Política de Tratamiento de la Información, Tratamiento de los Datos personales y Seguridad de la información

1. OBJETIVO

Promover por parte de la CORPORACION DE RESIDENCIAS UNIVERSITARIAS, con domicilio principal en la Carrera 33 No. 23 – 51 Piso 1 Bogotá D.C., Colombia, y Nit. 860021766-3, con Correo electrónico: direccion@cru.org.co, Sitio web: www.cru.org.co y teléfonos 3102936040, el respeto y manejo adecuado en el TRATAMIENTO DE LA INFORMACION Y EL TRATAMIENTO DE LOS DATOS PERSONALES, dando cumplimiento a la normatividad legal vigente en especial Ley 1266 de 2008 “Por la cual se
dictan las disposiciones generales del hábeas data”, Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, sus Decretos Reglamentarios y las demás leyes, decretos que las adicionen, modifiquen o complementen.

Para el adecuado desarrollo de su objeto social la CORPORACION DE RESIDENCIAS UNIVERSITARIAS, y como responsable del tratamiento de datos personales, recolecta, almacena, usa, circula y suprime datos personales correspondientes a personas naturales con quienes tiene o ha tenido relación, tales como, sin que la enumeración signifique limitación, trabajadores, residentes y familiares de éstos, miembros de junta directiva, clientes, distribuidores, proveedores, acreedores, deudores y en general con quienes se tenga algún tipo de vínculo ya sea laboral, civil, comercial, de prestación de
servicios de alojamiento o cualquier otra actividad o vínculo que requiera el tratamiento de datos personales.

La CORPORACION DE RESIDENCIAS UNIVERSITARIAS, realiza la recolección, almacenamiento y tratamiento de la información suministrada por el Titular de la información para los siguientes fines:

a) Efectuar las gestiones pertinentes para el desarrollo del objeto social de la
Corporación en lo que tiene que ver con el cumplimiento del objeto del convenio de alojamiento o contrato celebrado con el titular de la información.
b) Gestionar trámites, (solicitudes, quejas, reclamos, sanciones).
c) Contactar al titular a través de correo electrónico para el envío de extractos, estados de cuenta o facturas en relación con las obligaciones derivadas del convenio de alojamiento o contrato celebrado entre las partes.
d) Suministrar la información a terceros con los cuales la Corporación de
Residencias Universitarias tenga relación contractual y que sea necesario
entregársela para el cumplimiento del convenio de alojamiento o contrato.
e) Ofrecer programas de bienestar y planificar actividades sociales y culturales para los estudiantes residentes, empleados y contratistas.
f) Dar cumplimiento a las obligaciones contraídas por la Corporación de Residencias Universitarias con el Titular de la información, con relación al convenio de alojamiento, pago de honorarios, salarios, prestaciones sociales, y demás retribuciones consagradas en el contrato de prestación de servicios o contrato laboral según lo disponga la Ley.
g) Contactar al Titular a través de medios electrónicos, redes sociales o servicios de mensajería para la realización de encuestas, estudios o confirmación de datos personales necesarios para la ejecución de una relación contractual.
h) Desarrollar el proceso de selección, evaluación, y vinculación. Soportar procesos de auditoría interna o externa, registrar la información de residentes, proveedores, contratistas, clientes, empleados o pensionados (activos e inactivos) en las bases de datos de la Corporación.
i) Aportar la información a diferentes entidades públicas y privadas cuando así se requiera en desarrollo de la relación contractual existente.
j) Realizar actividades de videovigilancia de las instalaciones.
k) Para los demás fines que se requieran necesarios en desarrollo del vínculo existente con los residentes y desarrollo del objeto social e la Corporación.

Por lo anterior reiteramos la importancia de cumplir los procedimientos establecidos en las normas vigentes para el tratamiento de información y de datos personales, promoviendo de esta manera al interior de la Corporación, una cultura de respeto y manejo adecuado de lainformación.

