Vigente a partir del 15 de julio de 2025
El presente manual interno de políticas y procedimientos para el manejo de los datos personales es adoptado por CAVALTEC S.A.S (en adelante, "CAVALTEC") en cumplimiento de las disposiciones legales que rigen el Tratamiento de datos personales, especialmente en la Ley 1581 de 2012, regulada por el Decreto 1377 de 2013. CAVALTEC es una empresa debidamente constituida bajo las leyes de la República de Colombia, con correo electrónico datospersonales@cavaltec.com y teléfono 313 6998787.
CAVALTEC está comprometida con el respecto y garantía de los derechos de sus empleados, proveedores y personas pertenecientes a comunidades intervenidas (los "Titulares") en relación con el Tratamiento de sus Datos Personales. Por consiguiente, CAVALTEC adopta este manual interno de políticas y procedimientos para el Tratamiento de los Datos Personales (en adelante, el "Manual"), que es obligatorio para todas las actividades dentro de CAVALTEC que involucren, total o parcialmente, el Tratamiento de los Datos Personales cuando CAVALTEC sea Responsable del Tratamiento o Encargado del Tratamiento.
El Manual ha sido redactado teniendo en cuenta las disposiciones contenidas en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012 que contempla las disposiciones generales para la protección de los Datos Personales y el Decreto 1377 de 2013 que regula varios aspectos de la Ley anteriormente mencionada.
Las políticas y procedimientos incluidos en el Manual aplican a los Datos Personales contenidos en las bases de datos gestionadas por CAVALTEC y que son tratados de acuerdo con la Ley 1581 de 2012 y otras normas complementarias.
De acuerdo con el literal k) del artículo 17 y el literal f) del artículo 18 de la Ley 1581 de 2012, el responsable y el Encargado del Tratamiento de Datos Personales tienen la obligación de adoptar un manual interno de políticas y procedimientos para garantizar el apropiado cumplimiento de la ley y en particular, para la atención de Consultas y quejas de los Titulares. CAVALTEC es consciente de esta obligación y en consecuencia adopta el este Manual.
El Manual tiene como fin regular los procedimientos relacionados con el Tratamiento de Datos Personales realizado por CAVALTEC, con el fin de garantizar y proteger el derecho fundamental de habeas data dentro del marco establecido por las leyes aplicables.
a. Autorización: es el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
b. Aviso de Privacidad: es la comunicación oral o escrita emitida por el responsable del Tratamiento, dirigida al Titular para el Tratamiento de sus datos, mediante la cual el Titular es informado sobre la existencia de la Política de Privacidad que aplica, cómo acceder a ella y los propósitos del Tratamiento que se le pretende dar a los datos personales.
c. Base de Datos: es el conjunto organizado de datos personales que es objeto de Tratamiento por parte de CAVALTEC.
d. Consulta: es la solicitud de información hecha por el Titular al responsable o el Encargado del Tratamiento con respecto a los datos del Titular contenida en Bases de Datos, incluyendo información relacionada con el propósito para el cual se usan sus datos personales.
e. Datos Personal: es cualquier información vinculada o asociada a un individuo identificado o identificable.
f. Encargado del Tratamiento: es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, usa los Datos Personales de los Titulares por cuenta del responsable del Tratamiento.
g. Incidente de Seguridad: se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de datos personales de una Base de Datos administrada por CAVALTEC.
h. Información Pública: información que no es semiprivada, privada o sensibles. Incluyen, entre otros, el estado civil de las personas, su profesión u oficio y su condición de comerciante o funcionario público. Los Datos Públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente suscritas que no estén sujetas a reserva.
i. Datos Sensibles: son aquellos datos que afectan la intimidad del Titular o cuyo Tratamiento indebido puede generar su discriminación, tales como el origen racial o étnico, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, convicciones políticas, religiosas, de la vida sexual, biométricos o datos de la salud. Dar esta información es optativo para el Titular.
