1. OBJETIVO
Establecer las establece las directrices de privacidad para la obtención de datos personales de nuestros usuarios con el fin de dar el mejor tratamiento a la informacion suministrada en estricto cumplimiento de la normatividad vigente aplicable
2. DEFINICIONES
Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
Consulta: Derecho de los titulares de la información de conocer sus datos personales frente a los responsables o encargados del tratamiento.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato público: Es el dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido pueda generar discriminación, tales como: origen racial, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos, datos relacionados con la salud, la vida sexual y datos biométricos.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.
Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
Tratamiento: cualquier operación o conjunto de operaciones sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
3. POLÍTICA GENERAL
La presente política prevista en el presente instructivo se expide en cumplimiento de la Ley 1581 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Circular 002 de 2015 de la Superintendencia de Industria y Comercio y demás normas que modifiquen o adicionen el régimen de protección de datos personales, y busca garantizar que BlueCare. en su condición de responsable de manejo de información personal y sensible, se comprometa a cumplir estrictamente la normatividad vigente para el manejo de datos, asegurando la confidencialidad y privacidad por parte de nuestro personal interno, por lo que nos comprometemos a no divulgar de ninguna forma sus datos personales para el beneficio de terceros.
4. DERECHO DE LOS TITULARES
Los titulares de los datos personales tienen los siguientes derechos:
4.1 Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
4.2 Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
4.3 Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
4.4 Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.
4.5 Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la Constitución y la ley.
4.6 Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
4.7 Legitimación para el ejercicio de los derechos del titular: Los derechos de los titulares podrán ejercerse por las siguientes personas:
a. Por el titular, quien deberá acreditar su identidad en forma suficiente.
b. Por sus causahabientes, quienes deberán acreditar tal calidad.
c. Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento. Por un tercero debidamente autorizado por el titular o por la Ley.
4.8 Personas a las que se les puede suministrar la información: la información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas:
a. A los titulares, sus causahabientes o sus representantes legales.
b. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
c. A los terceros autorizados por el titular o por la ley.
5. TRATAMIENTO Y FINALIDAD DE LOS DATOS
En ejercicio de su objeto social, BlueCare actúa directamente, a través de su empresa matriz, grupo empresarial, o terceros para realizar el tratamiento de datos personales de sus colaboradores, ex colaboradores, empleados de sus contratistas, proveedores, posibles clientes, clientes y usuarios de sus servicios, actividad que ejecuta directamente, o por parte de contratistas. Así mismo en cumplimiento de legislación aplicable y de políticas corporativas, BlueCare puede requerir transmitir o transferir dichos datos a sus compañías matrices, filiales y/o subsidiarias nacionales o extranjeras.
En desarrollo de los principios de finalidad y libertad, la recolección de datos personales por parte de BlueCare se limitará a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente.
Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del titular. En cumplimiento de la normatividad vigente, BlueCare su empresa matriz y/o grupo empresarial, en caso de recolectar datos de menores de edad, realizará el uso de los mismos respetando la protección especial de los niños, niñas y adolescentes, asegurando el respeto de sus derechos fundamentales, de acuerdo a los usos establecidos en el presente instructivo.
BlueCare, su empresa matriz y/o grupo empresarial tiene la obligación de mantener la confidencialidad de los datos personales objeto de tratamiento y sólo podrá divulgarlos por solicitud expresa de las entidades de vigilancia y control y autoridades que tengan la facultad legal de solicitarla y permitirá en todo momento y de manera gratuita conocer, actualizar y corregir la información personal del titular.
El tratamiento de datos incluye la recolección, almacenamiento, administración, utilización, transferencia, transmisión y destrucción, en la forma permitida por la ley y se realiza con la siguiente finalidad específica para cada caso:
5.1Tratamiento de datos de potenciales usuarios, clientes y usuarios de servicios: La recolección y tratamiento de estos datos por BlueCare se utilizará para:
- Cumplir con las obligaciones contractuales a su cargo, tales como facturación, reportes de pagos, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes.