2. PRINCIPIOS

• Principio de libertad: El Tratamiento sólo puede ejercerse con el
  consentimiento, previo, expreso e informado del Titular. Los datos
  personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento
• Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular o por las personas previstas en la ley 1581 de 2012. En tal sentido, Sólo se permitirá acceso a los datos personales a las siguientes personas:
  ✓ Al titular del dato.
  ✓ A las personas autorizadas por el titular del dato.
  ✓ A las personas que por mandato legal u orden judicial sean autorizadas para conocer la información del titular del dato.
• Principio de seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la Ley 1581 de 2012, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al
  desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
• Principio de no discriminación: Queda prohibido realizar cualquier acto de discriminación por las informaciones recaudadas en las bases de datos o archivos.
• Principio de veracidad o calidad de los registros o datos: La información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error.
• Principio de finalidad: La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto.
• Principio de temporalidad de la información: La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

3. ALCANCE

Esta política aplica para todos los titulares de información personal que sea utilizada o se encuentre en las bases de datos de la CORPORACION DE RESIDENCIAS UNIVERSITARIAS, y todas aquellas quienes actúa en calidad de responsable del tratamiento de los datos personales.
Esta política es de obligatorio y estricto cumplimiento por parte de todos los trabajadores de la CORPORACION DE RESIDENCIAS UNIVERSITARIAS, contratistas y terceros que obran en nombre de la Corporación, para lograr un manejo y tratamiento adecuado de datos personales en la recolección, almacenamiento, uso, circulación o supresión de los mismos.

El incumplimiento a esta Política, originará sanciones de tipo laboral o responsabilidad contractual según el caso. Esta Política de Protección de Datos Personales se aplicará a todas las Bases de Datos o Archivos que contengan Datos Personales que sean objeto de Tratamiento por parte la CORPORACION DE RESIDENCIAS UNIVERSITARIAS.

4. DEFINICIONES

Para tener mayor claridad de los conceptos relacionados en las normas de protección de datos personales, se hace necesario conocer las siguientes definiciones contenidas en la Ley 1266 de 2008, Ley 1581 de 2012 y sus normas complementarias, Decretos Reglamentarios, así:

I. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
II. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que se pone a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y la finalidad del tratamiento que se pretende dar a los datos personales.
III. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
IV. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
V. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
VI. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
VII. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
VIII. Fuente de información: Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. Si la fuente entrega la información directamente a los usuarios y no, a través de un operador, aquella tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos. La fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos;
IX. Operador de información: Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto, el operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente.
X. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos o el Tratamiento de los datos; persona que decide sobre, entre otras, la recolección y fines del tratamiento.
XI. Titular de la información: Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la ley 1266 de 2008.
XII. Transferencia: La transferencia de datos tiene lugar cuando el responsable o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
XIII. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.
XIV. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
XV. Usuario: El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos.

5. REGISTRO NACIONAL DE BASES DE DATOS

Previo aval del Representante Legal, estará a cargo del Oficial de Tratamiento de Datos Personales de la CORPORACION DE RESIDENCIAS UNIVERSITARIAS, realizar la inscripción y actualización de las bases de datos que se creen ante la Superintendencia de Industria y Comercio dentro de los dos (2) meses días siguientes a la creación. De la misma manera realizará la actualización de la información ya aportada siempre que haya cambios
sustanciales en dichas bases de datos.

La inscripción de las bases de datos se realizará en el Registro Nacional de Bases de Datos acompañada de la presente Política y se realizará de manera independiente por cada una de las bases de datos existentes que contengan datos personales sujetos a tratamiento.

La información aportada en el Registro Nacional de Bases de Datos será la siguiente:

a. Datos de identificación, ubicación y contacto del responsable del Tratamiento de la base de datos.
b. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos.
c. Canales para que los titulares ejerzan sus derechos.
d. Nombre y finalidad de la base de datos.
e. Forma de Tratamiento de la base de datos (manual o automatizada), y
f. Política de Tratamiento de la información.

