otras políticas que la complementen.
  1. 3. Que HUBPHARMA, en cumplimiento de lo dispuesto por la Ley 1581 de 2012 y su marco reglamentario, que regula la recolección y tratamiento de los datos de carácter personal y establece las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de tal información, expide la siguiente Norma que contiene el marco normativo y el procedimiento que desarrolla el tratamiento de datos personales dentro de la organización.
  1. 4. Que en cumplimiento de los derechos contenidos en el Artículo 15 de la Constitución Política de Colombia, Ley 1581 de 2012 y Ley 1273 de 2009, corresponde tanto a los órganos directivos de HUBPHARMA, así como a sus empleados y terceros contratistas observar, acatar y cumplir las órdenes e instrucciones que de modo particular imparta HUBPHARMA respecto de los datos de carácter personal, cuya divulgación o indebido uso pueda generar un perjuicio a los titulares de la misma.
  1. 5. Que, para dar cumplimiento a las disposiciones legales mencionadas, se expide la Norma que se consigna a continuación.

ARTÍCULO 1. DEFINICIONES.

Hace parte de la presente Norma el Glosario que se anexa como parte integral de la misma, en el cual se definen los términos requeridos para entender y comprender los conceptos relacionados con Intimidad, Habeas Data, Protección de Datos Personales y Derecho a la Información.

ARTÍCULO 2. OBJETO.

Mediante la presente Norma se adoptan y establecen las reglas aplicables al tratamiento de datos de carácter personal recolectados, tratados y/o almacenados por HUBPHARMA, en desarrollo de su capacidad legal como sociedad comercial del sector de las TIC, bien sea en calidad de responsable y/o encargado del tratamiento.

Las reglas contenidas en esta Norma se expiden en cumplimiento a lo dispuesto en el Artículo 15 de la Constitución Política de Colombia y en la Ley 1581 de 2012, en cuanto a la garantía de la intimidad de las personas, ejercicio del habeas data y protección de datos personales, en concordancia con el derecho a la información consagrado en el artículo 20, de manera que se regulen proporcionalmente estos derechos en HUBPHARMA y se pueda prevenir la vulneración de los mismos.

Las reglas adoptadas en esta Norma por HUBPHARMA se adecúan a las buenas prácticas en materia de protección de datos personales.

ARTÍCULO 3. ÁMBITO DE APLICACIÓN.

Las disposiciones contenidas en esta Norma se aplicarán y someterán al tratamiento de datos personales efectuado por HUBPHARMA en territorio colombiano, o cuando el responsable y/o encargado destinatario de los datos se encuentre ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.

Los principios y disposiciones contenidos en esta Norma, se aplicarán a cualquier base de datos personal que se encuentre en custodia de HUBPHARMA, bien sea en calidad de Responsable y/o como Encargado del tratamiento. Todos los servicios que presta HUBPHARMA y que involucren el tratamiento de datos de carácter personal deberán someterse a lo dispuesto en esta Norma y adecuarla en estos.

ARTÍCULO 4. DESTINATARIOS.

La presente Norma se aplicará y por ende obligará a las siguientes personas:

4.1. Consejo de Administración

4.2. Representantes legales

4.3. Personal interno de HUBPHARMA, especialmente aquel que custodie y/o trate bases de datos de carácter personal.

4.4. Contratistas, proveedores y toda persona natural o jurídica que preste sus servicios a HUBPHARMA bajo cualquier tipo de modalidad contractual, en virtud de la cual se efectúe cualquier tratamiento de datos de carácter personal. Esta previsión deberá incluirse en todos los contratos o relaciones jurídicas.

4.5. Aquellas otras personas con las cuales exista una relación de orden estatutario, contractual, legal, entre otras.

4.6. Personas públicas y privadas en condición de Responsables y/o Usuarios  de los datos personales.

4.7. Las demás personas que establezca la ley o que contractualmente estén autorizadas.

ARTÍCULO 5. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES.

La protección de datos de carácter personal en HUBPHARMA estará sometida a los siguientes principios o garantías mínimas consagradas en la ley con base en las cuales se determinarán los servicios internos relacionados con el tratamiento de datos personales; tales principios se interpretarán de manera armónica, integral y sistemática para resolver los conflictos que se susciten en esta materia; son principios aplicables a este régimen los consagrados en la ley colombiana, la Jurisprudencia de la Corte Constitucional sobre la materia y en las prácticas internacionales aplicables, entre ellos:

5.1. Consentimiento informado o principio de libertad.

El tratamiento de datos personales al interior de HUBPHARMA tendrá en cuenta la obtención del consentimiento previo, expreso e informado del titular cuando ello aplique y sea necesario. Los datos personales no podrán ser obtenidos, tratados o divulgados sin autorización del titular, salvo mandato legal, o mandato judicial que supla el consentimiento del titular, o éste se otorgue en el ámbito de una relación contractual entre HUBPHARMA y el titular del dato.

Tratándose del tratamiento excepcional de datos sensibles relacionados con los asuntos íntimos de la persona (orientación sexual, origen étnico, filiación sindical o política, credo religioso, entre otros que puedan generar exclusión, discriminación y/o peligro) y especialmente protegidos (menores de edad), HUBPHARMA adoptará las decisiones que sean necesarias para otorgar a estos datos los mayores niveles de seguridad y asegurarse de un tratamiento restrictivo de los mismos. Frente al tratamiento de estos datos personales sensibles y especialmente protegidos deberá informarse previamente al titular la posibilidad de oponerse al tratamiento de estos.

En ejercicio de su objeto social, concretamente para la prestación de servicios de tecnología relacionados con la salud de las personas, HUBPHARMA debe desplegar tratamiento de datos sensibles relacionados con la historia clínica de los pacientes de sus clientes. En consecuencia, HUBPHARMA así mismo adoptará las medidas de seguridad de índole administrativo físico y lógico que permitan otorgar seguridad a estos datos cuyo acceso es restringido ya está sujeto a los procesos establecidos por HUBPHARMA para el desarrollo de dicha actividad. En este sentido las disposiciones legales sobre custodia, conservación y manejo de la historia clínica, se entenderán y aplicarán en forma concurrente con las reglas de Protección de Datos personales que adopte la institución.