j. Política de Privacidad: es la Política que CAVALTEC ha adoptado en cumplimiento de las leyes aplicables al Tratamiento de los Datos Personales de los Titulares.
k. Reclamación: es la solicitud hecha por el Titular al responsable o el Encargado del Tratamiento de sus Datos Personales pidiendo que (i) sus Datos Personales sea modificada, actualizada o eliminada y/o (ii) el Tratamiento de sus Datos Personales cumpla con la Política de Privacidad y las leyes aplicables.
l. Responsable del Tratamiento: es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o los Datos Personales.
m. Titular: es la persona natural cuyos Datos Personales son recolectados, usados, almacenados, circulados o suprimidos.
n. Transmisión: Tratamiento de los Datos Personales que implica la comunicación de los Datos Personales dentro o fuera del territorio de la República de Colombia cuando tenga por objeto el Tratamiento por un Encargado del Tratamiento.
o. Transferencia: tiene lugar cuando el responsable y/o Encargado del Tratamiento, ubicado en Colombia, envía los Datos Personales a un receptor dentro o fuera del país, que a su vez es Responsable del Tratamiento.
p. Tratamiento: es cualquier operación o conjunto de operaciones sobre los Datos Personales, tales como la recolección, almacenamiento, Tratamiento, circulación o supresión de la misma.
a. Principio de legalidad en materia de Tratamiento de Datos Personales: el Tratamiento de los Datos Personales es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.
b. Principio de finalidad: el Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
c. Principio de libertad: el Tratamiento sólo puede ejercerse con Autorización del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin dicha autorización, o en ausencia de mandato legal o judicial que la releve.
d. Principio de veracidad o calidad: los Datos Personales sujetos a Tratamiento deben ser veraz, completos, exactos, actualizados, comprobables y comprensibles. No se podrá hacer Tratamiento de Datos Personales parciales, incompletos, fraccionados o que induzca a error.
e. Principio de transparencia: en el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de los Datos Personales que le conciernan.
f. Principio de acceso y circulación restringida: el Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, y de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley.
i. Los Datos Personales, salvo la Información Pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.
g. Principio de seguridad: la información sujeta a Tratamiento por el responsable o Encargado del Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, Tratamiento o acceso no autorizado o fraudulento.
h. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de los Datos Personales que no tengan la naturaleza de Información Pública, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de los Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.
El Tratamiento de los Datos Personales por parte de CAVALTEC requiere la Autorización del Titular.
CAVALTEC, en su calidad de responsable y/o Encargado del Tratamiento de los Datos Personales, ha proporcionado los mecanismos necesarios para obtener la Autorización de los Titulares, garantizando que sea posible verificar el otorgamiento de dicha Autorización.
La Autorización consiste en un documento físico o electrónico, que permite su posterior consulta, y por el cual se puede concluir de forma inequívoca que sin las acciones voluntarias del Titular los Datos Personales nunca pudo haber sido recopilada y almacenada en la Base de Datos.
El formato de Autorización será expedido por CAVALTEC y se pondrá a disposición del Titular antes del Tratamiento de sus Datos Personales, de acuerdo con la Ley 1581 de 2012.
Mediante el procedimiento para obtener la Autorización, el Titular es informado respecto de: (i) que sus Datos Personales serán tratados para ciertos propósitos conocidos, y que (ii) tiene el derecho a conocer cualquier alteración a dichos propósitos y el Tratamiento específico que ha sido dado a sus Datos Personales.
La Autorización es un medio que le permite al Titular tomar decisiones informadas relacionadas con sus Datos Personales y controlarlos. En esta medida, el formato para obtener la Autorización es una declaración que informa al Titular sobre:
a. Quién realizará el Tratamiento de sus Datos Personales (responsable o Encargado del Tratamiento);
b. Qué Datos Personales van a ser sujetos a Tratamiento (datos recopilados);
c. Propósitos de la recopilación y Tratamiento de los Datos Personales (los propósitos del Tratamiento);
d. Cómo ejercer su derecho a acceder, corregir, actualizar o eliminar los Datos Personales;
e. Si se recopilan y tratan Datos Sensibles.