6. FINALIDAD CON LA QUE SE EFECTUA LA RECOLECCION DE DATOS PERSONALES

La CORPORACION DE RESIDENCIAS UNIVERSITARIAS, podrá hacer uso de los datos personales para:

a) Efectuar las gestiones pertinentes para el desarrollo del objeto social de la Corporación en lo que tiene que ver con el cumplimiento del objeto del convenio de alojamiento o contrato celebrado con el titular de la información.
b) Gestionar trámites, (solicitudes, quejas, reclamos, sanciones).
c) Contactar al titular a través de correo electrónico para el envío de extractos, estados de cuenta o facturas en relación con las obligaciones derivadas del convenio de alojamiento o contrato celebrado entre las partes.
d) Suministrar la información a terceros con los cuales la Corporación de
Residencias Universitarias tenga relación contractual y que sea necesario
entregársela para el cumplimiento del convenio de alojamiento o contrato.
e) Ofrecer programas de bienestar y planificar actividades sociales y culturales para los estudiantes residentes, empleados y contratistas.
f) Dar cumplimiento a las obligaciones contraídas por la Corporación de Residencias Universitarias con el Titular de la información, con relación al convenio de alojamiento, pago de honorarios, salarios, prestaciones sociales, y demás retribuciones consagradas en el contrato de prestación de servicios o contrato laboral según lo disponga la Ley.
g) Contactar al Titular a través de medios electrónicos, redes sociales o servicios de mensajería para la realización de encuestas, estudios o confirmación de datos personales necesarios para la ejecución de una relación contractual.
h) Desarrollar el proceso de selección, evaluación, y vinculación.
i) Soportar procesos de auditoría interna o externa, registrar la información de residentes, proveedores, contratistas, clientes, empleados o pensionados (activos e inactivos) en las bases de datos de la Corporación.
j) Aportar la información a diferentes entidades públicas y privadas cuando así se requiera en desarrollo de la relación contractual existente.
k) Realizar actividades de videovigilancia de las instalaciones.
l) Para los demás fines que se requieran necesarios en desarrollo del vínculo existente con los residentes y desarrollo del objeto social de la Corporación.

7. DERECHOS QUE LE ASISTEN COMO TITULAR DE DATOS PERSONALES

a. Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
b. Solicitar prueba de la autorización otorgada al responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
Ser informado por el responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
d. Presentar ante la Superintendencia de Industria y Comercio quejas por presuntas infracciones a la protección de datos personales.
e. Revocar la autorización o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento

7.1. Los titulares de la información podrán ejercer los derechos contemplados en la presente Política mediante el procedimiento establecido en el numeral décimo de la presente Política.

8. DEBERES DE LA CORPORACION DE RESIDENCIAS UNIVERSITARIAS

Se deberán tener en cuenta los siguientes aspectos sin que estos sean limitativos, pues en todo caso y en lo aquí no enunciado se deberá dar aplicación a la normatividad legal vigente en especial Ley 1266 de 2008 “Por la cual se dictan las disposiciones generales del hábeas data”, Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, sus Decretos Reglamentarios y las demás leyes, decretos que las
adicionen, modifiquen o complementen.

Todos los obligados a cumplir esta política deben tener presente que La CORPORACION DE RESIDENCIAS UNIVERSITARIAS, está obligada a cumplir deberes impuestos por la ley. Por ende, deben obrar de tal forma que cumplan las siguientes obligaciones:

1. En aquellos casos en donde se realice la recolección de datos personales, estos deberán limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados.
2. Para el tratamiento de la información es necesario que exista previa
autorización expresa por parte del titular de la información. En todo caso
los datos personales no podrán ser obtenidos o divulgados sin previa
autorización, o en ausencia de mandato legal o judicial que releve el
consentimiento”.
3. Para el caso en particular de datos sensibles expresamente deberá obrar
autorización expresa y explicita para cada caso, los datos sensibles son aquellos que define la ley como aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.
4. Los responsables y Encargados del Tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.
5. Se deberá informar al titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y, por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos.
6. Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular.
7. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir, conocer, actualizar o rectificar sus datos personales. Informar a solicitud del titular sobre el uso dado a sus datos personales.
8. Tramitar las consultas y reclamos formulados en los términos señalados en la presente política. Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en esta política.
9. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
10. Actualizar la información cuando sea necesario.

9. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES

Siempre que la CORPORACION DE RESIDENCIAS UNIVERSITARIAS, recaude información y datos personales deberá obtener por parte del titular su autorización previa, expresa e informada para recolectar y tratar sus datos personales utilizando para esos efectos medios técnicos automatizados, escritos u orales, que permitan conservar prueba de la autorización.

Esta obligación no es necesaria cuando se trate de datos de naturaleza pública, tratamiento de información para fines históricos, estadísticos o científicos en los cuales no se vincule la información a una persona específica y datos relacionados con el Registro Civil de las Personas.

Para obtener la autorización se deberá seguir las siguientes instrucciones:
En primer lugar, antes de que la persona autorice es necesario informarle de forma clara y expresa lo siguiente:

✓ El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
✓ El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y
adolescentes.
✓ Los derechos que le asisten como titular.
✓ La identificación, dirección física o electrónica y teléfono de la CORPORACION DE RESIDENCIAS UNIVERSITARIAS.

En segundo lugar, obtendrá el consentimiento del titular a través de cualquier medio que pueda ser objeto de consulta posterior. Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento. Si el Titular solicita copia de éstos se deberá suministrárselos. La autorización también podrá obtenerse a partir de conductas inequívocas del Titular del Dato que permitan concluir de manera razonable que éste otorgó su consentimiento para el tratamiento de su información. Dicha (s) conducta (s) debe (n) ser muy clara (s) de manera que no admita (n) duda o equivocación sobre la voluntad de autorizar el tratamiento y las finalidades del mismo. En ningún caso el silencio del Titular podrá considerarse como una conducta inequívoca.

9.1. FORMATO DE AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES: Para los efectos señalados anteriormente la Autorización de tratamiento de datos se realizará a través del Anexo 1 “FORMATO DE AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES”. Dicha autorización debidamente firmada deberá conservarse en medio digital o físico como prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

Esta responsabilidad de custodia de la autorización debidamente firmada, estará a cargo de la persona o área delegada relacionada en el numeral 5.1 de la presente Política como responsable de la “PROTECCIÓN DE DATOS PERSONALES, CUMPLIMIENTO Y DIRECCIONAMIENTO DE LA PRESENTE POLÍTICA”.

10. ATENCION PETICIONES, CONSULTAS Y RECLAMOS

Las peticiones, quejas y reclamos tienen por objeto corregir, actualizar o suprimir datos, o elevar una queja por el presunto incumplimiento de cualquiera de los deberes contenidos en la presente Política y normas que regulan la materia.

11. MEDIDAS DE SEGURIDAD 

En desarrollo del principio de seguridad establecido en la presente Política, la Ley 1581 de 2012 y demás normas concordantes, la CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El personal que realice el tratamiento de los datos personales ejecutará los protocolos establecidos con el fin de garantizar la seguridad de la información.

12. VIDEO VIGILANCIA

La CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS utiliza diversos medios de videovigilancia instalados en diferentes sitios internos y externos de sus instalaciones u oficinas.

La CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS informa sobre la existencia de estos mecanismos mediante la difusión en sitios visibles de anuncios de videovigilancia.

La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones, y podrá ser empleada como prueba en cualquier tipo de proceso ante cualquier autoridad u organización.

13. LIMITACIONES TEMPORALES AL TRATAMIENTO DE LOS DATOS PERSONALES

La CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.

Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, procederá a la supresión de los datos personales en su posesión.

No obstante, lo anterior, los datos personales deberán conservarse cuando así se requiera para el cumplimiento de una obligación legal o contractual.

14. TERMINO DE VIGENCIA DE LAS BASES DE DATOS

La CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS establece como tiempo de vigencia de las bases de datos cinco (5) años a partir de su creación.
Una vez vencido dicho tiempo, las bases de datos serán actualizadas a través de la persona o área encargada señalada en el numeral 5.1 de la presente Política.