El consentimiento podrá ser expresado por el titular del dato personal o su representante en forma escrita, o bien en forma oral siempre que se conserve prueba de este; o mediante conductas inequívocas, es decir, a través de acciones que permitan razonablemente entender que ha otorgado el consentimiento para tratar su información personal. En ningún caso, el silencio del titular del dato o la conducta pasiva de este o su representante podrá ser considerado expresión del consentimiento.

HUBPHARMA implementará con sus clientes la adecuada recolección de datos de salud que prevean la finalidad de aplicar a los mismos y en forma anonimizada, herramientas de analítica e inteligencia artificial para el logro de información relevante como lo es la detección de pacientes con enfermedades huérfanas o de difícil diagnostico. Sobre este tratamiento se tendrá la previsión por las entidades prestadoras del servicio de salud, de obtener el consentimiento y de informar al titular sobre la finalidad de dicha recolección, salvo en aquellos casos autorizados por la ley. Para tal efecto implementará los avisos de privacidad correspondientes en los instrumentos y medios a través de los cuales informe al titular sobre la finalidad del tratamiento.

Los datos personales recolectados en el marco de una autorización legal serán tratados únicamente para los fines de ley; por tanto, finalidades diferentes a las autorizadas por la ley exigen de la autorización del titular del dato.

5.2. Legalidad.

El tratamiento de datos personales en Colombia es una actividad reglada y prevista en la ley. Por ende los servicios que presta HUBPHARMA y los destinatarios de la Ley 1581 de 2012 deben sujetarse a lo dispuesto en ella, y de manera especial a las normas legales que regulen la operación de esta organización.

En HUBPHARMA no se tratarán datos con fines ilícitos o contrarios al orden público. Todos los datos personales que se tratan por HUBPHARMA se hacen dentro del marco de sus actividades comerciales y sociales, en algunos casos en calidad de responsable y en otros en calidad de encargada de tratamiento

sobre los datos que custodia por encargo especialmente de los clientes de sus sistemas y servicios informáticos en el sector de salud.

5.3. Finalidad del dato.

El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución Política y la ley, la cual debe ser informada de manera concreta, precisa y previa al titular para que este exprese su consentimiento, bien sea en el ámbito del contrato o bien sea en los instrumentos normativos internos que se adopten para el efecto bien por sus clientes o por HUBPHARMA cuando le corresponda recolectar el consentimiento de los usuarios o pacientes. Para las excepciones previstas en la ley a efectos de datos personales que no requieren el consentimiento previamente enunciado por existir autorización legal, se debe de igual manera informar al titular del dato la finalidad legitima del tratamiento del dato personal lo cual se cumplirá por HUBPHARMA a través de sus avisos de privacidad.

La principal finalidad de tratamiento de datos personales al interior de HUBPHARMA tiene como objetivo la prestación de servicios informáticos, de analítica e inteligencia artificial en salud, sobre los datos de los usuarios de los servicios de salud para la obtención de datos relevantes en la prevención y/o tratamiento de enfermedades, sin perjuicio de las demás actividades previstas en los estatutos y en la ley.

De forma general se pueden enlistar como finalidades del tratamiento al interior de HUBPHARMA las siguientes:

  1. a. Mantener una comunicación constante con los titulares de los datos personales, relativa al desarrollo de las actividades propias de la institución de acuerdo con los perfiles de cada tipo de base de datos que esta posea.
  1. b. Realizar encuestas y sondeos sobre métricas de sus servicios.
  2. c. Cumplir con parámetros establecidos por entidades de certificación y/o calidad.
  3. d. Prestar servicios de validación y verificación de clientes.
  4. e. Administrar bases de datos propias o de terceros.
  1. f. Establecer bases de datos de pacientes y sus historias clínicas como consecuencia de su objeto social principal.
  1. g. Mantener un consolidado de los usuarios de sus clientes y la realización de estadísticas, encuestas y demás actividades tendientes a la consecución de indicadores o información relevante para el cumplimiento del objeto social.
  1. h. Cumplir con las obligaciones legales y contractuales en las que se requiera recaudar información personal mediante la elaboración de Bases de Datos para efectos de control, supervisión y auditorias, y proyectos llevados a cabo por la institución.
  1. i. Realizar actividades de mercadeo, publicidad, envío de información relacionada con la institución, así como la promoción de los servicios relacionados u ofrecidos de manera directa o indirecta frente a sus clientes.
  1. j. Cumplir con los encargos solicitados por terceros y amparados en un vinculo contractual entre este y el titular de los datos.
  1. k. Compartir los datos personales o las bases de datos tratadas por HUBPHARMA a terceros que gestionen, ayuden o desarrollen la ejecución de actividades propias de la empresa o que se deriven del cumplimiento de disposiciones legales o de relaciones comerciales o contractuales con dichos terceros.
  1. l. Evaluar la calidad de los servicios ofrecidos por HUBPHARMA.
  1. m. Cumplir las normas aplicables a proveedores y contratistas, incluyendo, pero sin limitarse a las tributarias y comerciales.

5.4. Calidad o veracidad del dato.

Los datos de carácter personal recolectados por HUBPHARMA deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. No es permitido el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error. No obstante, se entiende que HUBPHARMA no es responsable de la veracidad de la información suministrada por los titulares y/o del incumplimiento de la obligación que tienen estos de actualizar su información, especialmente la que recibe en condición de encargado de tratamiento.

5.5. Transparencia.

En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen. Para tal efecto se podrá ejercer el Habeas Data y hacer las solicitudes pertinentes acorde con los procedimientos establecidos para el efecto, tal como se indica posteriormente en esta norma.

5.6. Pertinencia del dato.

Los datos personales que recolecte HUBPHARMA deberán ser adecuados, pertinentes y no excesivos, teniendo en cuenta la finalidad del tratamiento de los mismos. No es permitida la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen o que la ley permita.