CAVALTEC ha adoptado la Política de Privacidad y un formato de Autorización para informar al Titular sobre cómo se realiza el Tratamiento de sus Datos Personales.
En caso de que CAVALTEC llegue a realizar el Tratamiento de Datos Personales de niños, niñas y adolescentes, este se realizará teniendo en cuenta los siguientes parámetros:
f. Que responda y respete el interés superior de los niños, niñas y adolescentes;
g. Que se asegure el respeto de sus derechos fundamentales;
h. Que se respeten los derechos y principios establecidos en la Ley 1581 de 2012 y en el Decreto 1377 de 2013.
Al cumplir con los anteriores requisitos, el representante legal del niño, niña o adolescente deberá otorgar la Autorización previo ejercicio del menor de su derecho a ser escuchado teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
En el evento de Tratar Datos Personales de niños, niñas y adolescentes, CAVALTEC implementará las medidas adecuadas para garantizar una protección reforzada de los Datos Personales mediante mecanismos de control de acceso a la misma. En todo momento se asegurará de informar al Titular, o a su representante legal, que no tienen la obligación de suministrar dichos Datos Personales.
CAVALTEC adoptará las medidas necesarias para mantener los registros o mecanismos técnicos o tecnológicos apropiados para demostrar cuándo y cómo se ha obtenido la Autorización del Titular para el Tratamiento de sus Datos Personales.
De acuerdo con las disposiciones del artículo 8 de la Ley 1581 de 2012, el Titular tiene los siguientes derechos:
i. Conocer, actualizar y rectificar sus Datos Personales. Este derecho puede ser ejercido, entre otros, en relación con la información parcial, inexacta, incompleta, dividida, que induzca a error, o aquellos cuyo Tratamiento sea prohibido o no haya sido autorizado.
j. Solicitar prueba de la Autorización que nos ha sido otorgado para el Tratamiento de sus Datos Personales.
k. Ser informado por CAVALTEC, previa solicitud, respecto del Tratamiento que le ha dado a sus Datos Personales.
l. Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones de las disposiciones de la Ley 1581 del 2012 y otras normas que la modifiquen, adicionen o complementen.
m. Revocar la Autorización otorgada a CAVALTEC para el Tratamiento de sus Datos Personales y/o solicitar la supresión del Dato Personal cuando, en el Tratamiento, CAVALTEC, o el Encargado del Tratamiento, no respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinar que en el Tratamiento CAVALTEC o el Encargado del Tratamiento han incurrido en conductas contrarias a la Ley 1581 de 2012 o la Constitución.
n. Acceder de forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento.
CAVALTEC usará los Datos Personales únicamente para los propósitos para los cuales está debidamente autorizada por los Titulares y en todos los casos respetando la Ley 1581 de 2012 y el Decreto 1377 de 2013. CAVALTEC se compromete a cumplir con las siguientes obligaciones en cuanto al Tratamiento de los Datos Personales:
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b. Solicitar y conservar, en las condiciones previstas por la ley, copia de la respectiva Autorización otorgada por el Titular;
c. Informar debidamente al Titular sobre la finalidad del Tratamiento y los derechos que le asisten por virtud de la Autorización otorgada;
d. Conservar los Datos Personales bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, Tratamiento o acceso no autorizado o fraudulento;
e. Garantizar que los Datos Personales que suministre al Encargados del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f. Actualizar los Datos Personales, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los Datos Personales que previamente le haya Transmitido y adoptar las demás medidas necesarias para que los Datos Personales suministrada a éste se mantenga actualizada;
g. Rectificar los Datos Personales cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
h. Suministrar al Encargado del Tratamiento, según el caso, únicamente los Datos Personales cuyo Tratamiento esté Autorizado de conformidad con lo previsto en la ley;
i. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
j. Tramitar las Consultas y Reclamos formulados en los términos señalados en la ley;
k. Informar al Encargado del Tratamiento cuando determinado Dato Personal se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
l. Informar a solicitud del Titular sobre el Tratamiento dado a sus Datos Personales;
m. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; y
n. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
El manejo de los consultas o reclamos presentadas por los Titulares seguirá el procedimiento establecido en el artículo 14 y 15, respectivamente, de la Ley 1581 de 2012.