15. SEGURIDAD DE LA INFORMACIÓN

La CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS establece la presente Política de Seguridad de la Información, la cual contiene los medios técnicos, humanos y administrativos necesarios para otorgar seguridad a los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

15.1 Tratamiento de Datos Personales:
Para la recolección, almacenamiento y tratamiento de datos personales y sensibles debe existir previamente, y en todo caso, el consentimiento previo, expreso e informado del titular para llevar a cabo dicho tratamiento. Este consentimiento será gestionado y tramitado por las personas relacionadas en el numeral 15.6 de la presente Política, quienes son los responsables y encargados de la recolección, almacenamiento y tratamiento de datos personales a través del documento físico o electrónico, según sea el caso, “FORMATO DE AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES”. Este documento contendrá:

a) La finalidad con la que se efectúa la recolección de datos personales.
b) Los derechos que le asisten al titular de los datos personales.
c) La información sobre atención de peticiones, consultas y reclamos.
d) La manifestación o aceptación del titular.

Para el caso particular de los datos sensibles, deberá obrar autorización expresa y explícita para cada caso. Los datos sensibles son aquellos que la ley define como aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación.

15.2 Carpetas Automatizadas Seguras y Digitales:
La Corporación, a través del área de Tecnología, creará carpetas automatizadas, seguras y digitales con usuario y contraseña intransferibles. Cada una de ellas tendrá como nombre el de la base de datos correspondiente, en donde se almacenará la información recolectada de cada titular junto con la respectiva autorización o consentimiento para el tratamiento de datos personales.

15.3 Seguridad de los Datos Personales:
La Corporación, a través del área de Tecnología, será la encargada de monitorear y garantizar la seguridad de los datos personales, así como de asegurar que la información sea de consulta exclusiva por los responsables y que no sea objeto de pérdida, adulteración, uso no autorizado o fraudulento.
De igual forma, deberá garantizar la seguridad de la información y evitar su fuga cuando haya acceso remoto por parte de los responsables encargados de la recolección o almacenamiento. En todo caso, el área de Tecnología deberá garantizar que la información de las bases de datos sea únicamente de alimentación y consulta, evitando su extracción, salvo cuando dicha información deba utilizarse para los fines establecidos en la “POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN Y TRATAMIENTO DE LOS DATOS PERSONALES”. En ese caso, se requerirá autorización previa y escrita por parte de la Dirección Financiera o del Oficial de Cumplimiento.

15.4 Respaldo de la Información:
El área de Tecnología de la Corporación deberá realizar y garantizar, al menos una vez por semana, un respaldo de la información en caso de adulteración o pérdida. Asimismo, establecerá los mecanismos de seguridad necesarios para evitar el uso o acceso no autorizado o fraudulento a cada base de datos.

15.5 Usuario y Contraseña:
A cada carpeta o base de datos le será asignado un único responsable con un usuario y contraseña de acceso. Dichos responsables serán directamente encargados de la recolección, almacenamiento, protección y tratamiento de los datos personales, y no podrán realizar un uso o tratamiento distinto al autorizado por cada titular de la información, so pena de incurrir en incumplimiento grave a las obligaciones y prohibiciones laborales.

15.6 Responsables Encargados de la Recolección, Almacenamiento, Protección y Tratamiento de Datos Personales:
Según cada base de datos, se asignará un usuario y contraseña intransferibles por parte del área de TI o Tecnología a las personas responsables de estas funciones.

Queda expresamente prohibido el acceso a las Bases de datos por parte de personal no autorizado, por tanto, los responsables de la recolección, almacenamiento, protección y tratamiento de datos personales serán los únicos responsables del tratamiento que se les dé, so pena de las sanciones disciplinarias a que haya lugar.

15.7 Nombramientos responsables encargados de la recolección, almacenamiento, protección y tratamiento de datos personales:
El nombramiento y remoción de los responsables encargados de la recolección, almacenamiento, protección y tratamiento de datos personales de la información estará a cargo del Representante Legal o del Oficial de Tratamiento de Datos Personales, quienes darán la autorización para realizar la solicitud de Usuario y Contraseña ante el área de Tecnología.