5.7. Acceso y circulación restringida.

Los datos personales que recolecte o trate HUBPHARMA serán usados por ella solo en el ámbito de la finalidad expresada previamente al titular del dato, así como en el ámbito de las autorización concedida por el mismo o que derive de las relaciones contractuales que establece HUBPHARMA en ejercicio de su objeto social, facultades estatutarias o autorizaciones de ley como Institución prestadora de los servicios de salud, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros; salvo las autorizaciones correspondientes.

De manera excepcional los datos personales bajo custodia de HUBPHARMA podrán ser entregados a terceros en calidad de encargados de tratamiento o bien en calidad de usuarios de la información, dentro de los límites de lo informado, la ley y/o autorizado por el titular del dato.

Cuando algunos de los datos personales bajo custodia de HUBPHARMA estén disponibles en Internet o en cualquier otro medio de divulgación masiva, se procurarán medidas de acceso técnicamente controlable y seguro, con el fin de brindar seguridad a la información y un conocimiento restringido sólo a los titulares o terceros autorizados conforme a lo dispuesto en la ley.

5.8. Temporalidad del dato.

La permanencia de los datos en los sistemas de información de HUBPHARMA estará determinada por la finalidad de dicho tratamiento y el cumplimiento de las normas que le son aplicables, como lo son las de correspondencia y archivo que le apliquen. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, HUBPHARMA procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.

5.9. Seguridad del dato.

HUBPHARMA, en calidad de responsable o encargado del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, disponibilidad y confidencialidad de los datos personales, sin perjuicio de otros atributos a tener en cuenta en cada caso particular.

Así mismo HUBPHARMA, conforme la clasificación de los datos personales implementará las medidas de seguridad de nivel alto, medio o bajo, aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento. Para estos efectos se tendrán en cuenta las exigencias y/o directrices comunicadas por la Superintendencia de Industria y Comercio o la autoridad que haga sus veces.

5.10. Confidencialidad.

HUBPHARMA y todas las personas que intervengan en el tratamiento de datos de carácter personal, tienen la obligación profesional de guardar y mantener la reserva de tales datos que no sean de naturaleza pública entendidos como aquellos que hagan parte de bases de datos con tal vocación, obligación de confidencialidad que subsiste aún finalizada la relación laboral o contractual. HUBPHARMA implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.

5.11. Deber de información.

HUBPHARMA informará, a los titulares de los datos personales, así como a los responsables y encargados del tratamiento del régimen de protección de datos adoptado por ella, así como la finalidad y demás principios que regulan el tratamiento de estos datos. Informará además sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del habeas data por parte de los titulares, procediendo al registro que exige la ley en los términos del artículo 25 de la Ley 1581 de 2012 y las normas que lo reglamenten.

5.12. Protección especial de datos sensibles y especialmente protegidos

HUBPHARMA debe recolectar datos de carácter sensible en la prestación de sus servicios informáticos y tecnologicos sobre datos de salud, concretamente datos de salud de los pacientes y usuarios de sus clientes, que serán tratados en la respectiva historia clínica adoptando las medidas adicionales qué sugiera el régimen legal vigente en Colombia en materia de Protección de Datos personales. Para tal efecto en el contrato respectivo y/o en los avisos de privacidad de recolección de la información directamente por HUBPHARMA, la finalidad de dicho tratamiento, los derechos que corresponden a los titulares y dispondrá del acceso a su política, de conformidad con lo indicado por la ley.

En relación con otro tipo de datos sensibles, sólo recolectará datos personales de carácter sensible y especialmente protegidos (niños, niñas y adolescentes) cuando ello sea necesario y pertinente para el desarrollo de su objeto social. En cada caso deberá obtener autorización expresa del titular, o bien verificar que su tratamiento se origine y legitime en el marco de una relación contractual y/o negocial, o bien provenga de autorización legal.

5.13. Responsabilidad Demostrada.

HUBPHARMA, como responsable del tratamiento de datos personales, respecto de cada operación que involucre información personal, debe demostrar ante las autoridades que ha adoptado e implementado las medidas apropiadas y efectivas para cumplir con el régimen de protección de datos, considerando su tamaño empresarial, naturaleza jurídica, tipos de tratamientos y riesgos potenciales respecto de la información tratada. Para efectos del cumplimiento de este principio se tendrá presente lo dispuesto en la Guía de Responsabilidad Demostrada expedida por la SIC como autoridad de control.

ARTÍCULO 6. DERECHOS DE LOS TITULARES DE LOS DATOS.

Los titulares de los datos de carácter personal contenidos en bases de datos que reposen en los sistemas de información de HUBPHARMA, tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en la Constitución Política y la ley.

El ejercicio de estos derechos será gratuito e ilimitado por parte del titular del dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos.

El ejercicio del Habeas Data, expresado en los siguientes derechos constituye una potestad personalísima y corresponderán al titular del dato de manera primigenia, salvo las excepciones de ley.

6.1. Derecho de Acceso.

Este derecho comprende la facultad del titular del dato de obtener toda la información respecto de sus propios datos personales, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus datos personales y sobre las comunicaciones y/o cesiones efectuadas respecto de ellos, sean estas autorizadas o no.

6.2. Derecho de actualización.

Este derecho comprende la facultad del titular del dato de actualizar sus datos personales cuando estos hayan tenido alguna variación.

6.3. Derecho de rectificación.

Este derecho comprende la facultad del titular del dato de modificar los datos que resulten ser inexactos, incompletos o inexistentes.

6.4. Derecho de cancelación.

Este derecho comprende la facultad del titular del dato de cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes o el tratamiento sea contrario a la normatividad vigente, salvo en aquellos casos contemplados como excepciones por la ley, o bien que contractualmente hayan sido pactados en contrario de acuerdo con la finalidad respectiva y su vigencia, o bien se trate de datos cuya cancelación o supresión no es posible.

6.5. Derecho a la revocatoria del consentimiento.

El titular de los datos personales tiene el derecho de revocar el consentimiento o la autorización que habilita a HUBPHARMA para un tratamiento con determinada finalidad, salvo en aquellos casos

contemplados como excepciones por la ley o que contractualmente no permita hacerlo en el marco de la finalidad vigente. Concretamente la conservación de los datos personales de salud en la historia clínica deberá observar el término previsto en la ley y por ende no podrá aceptarse una revocatoria del consentimiento en relación con este tipo de información.