En particular, cuando el Titular quiera consultar sus Datos Personales que reposen un cualquier base de datos de CAVALTEC, CAVALTEC o el Encargado del Tratamiento deberán suministrar toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.
La consulta se formulará al Oficial de Protección de Datos al correo electrónico datospersonales@cavaltec.com y será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
En caso de que se presente un reclamo al considerarse que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando el Titular advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, el Titular podrá presentar un reclamo ante el CAVALTEC o el encargado del tratamiento el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida a CAVALTEC o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
El Equipo Asesor tiene una función de apoyo en la adopción del Manual. Con ese objetivo, se designa a un Oficial de Protección de Datos Personales, quien está encargado de monitorear la correcta aplicación de las disposiciones, políticas y procedimientos del Manual e informar de manera periódica a las demás áreas de CAVALTEC sobre su cumplimiento y ejecución.
El Oficial de Protección de Datos Personales será el Director de Seguridad de Información y Ciberseguridad y recibirá comunicaciones en la dirección electrónica datospersonales@cavaltec.com
El Oficial de Protección de Protección de Datos Personales será responsable de abordar todas las solicitudes, consultas y reclamos de cualquier Titular, incluyendo conocer, actualizar, rectificar y eliminar sus Datos Personales y/o revocatorias de Autorizaciones otorgadas para el Tratamiento de los Datos Personales.
Para presentar Consultas y Reclamaciones, y para ejercer sus derechos, el Titular debe seguir las instrucciones definidas en numeral 9 del Manual.
Será función del Oficial de Protección de Datos Personales:
1. Ser el canal de contacto entre las personas encargadas de administrar la seguridad de los Datos Personales y el Equipo Asesor.
2. Servir como enlace con las demás áreas de CAVALTEC para asegurar una implementación transversal del Manual. Con ese propósito, no solo atenderá las consultas que puedan hacer los Titulares, sino que también deberá recibir las consultas realizadas por las distintas áreas de CAVALTEC en la gestión y manejo de los Datos Personales.
3. Buscará impulsar una cultura de protección de Datos Personales dentro de CAVALTEC.
4. Coordinar un entrenamiento general en protección de datos personales para todos los empleados de CAVALTEC, incluyendo los empleados entrantes;
5. Medir la participación y calificar el desempeño en los entrenamientos de protección de Datos Personales, dejando constancia de las actividades y de su calificación.
6. Requerir que dentro del análisis de desempeño de los empleados se encuentre haber completado satisfactoriamente el entrenamiento de protección de Datos Personales;
7. Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de sus políticas de Tratamiento de Datos Personales;
8. Acompañar y asistir a CAVALTEC en atención de las visitas y requerimientos que realice la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos Personales.
Todas las áreas de CAVALTEC tienen las obligaciones de consultar previamente con el Oficial de Protección de Datos Personales con respecto a cualquier actividad que involucre el Tratamiento de Datos Personales para asegurar el cumplimiento con las leyes de protección de datos en Colombia.
Cuando CAVALTEC sea el responsable o Encargado del Tratamiento de Datos Personales, las diferentes áreas de CAVALTEC tendrán la obligación de informar al Oficial de Protección de Datos Personales sobre cualquier situación que lleve al riesgo de la seguridad de los Datos Personales. El Oficial de Protección de Datos Personales debe implementar sistemas para medir, controlar y monitorear los riesgos que se identifiquen.