- Dar información comercial de planes de servicios, envió de ofertas, beneficios y programas de fidelización, y para el desarrollo de campañas comerciales, publicitarias y de marketing relacionadas con productos y servicios de BlueCare o de sus aliados estratégicos.
- Informar sobre la realización de programas de promoción y prevención de salud, y realizar estudios epidemiológicos.
- Realización de encuestas para medición de estándares de calidad en la prestación del servicio, gestión y satisfacción.
- Establecer procesos de implementación de mejoras en los tiempos de acceso a los servicios, a través de comunicación con los usuarios y uso herramientas de evaluación de los servicios.
- Informar la presencia y asistencia a distintos municipios de Colombia en misiones sociales.
- Contacto para invitaciones a diferentes eventos como concursos, eventos deportivos y/o eventos empresariales.
- Envío de información comercial, promocional y/o cortesías de la Compañía
- Realizar segmentación de mercado, análisis de consumo y preferencias.
- Realizar la evaluación del estado de salud de los usuarios o posibles usuarios.
- Prestación de los servicios de salud a los usuarios.
- Realizar actividades de auditoria, cálculos actuariales y cualquier otro que autorice la ley.
- Procedimientos de cobranza, cobro y cesión de cartera, y los propios de la actividad administrativa de la compañía.
5.2 Tratamiento de datos personales de colaboradores y ex colaboradores: se realiza para cumplir con las obligaciones laborales a cargo de BlueCare, tales como pagos de nómina, pagos y reportes al sistema general de seguridad social en salud, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes, o por entidades del sistema general de seguridad social en salud a los que el titular esté o hubiere estado vinculado.
5.3 Tratamiento de datos personales de empleados de contratistas, que prestan servicio en instalaciones de BlueCare: Se realiza para permitir a BlueCare, su empresa matriz y/o grupo empresarial, el cumplimiento de las obligaciones contractuales a su cargo, tales como asignación y control de elementos tecnológicos, materiales, equipos, identificación de ingreso, seguimiento a cumplimiento de obligaciones a cargo de contratistas, atención de eventuales emergencias, atención respuesta de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes.
5.4 Tratamiento de datos personales de proveedores personas naturales: Se realiza para permitir el cumplimiento de obligaciones contractuales a cargo de BlueCare, su empresa matriz y/o grupo empresarial, tales como pagos de honorarios, pago de facturas y/o cuentas de cobro, reportes de pagos, reportes o interacciones que por ley o por políticas internas tiene la obligación de realizar, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes.
5.5 Tratamiento de datos personales de clientes personas naturales: El tratamiento de datos personales de Clientes, tiene el propósito de que BlueCare su empresa matriz o grupo empresarial, pueda cumplir con las obligaciones contractuales a su cargo, tales como facturación, reportes de pagos, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes.
5.6 Tratamiento de datos biométricos: El tratamiento de datos como huellas digitales, fotografías, videos y demás datos que puedan llegar a ser considerados como sensibles de conformidad con la Ley de protección de datos, se realiza con el fin de lograr las finalidades relativas a ejecutar el control, seguimiento, monitoreo, vigilancia y, en general, garantizar la seguridad de las asistentes a las instalaciones de BlueCare su empresa matriz o grupo empresarial
5.7 Vigencia de las bases de datos: BlueCare su empresa matriz o grupo empresarial, mantendrá la vigencia indefinida de las bases de datos, salvo solicitud expresa de eliminación de las mismas por parte del titular, la cual se aplicará siempre y cuando BlueCare no conserve autorización legal para mantenerlas.
Niveles de seguridad aplicados al tratamiento: BlueCare, su empresa matriz y/o grupo empresarial, cuenta con reglamentaciones internas sobre seguridad de la información, las cuales se encuentran establecidas en los procedimientos y manuales de la Compañía. Adopta medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
6. DEBERES DEL RESPONSABLE Y/O ENCARGADO DEL TRATAMIENTO.
Área responsable de la protección de datos personales, atención de peticiones, consultas y reclamos:
BlueCare con domicilio en la Calle 26 # 38-26. Edificio Bio 26, Sector Las Palmas, Medellín, teléfono: 6041445, correo electrónico: paolapd@medcri.com.co, es responsable del tratamiento de los datos personales.