6.6. Derecho de oposición.

Este derecho comprende la facultad del titular del dato de oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular. El área responsable de HUBPHARMA en materia de Protección de Datos Personales, con base en los legítimos derechos que argumente el titular del dato personal, tomará la decisión pertinente.

6.7. Derecho a presentar quejas y reclamos o a ejercer acciones.

El titular del dato personal tiene derecho a presentar ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente, quejas y reclamos, así como las acciones que resultaren pertinentes, para la protección de sus datos. Previo a ello podrá haber agotado el ejercicio de su derecho frente a HUBPHARMA conforme lo dispone la ley 1581 de 2012.

No obstante, la Superintendencia de Industria y Comercio como autoridad competente en materia de Protección de Datos Personales, podrá iniciar investigaciones de oficio o con ocasión de quejas presentadas por el titular del dato personal.

6.8. Derecho a otorgar autorización para el tratamiento de datos.

En desarrollo del principio del consentimiento informado, el titular del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en HUBPHARMA.

De manera excepcional, esta autorización no será requerida en los siguientes casos:

6.8.1. Cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.

6.8.2. Cuando se trate de datos personales relacionados con el registro civil de las personas.

6.8.3. En casos de emergencia médica o sanitaria.

6.8.4. Cuando sea un tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. En lo posible HUBPHARMA adoptará como buena práctica la anonimización de los datos cuando deba entregarlos a terceros con estas finalidades.

6.8.5. Cuando se trate de información que pueda ser accedida en aplicación de la ley 1712 de 2014 sobre Transparencia y Acceso a la Información Pública; siempre que tal situación sea armónica con la Ley Estatutaria 1581 de 2012.

En estos casos, si bien no se requiere de la autorización del titular, sí tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales.

ARTÍCULO 7. DEBERES DE LOS TITULARES, RESPONSABLES Y ENCARGADOS.

7.1. Deberes del Titular del Dato Personal

Son deberes del titular del dato personal los siguientes:

  1. a) Suministrar información veraz y fidedigna para efectos de garantizar el cumplimiento del principio de calidad o veracidad de la información.
  1. b) Mantener actualizada la información personal que HUBPHARMA requiera para cumplir con las finalidades originadas en la ley, en una relación contractual, estatutaria o en desarrollo de su objeto social.
  2. c) Informar a HUBPHARMA cualquier inconformidad en relación con el tratamiento de su información personal, para que esta investigue una potencial irregularidad en el cumplimiento del régimen de protección de datos personales.
  1. d) Poner en conocimiento de HUBPHARMA cualquier sospecha de violación de una medida de seguridad que pueda comprometer sus datos personales.
  1. e) Las demás que establezca la ley, el contrato o la relación existente con HUBPHARMA.

7.2. Deberes de HUBPHARMA COMO RESPONSABLE.

Cuando HUBPHARMA asuma la calidad de responsable del tratamiento de datos personales bajo su custodia, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

  1. a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
  1. b) Solicitar y conservar, en las condiciones previstas en la presente Norma, copia o soporte de la respectiva autorización otorgada por el titular o evidenciar la conducta inequívoca o acción del titular que expresa esta.
  1. c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud del consentimiento otorgado o autorización legal que habilite el tratamiento.
  1. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  1. e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  1. f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
  1. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
  1. h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
  1. i) Exigir al encargado del tratamiento en todo momento cumplir con las condiciones de seguridad y confidencialidad de la información del titular.
  1. j) Tramitar las consultas y reclamos formulados en los términos señalados en esta Norma y en la ley.
  1. k) Adoptar las políticas, normas, procedimientos e instructivos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos. HUBPHARMA entiende que cumple con esta obligación a través de la adopción de la Política de Privacidad, esta Norma que la desarrolla y demás instrumentos normativos que la complementan.
  1. l) Informar al Encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
  1. m) Informar a solicitud del titular sobre el uso realizado en relación con sus datos.
  1. n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares, lo cual deberá realizarse dentro de los quince (15) días siguientes al conocimiento que tuvo la organización del mismo, que corresponde al termino fijado en la ley.
  1. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
  1. p) Suscribir los acuerdos de confidencialidad o contratos que regulen la relación contractual, estatutaria o legal originada en el régimen de protección de datos personales.

7.3. Deberes de los Encargados del tratamiento de datos personales.

Cuando HUBPHARMA o cualquiera de los destinatarios de esta Norma, asuma la calidad de Encargado del tratamiento de datos personales bajo su custodia, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

  1. a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
  1. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  1. c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.
  1. d) Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
  1. e) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en esta Norma y en la ley.
  1. f) Adoptar las políticas, normas, procedimientos e instructivos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos. HUBPHARMA cumple con esta

obligación a través de la adopción de la Política de Privacidad, esta Norma que la desarrolla y demás instrumentos normativos que la complementan.

  1. g) Registrar en la base de datos la leyenda "RECLAMO DE HABEAS DATA EN TRAMITE" en relación con la información personal que se discuta o cuestione por los titulares, acorde con la forma en que se regule en la ley.
  1. h) Insertar en la base de datos la leyenda "INFORMACION SOBRE HABEAS DATA EN DISCUSION JUDICIAL" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad u otro aspecto relacionado con el dato personal.
  1. i) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o por otra autoridad competente.
  1. j) Permitir el acceso a la información únicamente a las personas que tengan los permisos y autorización pertinente.
  1. k) Informar a esta organización y a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los “Códigos de Seguridad” y existan riesgos en la administración de la información de los titulares.

1) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

  1. m) Suscribir los acuerdos de confidencialidad o contratos que regulen la relación contractual, estatutaria o legal originada en el régimen de protección de datos personales.
  1. n) Cumplir con las exigencias legales en materia de protección de datos en relación con los contratos celebrados con HUBPHARMA o negocios jurídicos respectivos, según el caso.
  1. l) Suministrar a HUBPHARMA la Política de Privacidad y los cambios que adopte en relación con la misma, con el fin de cumplir con las obligaciones relacionadas con el Registro Nacional de Bases de Datos; así como informarle sobre el canal de Habeas Data dispuesto para atender a los titulares.