15.8 Acuerdo de Confidencialidad:
Los responsables de las bases de datos y encargados de la recolección, almacenamiento, protección y tratamiento de datos personales de la información, al igual que los encargados del área de Tecnología de la Corporación, suscribirán al momento de ser designados un Acuerdo de Confidencialidad, según Anexo 3, sobre la información a la que tendrán acceso. Este acuerdo será de obligatorio cumplimiento y reposará en el Departamento de Recursos Humanos.

El incumplimiento al Acuerdo de confidencialidad se entenderá como un incumplimiento grave a las obligaciones y prohibiciones laborales, con las consecuencias disciplinarias a que haya lugar.

15.9 Validación previa y uso adecuado de la información:
Los responsables encargados de la recolección, almacenamiento, protección y tratamiento de datos personales de la información deberán realizar previamente la validación de los datos a recolectar, realizando la solicitud de documentación e identificación necesaria de los titulares de la información junto con el Anexo 1 “AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES”.

Deberán tomar todas las medidas necesarias para garantizar que los datos recolectados sean correctos para su posterior almacenamiento y uso. Así mismo, en todo momento darán un correcto tratamiento de la información en la recolección, circulación y disposición, única y exclusivamente para los fines contemplados en la “POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN Y TRATAMIENTO DE LOS DATOS PERSONALES”.

15.9.1 Lugar físico y seguro de la Corporación para almacenamiento de datos personales:
La Corporación, a través del Oficial de Tratamiento de Datos Personales, dispondrá de los recursos necesarios y un lugar físico en sus instalaciones, seguro y de uso restringido y bajo llave, en donde se almacenen los datos personales que se recauden de manera física por parte de los encargados y responsables del tratamiento de dichos datos.

Se garantizará que la información sea de acceso único por parte de los responsables y que no sea objeto de pérdida, adulteración, uso no autorizado o fraudulento.

15.9.2 Protocolo de Almacenamiento de Información:
Las personas responsables de la recolección, almacenamiento, protección y tratamiento de datos personales seguirán el siguiente procedimiento, bajo la supervisión y dirección del Oficial de Tratamiento de Datos Personales:

a) Gestionarán física o digitalmente el consentimiento previo, expreso e informado del Titular de la información, según el “FORMATO DE AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES”.

b) Almacenarán la información física o digitalmente, ya sea en las Carpetas Automatizadas Seguras y Digitales o en el lugar físico y seguro de la Corporación, según sea el caso.

c) Realizarán el tratamiento de los datos personales para los fines exclusivos sobre los cuales el titular de la información haya dado su consentimiento, el cual debe constar como soporte para el uso y tratamiento de datos personales. Se entiende que sin el consentimiento del titular queda prohibida la recolección, almacenamiento y tratamiento de datos personales.

d) Una vez se haya realizado la recolección, almacenamiento y tratamiento de los datos personales, y estos reposen digital o físicamente, los responsables de la recolección y tratamiento de datos personales deberán asegurarse de que la información quede bajo llave en caso de constar físicamente, o con la sesión cerrada o carpeta bloqueada cuando la información conste de manera digital.

15.9.3 Prohibición de Extracción de la Información de las Bases de Datos:
Queda expresamente prohibido para cualquiera de los trabajadores de la Corporación o terceros la extracción de información, física o digital, que repose en las bases de datos. Su incumplimiento dará lugar a las acciones disciplinarias correspondientes, entendiéndose como un incumplimiento grave a las obligaciones y prohibiciones laborales, además de las acciones legales a que haya lugar.

Lo anterior se exceptúa únicamente en los casos previstos en la presente Política, para los cuales se requerirá autorización del Representante Legal o del Oficial de Tratamiento de Datos Personales.

15.9.4 Disposición Final de la Información:
Una vez cumplido el término de vigencia de las bases de datos establecido en la “POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN Y TRATAMIENTO DE LOS DATOS PERSONALES”, se procederá a la destrucción de la información mediante un acta suscrita por el responsable de la información, el área de Tecnología de la Corporación y el Oficial de Tratamiento de Datos Personales.