El Oficial de Protección de Datos Personales debe organizar todas las actividades necesarias para asegurar que CAVALTEC cumpla con la obligación de reportar cualquier Incidente de Seguridad con respecto a los Datos Personales a la Superintendencia de Industria y Comercio.
Este informe se debe hacer dentro de los quince (15) días hábiles posteriores al momento en el que se detecta el incidente y se le hace conocer al responsable de Protección de Datos Personales.
Aunque la Ley 1581 de 2012 y el Decreto 1377 de 2013 no establecieron la obligación de reportar incidentes de seguridad al Titular afectado por el Incidente de Seguridad, se recomienda informar al Titular de acuerdo con la Guía para la Implementación del Principio de Responsabilidad Demostrada de la Superintendencia de Industria y Comercio.
Para el reporte de incidentes de seguridad, se tendrán en cuenta los siguientes pasos:
a. Una vez se CAVALTEC tenga conocimiento de la ocurrencia de un posible Incidente de Seguridad, el área encargada de velar por la seguridad de la información evaluará si el hecho que observan es susceptible de ser enmarcado dentro de la definición de Incidente de Seguridad de este Manual.
b. En caso de que se clasifique como un Incidente de Seguridad, desplegarán todas las medidas necesarias para contenerlo y evitar su propagación.
c. El área encargada comunicará de forma inmediata al Oficial de Protección de Datos Personales del Incidente de Seguridad.
d. Posteriormente se hará una evaluación preliminar de los Datos Personales comprometida, desde un análisis del impacto, para identificar el nivel de severidad del Incidente de Seguridad. Esto incluye la utilización de la matriz metodológica de evaluación de riesgos de seguridad, para determinar el nivel de riesgo efectivo de los Titulares. La evaluación deberá incluir las siguientes métricas:
ii. _bajo riesgo: es improbable que el Incidente de Seguridad tenga un impacto en las personas, y de generarlo, este sería mínimo;
iii. _riesgo medio: el Incidente de Seguridad puede tener un impacto en las personas, pero es poco probable que el impacto sea sustancial;
iv. _riesgo alto: el Incidente de Seguridad puede tener un impacto considerable en las personas afectadas;
v. _riesgo grave: el Incidente de Seguridad puede tener un impacto crítico, extenso o peligroso en las personas afectadas.
e. El área encargada del monitoreo de la seguridad de las Bases de Datos identificará puntualmente las bases de datos afectadas por el incidente de seguridad. En esta identificación, debe responderse por lo menos a las siguientes preguntas:
i. ¿Qué cantidad de personas fueron afectadas?
ii. ¿Qué categoría de personas fueron afectadas?
iii. ¿Existen características especiales en las personas afectadas? (Por ejemplo: niños, niñas y/o adolescentes) En caso de ser afirmativo, ¿Cuáles son estas características?
iv. ¿Cuál fue el volumen de los datos afectados?
v. ¿Cuál fue el periodo durante el cual los datos fueron afectados o estuvieron comprometidos?
vi. ¿Qué tipo de Datos Personales fueron afectados? (por ejemplo, identificación personal, datos biométricos)
vii. ¿Qué tan sensible es la información comprometida?
viii. ¿Cuál es el contexto de los Datos Personales comprometidos?
ix. ¿Estaba los Datos Personales adecuadamente cifrados, anonimizados? ¿Eran inaccesibles?
x. ¿Cómo se puede utilizar los Datos Personales afectados?
xi. ¿Existe un riesgo de una mayor exposición de los Datos Personales?
xii. ¿Los Datos Personales están disponibles públicamente en internet?
xiii. ¿Se pueden usar los Datos Personales para fines fraudulentos o puede causar cualquier tipo de daño material y/o inmaterial al Titular?
xiv. ¿Se ha recuperado los Datos Personales?
f. El Oficial de Protección de Datos Personales deberá identificar los daños para los Titulares, organizaciones y el público general que se pueden surgir por el Incidente de Seguridad.