7.4. Deberes comunes de Responsables y Encargados del tratamiento.

Además de los deberes antes descritos en cabeza de HUBPHARMA y de cualquiera otra persona que asuma su condición de responsable o encargado del tratamiento, de manera complementaria asumirán los siguientes deberes cualquiera que sea su condición:

  1. a) Aplicar  las  medidas  de  seguridad  conforme  la  clasificación  de  los  datos  personales  que  trata

HUBPHARMA.

  1. b) Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos que contengan datos personales.
  1. c) Adoptar procedimientos de respaldo o back up de la base de datos que contienen datos personales.
  2. d) Auditar de forma periódica el cumplimiento de esta Norma por parte de los destinatarios de esta.
  3. e) Gestionar de manera segura las bases de datos que contengan datos personales.
  4. f) Aplicar esta norma sobre protección de datos personales en armonía con la “Política de Privacidad”.
  1. g) Mantener un inventario central de las bases de datos que contengan datos personales que comprenda el historial desde su creación, tratamiento de la información y cancelación de la base de datos; siguiendo para ello los criterios definidos por la SIC en el manual de registro de bases de datos personales.
  1. h) Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como responsable o encargado del tratamiento.
  1. i) Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales.
  1. j) Regular en los contratos con terceros el acceso a las bases que contengan datos de carácter personal.
  2. k) Las demás previstas en este régimen legal.

ARTÍCULO 8. PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION, CANCELACION Y OPOSICION.

En desarrollo del derecho constitucional de Hábeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del titular de datos personales, o legítimo interesado, esto es, sus causahabientes y representantes legales, HUBPHARMA adopta el siguiente procedimiento:

8.1. El titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el titular este representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento del contenido ante notario, habida cuenta de que se trata del ejercicio del Derecho Fundamental al Habeas Data. El apoderado deberá igualmente acreditar su identidad en los términos indicados.

8.2. La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a través de los canales dispuestos por HUBPHARMA para el ejercicio del Hábeas Data y descritos en la Política de Privacidad.

8.3. La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:

8.3.1. Nombre e identificación del titular del dato personal, y de sus representantes, de ser el caso.

8.3.2. Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición al tratamiento y/o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que HUBPHARMA proceda, como responsable de la base de datos, a dar respuesta.

8.3.3. Dirección física y/o electrónica para notificaciones.

8.3.4. Documentos que soportan la solicitud, si a ello hay lugar.

Si faltare alguno de los requisitos aquí indicados, HUBPHARMA así lo comunicará al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud, para que los mismos sean subsanados,

procediendo entonces a dar respuesta a la solicitud de Hábeas Data presentada. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud. HUBPHARMA podrá disponer de formatos físicos y/o digitales para el ejercicio de este derecho y en ellos indicará si se trata de una consulta o de un reclamo del interesado. Dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud, HUBPHARMA indicará que se trata de un reclamo en trámite. En la respectiva base de datos “…”se deberá consignar una casilla en la que se aparezcan las siguientes leyendas: “RECLAMO POR HABEAS DATA EN TRAMITE” y “RECLAMO POR HABEAS DATA RESUELTO”.

Cuando HUBPHARMA sea responsable de la base de datos personales contenidos en sus sistemas de información, dará respuesta a la solicitud en el término de diez (10) días si se trata de una consulta; y de quince días (15) días si se trata de un reclamo. En los mismos plazos anteriores se pronunciará HUBPHARMA cuando verifique que en sus sistemas de información no tiene datos personales del interesado que ejerce alguno de los derechos indicados.

En caso de consulta, si no fuere posible dar respuesta dentro del término de diez (10) días, se informarán al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento de los primeros diez (10) días. Este término opcional se podrá habilitar si se informa al titular dentro del plazo inicial.

En caso de reclamo, si no fuere posible dar respuesta dentro del término de (15) quince días, se informarán al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento de los primeros quince (15) días. Este término opcional se podrá habilitar si se informa al titular dentro del plazo inicial.

En los casos en que HUBPHARMA detente la condición de encargado del tratamiento informará tal situación al titular o interesado en el dato personal, y comunicará al responsable del dato personal la solicitud, con el fin de que este dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.

HUBPHARMA documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de la organización.

Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los titulares de datos o interesados, podrá agotarse previamente el trámite de consultas y/o reclamos aquí descrito.

ARTÍCULO 9. INVENTARIO DE BASES DE DATOS Y REGISTRO NACIONAL DE BASES DE DATOS

HUBPHARMA, como responsable del tratamiento de datos personales bajo su custodia, en desarrollo de su objeto social, así como respecto de aquellos en los cuales tenga la calidad de encargado del tratamiento, dispondrá de un inventario de las bases de datos que trate de forma física y/o en sistemas informáticos.

Para efectos de este inventario de bases de datos se seguirán los criterios definidos en el Manual de Registro de Bases de Datos expedido por la SIC como autoridad de protección de datos personales.

El inventario de bases de datos que trate en condición de Responsable constituye la base para cumplir con la obligación de declarar y registrar ante la SIC las bases de datos que trata en esta condición, cuando dicha obligación le sea exigible.

El Inventario de bases de datos personales permitirá:

9.1. Inscribir toda base de datos personales contenida en los sistemas de información y demás archivos de HUBPHARMA. A cada base se le asignará un número de registro.

9.2. La inscripción de las bases de datos personales indicará, entre otra información que requiera la autoridad de control, la siguiente: (i) Política de tratamiento de la Información y tipo de dato personal que contiene; (ii) La finalidad y uso previsto de la base de datos; (iii) Identificación del área de HUBPHARMA que hace el tratamiento de la base de datos; (iv) Sistema de tratamiento empleado (automatizado o manual) en la base de datos; (v) Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene; (vi) Ubicación de la base de datos en los sistemas de información de HUBPHARMA; (vii) El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos; (viii) La condición de HUBPHARMA como RESPONSABLE o ENCARGADO del tratamiento de las bases de datos; (ix) Autorización de comunicación o cesión de la base de datos, si existe; (x) Procedencia de los datos y procedimiento en la obtención del consentimiento; (xi) Empleado y/o área de HUBPHARMA custodio de la base de datos;

  1. (xii) Indicación de los canales existentes para que los titulares ejerzan sus derechos; (xiii) Los demás requisitos que sean aplicables conforme a lo que establezca el Gobierno Nacional, así como los que

permitan al oficial de privacidad gestionar los controles pertinentes e intervenir las bases de datos que se conforman Al interior de la entidad en el ejercicio de su actividad social.