15.9.5 Gestión de Incidentes de Seguridad de la Información:
En caso de presentarse un incidente con la información que repose en las bases de datos —ya sea alteración, pérdida o cualquier tipo de afectación—, el responsable de la información o quien detecte el incidente deberá dar aviso inmediato por escrito al Oficial de Tratamiento de Datos Personales y al área de Tecnología de la Corporación, indicando en detalle el incidente y la novedad detectada.

Ante esto, se dará inicio a un proceso de investigación a cargo del Departamento de Recursos Humanos. De igual forma, el área de Tecnología deberá realizar de manera inmediata las indagaciones y presentar un informe detallado a Recursos Humanos y al Oficial de Tratamiento de Datos Personales dentro de los tres (3) días siguientes al reporte del incidente, especificando causas y conclusiones.

Asimismo, deberá ejecutar los ajustes necesarios para corregir los incidentes y vulnerabilidades detectadas, evitando su reincidencia.

15.9.6 Auditoría:
Por lo menos una vez cada doce (12) meses, el Oficial de Tratamiento de Datos Personales realizará una auditoría de verificación del cumplimiento de la “POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN Y TRATAMIENTO DE LOS DATOS PERSONALES” e informará el resultado de la misma al Representante Legal.

16. PERSONA O ÁREA RESPONSABLE DEL CUMPLIMIENTO Y DIRECCIONAMIENTO DE LA PRESENTE POLÍTICA Y ATENCIÓN A PETICIONES, QUEJAS O RECLAMOS

El Oficial de Tratamiento de Datos Personales asumirá el direccionamiento y coordinación para el cumplimiento de la presente Política, así como la atención de las peticiones, quejas y reclamos con el objeto de corregir, actualizar o suprimir datos, o elevar una queja por el presunto incumplimiento de cualquiera de los deberes contenidos en la presente Política y en las normas que regulan la materia.

17. MARCO LEGAL Y BIBLIOGRAFÍA

La presente Política de Tratamiento de Datos Personales se elabora de conformidad con lo dispuesto en la Constitución Política de Colombia, las normas que se indican a continuación, y aquellas que las modifiquen, deroguen o sustituyan, respecto de la recolección, almacenamiento, uso, circulación, supresión y demás actividades que constituyan tratamiento de datos personales:

• Ley 1266 de 2008: “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países, y se dictan otras disposiciones.”

• Decreto 2952 de 2010: “Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008.”

• Ley 1581 de 2012: “Por la cual se dictan disposiciones generales para la protección de datos personales.”

• Decreto 1377 de 2013: “Por el cual se reglamenta parcialmente la Ley 1581 de 2012.”

• Decreto 886 de 2014: “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos.”

• Decreto 1074 de 2015: Capítulo 2, reglamenta parcialmente la Ley 1581 de 2012.

• Ley 2157 de 2021: “Por medio de la cual se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan disposiciones generales del hábeas data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, y se dictan otras disposiciones.”

18. FORMATOS Y ANEXOS

1. Anexo 1 “AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES”.
2. Anexo 2 “FORMATO PARA LA PRESENTACIÒN DE PETICIONES QUEJAS O
RECLAMOS”.
3. ANEXO 3 “ACUERDO DE CONFIDENCIALIDAD“.

19. VIGENCIA

La presente Política queda publicada en www.cru.org.co y entrará a regir a partir del día primero DE JULIO de 2025 y deja sin efecto las Políticas sobre la misma materia que se hayan expedido con anterioridad.

En constancia firma,

JOSE DAVID PRIMO CABEZA
REPRESENTANTE LEGAL
CORPORACIÓN DE RESIDENCIAS UNIVERSITARIAS
NIT. 860021766-3,
DOMICILIO: CARRERA 33 NO. 23 – 51 PISO 1 BOGOTÁ D.C., COLOMBIA.
PÁGINA WEB / CORREO ELECTRÓNICO: WWW.CRU.ORG.CO /
DIRECCION@CRU.ORG.CO
TELÉFONO: 3102936040