g. Posteriormente, el Oficial de Protección de Datos Personales notificará a la Superintendencia de Industria y Comercio del Incidente de Seguridad, explicando las causas que lo originaron, puntualizando la información comprometida, e indicando las medidas tomadas por su mitigación y evitación de ocurrencia futura.
h. Desde que se conoce de la ocurrencia del Incidente de Seguridad, hasta su debido reporte, no podrán pasar más de quince (15) días hábiles. El área encargada procurará informar del Incidente de Seguridad con la descripción de la información comprometida, dentro de las 48 horas siguientes a su conocimiento.
i. Se pondrá a disposición del Oficial de Protección de Datos Personales y del área encargada del monitoreo de las bases de datos, los recursos que sean necesarios para mitigar los daños y agilizar el proceso de reporte del Incidente de Seguridad.
j. Se realizará un proceso de auditoría automático, para prevenir futuros Incidentes de Seguridad con ocasión de las fallas detectadas. En esta se realizará una revisión de las razones puntuales de la ocurrencia del Incidente de Seguridad. La Auditoría debe incluir la respuesta a los siguientes interrogantes:
i. ¿Qué causó el incidente de seguridad?
ii. ¿Cuándo y con qué frecuencia ocurrió el incidente de seguridad?
iii. ¿Es este un problema sistémico o aislado?
iv. ¿Cuál fue el alcance del incidente de seguridad?
v. ¿Qué medidas se han tomado para mitigar el daño?
vi. ¿Los datos comprometidos afectarán las transacciones que debe realizar la organización con terceros externos?
k. Se remitirá una carta de los Titulares comprometidos informándoles de las causas del Incidente de Seguridad, así como de si existen medidas que puedan tomar para proteger la seguridad de sus Datos Personales (por ejemplo, cambiando contraseñas).
l. Cada instancia del procedimiento de reporte de Incidentes de Seguridad y posterior implementación de medidas de protección de las bases de datos, deberá quedar documentada.
El Oficial de Protección de Datos Personales tendrá a cargo la fijación de mecanismos de información internos para revisar al menos una vez al año las políticas aplicables en materia de protección de Datos Personales y la ejecución del Manual. Con ese fin, realizará una auditoría interna anual para verificar el cumplimiento de sus políticas de Tratamiento de Datos Personales y señalar el procedimiento a seguir en caso de que se presenten violaciones a sus códigos de seguridad, o se detecten riesgos en la administración de los Datos Personales.
El Oficial de Protección de Datos Personales incluirá en su informe: las bases de datos que han sido sujetas a Tratamiento por las distintas áreas de CAVALTEC, los reclamos presentados por los Titulares, las novedades respecto del registro y actualización de Bases de Datos, los resultados de las revisiones de seguridad de los Datos Personales y las acciones sugeridas con base en los riesgos o deficiencias en el Tratamiento de los Datos Personales que encuentre.
Cuando CAVALTEC reciba Datos Personales del Titular a través de terceros y/o cuando CAVALTEC entregue Datos Personales a terceros, es necesario regular dichas situaciones ya sea como Transmisión o Transferencia.
CAVALTEC debe celebrar contratos de Transmisión o Transferencia con terceros (incluso si el tercero es una entidad vinculada al mismo grupo de empresas). La diferencia entre uno y otro depende de quién sea el Responsable del Tratamiento y por lo tanto qué Política de Privacidad debe ser aplicada al Tratamiento por parte del receptor de los Datos Personales.
En el caso de Transmisión, el Responsable del Tratamiento deberá informarle al Titular que existe una posibilidad de compartir sus Datos Personales con terceros que en el rol de Encargados del Tratamiento Trataran sus Datos Personales en nombre del Responsable del Tratamiento, e indicar si están ubicados en el exterior. En este caso, no es necesario obtener una Autorización para compartir los Datos Personales con el Encargado del Tratamiento ya que este hará el Tratamiento de los Datos Personales en representación del Responsable del Tratamiento, en seguimiento a su Política de Privacidad y dentro de la Autorización dada a aquel.