BlueCare a través del área de PQR será el responsable de velar por el cumplimiento de estas disposiciones y será el área encargada de la atención de peticiones, consultas y reclamos ante la cual el cliente titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y/o revocar la autorización.
El responsable y/o encargado del tratamiento deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley 1581 de 2012 y en otras que rijan su actividad:
6.1 Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
6.2 Solicitar y conservar, en las condiciones previstas en el presente instructivo, copia de la respectiva autorización otorgada por el titular.
6.3 Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
6.4 Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
6.5 Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6.6 Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
6.7 Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
6.8 Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en el presente instructivo.
6.9 Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
6.10 Tramitar las consultas y reclamos formulados en los términos señalados en el presente instructivo.
6.11 Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
6.12 Informar a solicitud del titular sobre el uso dado a sus datos.
6.13 Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
6.14 Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
7. PROCEDIMIENTOS PARA GARANTIZAR EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES.
7.1 Consulta:
a. Los titulares de datos personales o sus causahabientes deben dirigir sus consultas y peticiones al correo paolapd@medcri.com.co o radicar comunicación escrita en la Calle 26 # 38-26. Edificio Bio 26, Sector Las Palmas, Medellín o a través de la página web www.bluecare.com.co.
b. El responsable del tratamiento o encargado del tratamiento, deberá suministrar al titular o causahabiente que realice una solicitud de consulta, toda la información contenida en el registro individual o que esté vinculada con su identificación, en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.
c. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
7.2 Reclamos:
El titular o causahabiente que considere que la información contenida en sus bases de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en el presente instructivo., podrá presentar un reclamo a BlueCare el cual será tramitado bajo las siguientes actividades:
a. El reclamo se formulará mediante solicitud dirigida al responsable del tratamiento o al encargado del tratamiento, al correo electrónico paolapd@medcri.com.co, o radicar comunicación escrita en la Calle 26 # 38-26. Edificio Bio 26, Sector Las Palmas, Medellín o a través de la página web www.bluecare.com.co con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, Bluecare solicitará al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Si transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
b. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
c. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
7.3 Revocatoria de la autorización y supresión del dato:
Los titulares de la información, o sus causahabientes podrán en todo momento solicitar a BlueCare la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con el procedimiento y requisitos previstos en el numeral 4.3.2 del presente instructivo.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos. BlueCare pone a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada tales como: la Calle 26 # 38-26. Edificio Bio 26, Sector Las Palmas, Medellín o a través de la página web www.bluecare.com.co o a través de la página web www.bluecare.com.co
7.4 Del derecho de actualización, rectificación y supresión:
BlueCare tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente: En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición. BlueCare tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes. BlueCare podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados en la página web.
7.5 Es importante tener en cuenta que la revocatoria de la autorización y/o la supresión del dato no es absoluto y BlueCare puede negar el ejercicio del mismo cuando:
a) El titular tenga un deber legal o contractual de permanecer en la base de datos.
b) La eliminación de datos obstaculice actuaciones prejudiciales, judiciales y/o administrativas vinculadas a obligaciones fiscales, la investigación o persecución de delitos o sanciones administrativas.
c) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
7.6 Transmisión y/o transferencia internacional de datos personales
Los datos personales recolectados por BlueCare, su empresa matriz y/o grupo empresarial podrán ser transferidos al exterior bajo niveles adecuados de protección, seguridad y confidencialidad, sin perjuicio de la obligación de mantener la confidencialidad de la información.
7.7 Incidentes de seguridad: En caso de detectarse un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información, esta deberá ser reportada de forma inmediata al correo paolapd@medcri.com.co indicando como asunto INCIDENTE DE SEGURIDAD y describiendo de forma detallada donde se evidenció el posible incidente, que información fue afectada, si se conoce el responsable y persona o grupo de personas afectadas.