9.3. De manera periódica se registrarán, para efectos de cumplimiento y auditoria, los cambios surtidos en las base de datos personales en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia por el custodio de la misma.

9.4. La ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiadas por HUBPHARMA, serán documentados en este inventario de bases de datos, cuando tales constituyan violaciones a los códigos de seguridad.

9.5. El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de la misma.

9.6. La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por HUBPHARMA para hacer efectiva la cancelación.

9.7. Para efectos de cumplir con las obligaciones legales en materia de inscripción de las bases de datos, estas deberán ser inscritas dentro del plazo que se establezca por la autoridad de control. Las bases de datos que se creen con posterioridad a este plazo deberán ser registradas dentro de los dos (2) meses siguientes a su creación. Así mismo, toda modificación sustancial en cualquier de la bases de datos registradas ante la SIC deberá ser objeto de actualización dentro de los 10 días siguientes a la presentación de cambio.

Parágrafo. Debe tenerse presente que la obligación de declarar y registrar bases de datos ante la SIC a la fecha de expedición de esta norma aplica para las sociedades y entidades sin animo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).

ARTICULO 10. TRATAMIENTO DE DATOS PERSONALES.

Las operaciones que constituyen tratamiento de datos personales por parte de HUBPHARMA, en calidad de responsable o encargado de los mismos, se regirán por los siguientes parámetros.

10.1. Datos personales relacionados con la gestión del recurso humano.

HUBPHARMA tratará los datos personales de sus colaboradores, contratistas, así como respecto de aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después de la relación laboral y/o de servicios.

10.1.1. Tratamiento antes de la relación laboral.

HUBPHARMA informará, de manera anticipada, a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los datos personales que suministre el interesado, así como respecto de aquellos que se obtengan durante el proceso de selección; y obtendrá la autorización requerida para entregar dicha información a terceros (personal de seguridad, sicólogos) en los casos en que ello se requiera.

Una vez agote el proceso de selección, HUBPHARMA informará el resultado negativo y podrá eliminar los datos e información personal de las personas no seleccionadas de lo cual habrá informado previamente al titular. La información obtenida por HUBPHARMA respecto de quienes no fueron seleccionados, concretamente los resultados de las pruebas sicotécnicas y entrevistas serán eliminados de sus sistemas de información, dando así cumplimiento al principio de finalidad.

Cuando HUBPHARMA contrate procesos de selección de personal con terceros regulará en los contratos el tratamiento que se deberá dar a los datos personales entregados por los interesados, así como la destinación de la información personal obtenida del respectivo proceso en cumplimiento de esta Norma.

Los datos personales e información obtenida del proceso de selección respecto del personal seleccionado para laborar en HUBPHARMA serán almacenados en archivos determinados para el efecto, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos personales de carácter sensible.

La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de HUBPHARMA y la información personal obtenida del proceso de selección, se limita a la participación en el mismo y/o promoción interna; por tanto, su uso para fines diferentes no esta permitido.

10.1.2. Tratamiento de datos durante la relación laboral.

HUBPHARMA almacenará los datos e información personal obtenida del proceso de selección de los colaboradores en una carpeta identificada con el nombre de cada uno de estos. El tratamiento y acceso a esta información, en formato físico o digital, será procedente acorde con los procedimientos establecidos por el Área de Gestión Humana.

El tratamiento de la información de los colaboradores se realiza en el marco del contrato de trabajo celebrado con ellos, así como el tratamiento de los datos de sus familiares para la concesión de beneficios legales o extralegales. El tratamiento de estos datos para fines diferentes a la administración de la relación

contractual laboral no esta permitido en esta organización, salvo las autorizaciones del caso. El uso diferente de los datos e información personal de los colaboradores solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad, y para las finalidades que ellos expresamente autoricen, tales como recepción de beneficios comerciales de aliados de la empresa. Corresponderá al área Jurídica de HUBPHARMA evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión no autorizada de datos personales.

10.1.3. Tratamiento de datos después de terminada la relación contractual.

Terminada la relación laboral, cualquiera que fuere la causa, HUBPHARMA procederá a almacenar los datos personales obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral en un archivo central, gestionado por sí misma o por terceros, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles.

10.2. Tratamiento de datos personales de proveedores de bienes y servicios en general.

HUBPHARMA solo recabará de sus proveedores y de los empleados o colaboradores de éstos, los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar. Cuando se le exija a HUBPHARMA por su naturaleza jurídica, la divulgación de datos del proveedor -persona física- consecuencia de un proceso de selección, esta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta Norma y que prevengan a terceros sobre la finalidad de la información que se divulga.

HUBPHARMA recolectará de algunos de sus proveedores los datos personales de los empleados de este, que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor.

Los datos personales de empleados de los proveedores recolectados por HUBPHARMA tendrán como única finalidad verificar la idoneidad y competencia de tales empleados; así como gestionar la prestación del servicio por los contratistas; por tanto, una vez verificadas estas finalidades, HUBPHARMA podrá devolver tal información al proveedor, salvo cuando fuere necesario preservar estos datos.

Cuando HUBPHARMA entregue datos de sus empleados a sus proveedores, estos deberán proteger los datos personales suministrados y tratarlos solo para fines de la ejecución del objeto contractual, conforme lo dispuesto en esta Norma. Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que legitima la entrega de los datos personales. HUBPHARMA verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la solicitud de acceso a los mismos.