En caso de una Transferencia, el Responsable o Encargado del Tratamiento compartirá los Datos Personales con un nuevo Responsable del Tratamiento. Por lo tanto, este debe obtener una nueva Autorización del Titular para compartir los Datos Personales con el nuevo Responsable del Tratamiento y compartirle la Política de Privacidad que aplicará ese nuevo Responsable del Tratamiento.
Los contratos respectivos deben reflejar las condiciones descritas anteriormente, entre otros requisitos. Según la Superintendencia de Industria y Comercio solicite copia de dichos contratos, CAVALTEC debe poder proporcionar inmediatamente estos contratos en español.
Para lo anterior deberán usarse lo formatos de contratos de Transmisión y Transferencia definidos por CAVALTEC.
CAVALTEC implementa el siguiente sistema de seguridad de los Datos Personales para identificar, medir, controlar y monitorear todos los hechos o situaciones que puedan incidir en la debida administración del riesgo de incumplimiento de las normas de protección de datos personales.
Todas las personas a las que se confíen equipos o servicios de CAVALTEC (como computadores, celulares, licencias de Tratamiento de distintos aplicativos software) son responsables de su Tratamiento, cuidado, custodia y disposición.
Los equipos y servicios de CAVALTEC no se utilizarán para ningún fin privado, salvo autorización expresa del Equipo Asesor. No se asignará a las personas un deber que les impida ejercer el cuidado y la custodia adecuados de los equipos y servicios de los que son responsables.
Cualquier irregularidad o novedad que sea detectada por cualquiera de los empleados de CAVALTEC respecto del Tratamiento de los Datos Personales, deberá ser reportada de inmediato al Oficial de Protección de Datos Personales, en la dirección de correo datospersonales@cavaltec.com
Esta Política de Protección de Datos Personales rige a partir del 15 de julio de 2025 y hasta el momento en que expresamente se revoque o modifique.
Cualquier cambio sustancial en mencionada Política de Tratamiento de Datos Personales se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través del sitio web https://www.cavaltec.com
La presente política se define de conformidad con la entrada en vigencia de la Ley Estatutaria 1581 de 2012 la cual tiene por objeto dictar las disposiciones generales para la protección de datos personales y desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, así como el derecho a la información; por tanto, CAVALTEC, teniendo en cuenta su condición de responsable del tratamiento de datos de carácter personal que le asiste, se permite formular el presente texto en aras de dar efectivo cumplimiento a dicha normatividad y en especial para la atención de consultas y reclamos acerca del tratamiento de los datos de carácter personal que recoja y maneje CAVALTEC. El derecho al HÁBEAS DATA es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y les garantiza a todos los ciudadanos poder de decisión y control sobre su información personal. Por tanto, CAVALTEC. acoge tales disposiciones teniendo en cuenta que, en el cumplimiento de normatividad contable y tributaria, de seguridad social, recopila y efectúa tratamientos a bases de datos tanto de clientes, accionistas, proveedores y empleados.
En virtud de lo anterior, dentro del deber legal y corporativo de CAVALTEC S.A.S. de proteger el derecho a la privacidad de las personas, así como la facultad de conocer, actualizar o solicitar la información que sobre ellas se archive en bases de datos, se ha diseñado la presente política de manejo de la información de carácter personal y bases de datos en la cual se describe y explica el tratamiento de la Información Personal a la que tiene acceso a través de voz a voz o documentos con todos nuestros clientes, empleados, proveedores, accionistas, aliados estratégicos y vinculados.
La presente se irá ajustando en la medida en que se vaya reglamentando la normatividad aplicable a la materia y entren en vigencia nuevas disposiciones.
Oficial de Protección de Datos: datospersonales@cavaltec.com
Teléfono: 313 6998787
WhatsApp