10.3. Tratamiento de datos personales en procesos de contratación.

Los terceros que en procesos de contratación, alianzas y acuerdos de cooperación con HUBPHARMA accedan, usen, traten y/o almacenen datos personales de colaboradores de HUBPHARMA y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta Norma, así como las medidas de seguridad que podrá indicarle HUBPHARMA según el tipo de dato de carácter personal tratado o en su defecto las instrucciones que en materia de seguridad imparta la Superintendencia de Industria y Comercio.

Para tal efecto se incluirá la previsión de verificación respectiva en el contrato o documento que legitima la entrega de los datos personales. HUBPHARMA verificará y controlará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento.

10.4. Tratamiento de datos personales de Usuarios y Pacientes.

Conforme lo dispuesto en los estatutos y facultades de ley, HUBPHARMA en desarrollo de su objeto social aplicará en el tratamiento de datos personales de los usuarios y pacientes de sus clientes lo dispuesto en esta Norma. En este sentido, HUBPHARMA usará los datos personales recabados para la ejecución de su actividad principal de prestación de servicios informáticos y tecnológicos en el área de salud en el marco de las finalidades exclusivamente vinculadas a esta, sean de origen legal, estatutario o contractual. El tratamiento de esta información para fines diferentes a los vinculados con la prestación de servicios de HUBPHARMA deberá ser definido por esta organización, así como previamente informado y autorizado por el titular del dato en aquellos casos que se requiera el mismo.

Los datos personales de los pacientes y usuarios de los clientes de HUBPHARMA, especialmente aquellos que tengan el carácter de sensible por tratarse de datos de salud, serán tratados con los niveles de seguridad adecuados a este tipo de datos y en todo caso HUBPHARMA verificará que sus clientes incluyan los avisos de privacidad correspondientes para que los titulares se informen sobre el tratamiento y la finalidad que se despliega por parte de HUBPHARMA, especialmente relacionada con la obtención de datos para detectar enfermedades huérfanas o de difícil diagnostico.

10.5. Tratamiento de datos personales de la comunidad en general.

La recolección de datos de personas físicas que HUBPHARMA trate en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia del desarrollo de su operación, de responsabilidad social o de cualquiera otra actividad como puede serlo la videovigilancia, se sujetará a lo dispuesto en esta Norma. Para el efecto, previamente HUBPHARMA informará y obtendrá a través del respectivo aviso

de privacidad la autorización de los titulares de los datos en los documentos e instrumentos que utilice y que estén relacionados con estas actividades.

En cada uno de los casos antes descritos, las áreas de la organización que presten los servicios vinculados al negocio en los que se involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva las disposiciones aquí adoptadas, además de prevenir posibles sanciones legales.

ARTÍCULO 11. PROHIBICIONES.

En desarrollo de esta norma de protección de la información personal adoptada por HUBPHARMA, se establecen las siguientes prohibiciones y sanciones como consecuencia de su incumplimiento.

11.1. HUBPHARMA prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible sin autorización legal o del titular del dato personal y/o de HUBPHARMA, conforme su capacidad para decidir en esta materia.

Incurrir en esta prohibición por parte de los colaboradores de HUBPHARMA acarreará las sanciones a que haya lugar de conformidad con la ley laboral y el contrato de trabajo, sin perjuicio de los deberes de ley que surjan.

El incurrir en esta prohibición por parte de los proveedores que contraten con HUBPHARMA dará lugar a las consecuencias previstas para tales efectos, sin perjuicio de las acciones legales y contractuales a que haya lugar.

En los contratos con los proveedores que traten datos personales, en los que el objeto contratado tenga relación con datos personales, se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a HUBPHARMA como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente o negligente del proveedor.

11.2. HUBPHARMA prohíbe la cesión, comunicación o circulación de datos personales, sin el consentimiento previo, escrito y expreso del titular del dato, sin autorización de HUBPHARMA o de norma legal expresa.

La cesión o comunicación de datos personales deberá ser inscrita en el registro central de datos personales de HUBPHARMA y contar con la autorización del custodio de la base de datos.

11.3. HUBPHARMA prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible de cualquier persona que llegaren a ser identificados en un procedimiento de auditoría en aplicación de las normas o directrices sobre el buen uso de los recursos informáticos de la organización y/o políticas o norma expedidas por HUBPHARMA para estos fines.

Los datos sensibles que llegaren a identificarse en el proceso de auditoría serán informados al usuario del recurso informático, con el fin de que este proceda a eliminarlos; de no ser posible esta opción, HUBPHARMA procederá a eliminarlos de manera segura.

11.4. HUBPHARMA prohíbe a los destinatarios de esta Norma cualquier tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009. Salvo que se cuente con la autorización del titular del dato, autorización de HUBPHARMA o de la ley, según el caso.

11.5. HUBPHARMA solamente procederá el tratamiento de datos personales de niños y adolescentes menores de edad con el consentimiento expreso, previo e informado de sus representantes y/o de las personas que ostenten la representación del menor, para las finalidades requeridas en relación con el ejercicio de su actividad empresarial y en todo caso se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia., así como el derecho a la salud.

ARTICULO 12. TRANSFERENCIA INTERNACIONAL DE DATOS.

Está prohibida la transferencia de datos personales a cualquier persona cuyo destino sea un país no seguro para la protección de datos personales. Se entienden países seguros aquellos que hayan adoptado en su legislación interna directrices de Protección de Datos Personales equivalentes a las normas colombianas y/o cumplan con los estándares fijados por la Superintendencia de Industria y Comercio.

De manera excepcional se podrán efectuar transferencias internacionales de datos por HUBPHARMA a un país considerado “no seguro” cuando:

12.1. El titular del dato haya otorgado su autorización previa, expresa e inequívoca para efectuar la transferencia.

12.2. La transferencia sea necesaria para la ejecución de un contrato entre el titular y HUBPHARMA como responsable y/o encargado del tratamiento.

12.3. Se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.

12.4. Se trate de transferencia de datos en el marco de tratados internacionales que hagan parte del ordenamiento jurídico colombiano.

12.5. Transferencias legalmente exigidas para salvaguardar un interés público.

Al momento de presentarse una transferencia internacional de datos personales, previo envío o recepción de los mismos, HUBPHARMA suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes, salvo en las excepciones previstas en la ley colombiana.

Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta Norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales.

Corresponderá al área jurídica de HUBPHARMA dar concepto favorable sobre los acuerdos o contratos que conlleven una transferencia internacional de datos personales, atendiendo como directrices los principios aplicables y recogidos en esta Norma. Así mismo le corresponderá hacer las consultas

pertinentes ante la Superintendencia de Industria y Comercio para asegurar la circunstancia de “país seguro” en relación con el territorio de destino y/o procedencia de los datos.

ARTICULO 13. TRANSMISION INTERNACIONAL DE DATOS PERSONALES

En las relaciones contractuales que celebre HUBPHARMA con proveedores que traten datos personales ubicados en terceros países que no tenga un nivel adecuado de protección, en las cuales estos en condición de Encargados realicen cualquier tipo de tratamiento de información personal, no requieren ser informados los titulares ni obtener el consentimiento previo de estos. Lo anterior, siempre que se exista un contrato en el cual se regule: (i) Alcance del tratamiento; (ii) Actividades que el tercero encargado realizará por cuenta de HUBPHARMA; (iii) Las obligaciones del tercero proveedor como encargado hacia los titulares y HUBPHARMA como responsable, atendiendo lo dispuesto en la ley colombiana; (iv) La obligación de tratar los datos personales solo para las finalidades contratadas; (v) La prohibición de tratar los datos personales para usos no autorizados; (vi) Tratar los datos personales en cumplimiento de la legislación colombiana vigente; (vii) Cumplir los principios aplicables al tratamiento de datos personales vigente en Colombia; (viii) Adoptar medidas de seguridad conforme la criticidad de la información personal tratada en virtud del contrato celebrado; (ix) Tratar los datos personales dando cumplimiento al principio de confidencialidad; (x) Notificar dentro del termino de ley vigente en Colombia todo incidente de seguridad que comprometa los datos personales tratados; (xi) La obligación de dar cumplimiento a la política y normatividad interna adoptada por HUBPHARMA en materia de protección de datos personales. (xii) Establecer los canales para el ejercicio del habeas data a los titulares de datos personales, así como a los requerimientos de información que tenga HUBPHARMA; (xiii) Las demás obligaciones

exigibles a los encargados en virtud de lo dispuesto en el régimen colombiano de protección de datos personales.

Estas directrices se consignarán en el respectivo contrato de transmisión de datos, bien de carácter nacional o internacional.

ARTICULO 14. ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCION DE DATOS PERSONALES.

La responsabilidad en el adecuado tratamiento de datos personales al interior de HUBPHARMA está en cabeza de todos los colaboradores.

En consecuencia, al interior de cada área de HUBPHARMA que gestione los servicios vinculados al negocio que involucren tratamiento de datos personales, deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la presente Norma, dada su condición de custodios de la información personal que está contenida en los sistemas de información de HUBPHARMA.

En caso de duda respecto del tratamiento legal de los datos personales, se acudirá al área jurídica de HUBPHARMA para que se indique los pasos a seguir, según el caso.

ARTÍCULO 14. MEDIDAS DE SEGURIDAD.

En el tratamiento de los datos personales objeto de regulación en esta Norma, HUBPHARMA adoptará medidas de seguridad físicas, tecnológicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los datos personales tratados.

En desarrollo del principio de seguridad de los datos personales, HUBPHARMA adoptará las medidas de seguridad de orden administrativo, físico y tecnológico que estime necesarias teniendo como parámetro de referencia mínimo las preguntas de seguridad de la información contenidas en el Manual de Registro de Bases de Datos expedido por SIC. Así mismo, el estándar ISO 27001/27002 y demás de esta familia constituyen un referente de industria en esta materia; lo anterior sin perjuicio de las normas legales expedidas por las autoridades que regulen la actividad de HUBPHARMA.

ARTICULO 15. PROCEDIMIENTOS Y SANCIONES.

HUBPHARMA comunica a los destinatarios de esta Norma el régimen de sanciones previsto por la Ley 1581 de 2012 en su Artículo 23 son susceptibles de ser aplicadas tanto a nivel institucional como personal, las cuales pueden ser impuesta por un indebido tratamiento de datos personales:

“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los

Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

“a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

“b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

“c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

“d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.”

La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el tratamiento de datos personales, deberá ser comunicada de manera inmediata al área jurídica de HUBPHARMA, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación colombiana, en particular las consignadas en el Título VI, Capítulo 3 de la Ley 1581 de 2012 antes descritas.

Consecuencia de los riesgos que asume HUBPHARMA bien en calidad de responsable y/o encargado del tratamiento de los datos personales, el incumplimiento de esta Norma por parte de sus destinatarios dará lugar a las sanciones y/o medidas contempladas en las normas aplicables.

ARTÍCULO 16. ENTREGA DE DATOS PERSONALES A AUTORIDADES.

Cuando las autoridades del Estado soliciten a HUBPHARMA el acceso y/o entrega de datos de carácter personal contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (integridad, disponibilidad y confidencialidad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual

estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riegos que con lleva su indebido uso e inadecuado tratamiento.

ARTÍCULO 18. CONSECUENCIAS DEL INCUMPLIMIENTO DE LA NORMA.

El incumplimiento de esta norma, que hace parte del desarrollo de la Política de Privacidad adoptada por HUBPHARMA, es considerado una falta grave por los riesgos que conlleva para la organización, y en consecuencia podrá dar lugar a la terminación unilateral con justa causa del contrato respectivo.

ARTICULO 19.

Esta norma será objeto de revisión de forma anual con el fin de revisar los cambios que llegaren a ser necesarios en virtud de aspectos regulatorios y/o necesidades de la organización. Esta actividad será liderada por el área responsable de la protección de datos personales.

ARTICULO 20. VIGENCIA.

Esta Norma ha sido aprobada mediante decisión adoptada por …., el día 06 de 08 de dos mil ……..

(2021) y hace parte del manual de políticas y normas adoptado por HUBPHARMA como marco regulatorio en materia de Protección de Datos personales.