PROTECCIÓN DE DATOS

PROTECCIÓN DE DATOS PERSONALES, EN CUMPLIMIENTO DE LO DISPUESTO EN LA LEY 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013.

Estimado Cliente:

Bexperience360 cuenta con su base de datos con información previamente suministrada por usted, la cual ha sido recolectada para el desarrollo de nuestro objetivo social, la cual usted es considerado como nuestro Cliente. Con ocasión de la entrada de vigencia del decreto 1377 de 2013 reglamentario de la Ley Estatutaria 1581 del 2012, “Por la cual se dictan las disposiciones generales para la protección de datos personales”, requerimos su autorización para el tratamiento de sus datos personales, según lo dispone el artículo 9° de la mencionada ley.

Según nuestras políticas de tratamiento de datos personales, los mecanismos a través de los cuales hacemos uso de estos son seguros y confidenciales, pues contamos con los medios tecnológicos idóneos para asegurar que son almacenados de manera tal que se impida el acceso indeseado por parte de terceras personas, y en ese mismo orden aseguramos la confidencialidad de los mismos.

De acuerdo con lo anterior, si está interesado en seguir recibiendo nuestra información, le confirmamos que usted puede ejercer sus derechos a conocer, actualizar, rectificar y solicitar la suspensión de sus datos personales en cualquier momento. De aceptar la presente opción, sus datos personales se incluirán en nuestra base de datos y serán utilizados para:

  • Lograr una eficiente comunicación relacionada con nuestros productos, servicios, ofertas, promociones, alianzas, estudios, concursos, contenidos, así como para facilitarle el acceso general o la información de estos.
  • Anunciar nuestros nuevos productos y/o servicios.
  • Dar cumplimiento a obligaciones controladas con nuestros clientes, proveedores, y empleados.
  • Informar sobre cambios de nuestros productos, servicios y/o horarios.
  • Actualizar los datos suministrados por usted a través de diferentes medios de comunicación.
  • Evaluar la calidad de nuestros productos y/o servicios.
  • Entregar su información a quien BeXperience360 considere necesario para hacer efectivas las promociones o los servicios de publicidad que se acuerden.

Sin embargo – y siguiendo lo dispuesto en el numeral 4 del artículo 10 del Decreto 1377 DE 2013 – si en el término de treinta (30) días hábiles contando a partir de la publicación de esta comunicación, el titular de los datos personales recolectados por Bexperience360, hasta el día de hoy o alguna de las personas mencionadas en el artículo 20 del Decreto 1377 de 2013, no ha contactado a la entidad a fin de solicitar la suspensión de los datos personales del titular de nuestros registros, Bexperience360 podrá seguir tratándolos, sin perjuicio de la facultad que tienen estos individuos de ejercer en cualquier momento su derecho a pedir la eliminación de los datos del titular de nuestros archivos. Los titulares de datos personales y/o las personas enumeradas en el artículo 20 del Decreto 1377 de 2013, podrán solicitar la supresión de los datos personales del titular de nuestros registros y/o revocar la autorización otorgada para el tratamiento de los mismos por parte de Bexperience360 mediante la presentación de un reclamo, de acuerdo con lo establecido en los artículos 15 de la Ley 1581 de 2012 y 9 del decreto 1377 de 2013.

Por lo tanto, si usted no desea recibir nuestra información, le solicitamos contactarnos para retirarlo de nuestra base de datos, a través del correo electrónico: servicioalcliente@bexperience360.com

Para más información al respecto, puede comunicarse con el Departamento de Mercadeo al siguiente correo:  servicioalcliente@bexperience360.com  .

POLÍTICA DE DATOS BEXPERIENCE360

 

Te agradecemos por suscribirte a nuestra comunidad digital; como parte de nuestra responsabilidad en manejo adecuado de tu información, creamos este espacio en donde te contamos el tipo de información que utilizamos de tu perfil y las maneras en que será utilizada por parte de Bexperience360.

 

¿QUÉ TIPO DE INFORMACIÓN RECOPILAMOS?

 

Recopilamos diferente información desde tu perfil, el cual fue diligenciado por ti mismo y en donde nos confirmas el uso de la misma.

 

Información básica en el caso de personas que buscan experiencias:

Recopilamos información básica con el objeto de optimizar las experiencias de nuestros usuarios y de poder entregar servicios completos conforme al objeto principal de uso de nuestra plataforma.

Nombre y apellido, Fecha de Cumpleaños, Ciudad, Género, Celular, Profesión, Descripción básica de actividades y de tu personalidad.

 

Información básica en el caso de Comercios:

Recopilamos información básica de nuestros comercios para entregar un mejor servicio y poder apoyar de manera positiva sus emprendimientos.

 

Nombre del comercio, Sector en el que se encuentra, Ciudad, Número de contacto, Dirección Física – Si tiene, RRSS – Si tiene, Web – Si tiene, Publicar fotos del producto, servicio o establecimiento, Breve descripción, Indicar “La experiencia”.

 

Tus acciones y la información que proporcionas.

Recopilamos el contenido y otros datos que proporcionas cuando usas nuestros Servicios, por ejemplo, al abrir una cuenta, al crear o compartir contenido, y al enviar mensajes o al comunicarte con otras personas. La información puede corresponder a datos incluidos en el contenido que proporcionas o relacionados con este, como el lugar donde se tomó una foto o la fecha de creación de un archivo. También recopilamos información sobre el modo en que usas los Servicios, por ejemplo, el tipo de contenido que ves o con el que interactúas, o la frecuencia y la duración de tus actividades.

 

Las acciones de otras personas y la información que proporcionan.

También recopilamos el contenido y la información que otras personas proporcionan cuando usan nuestros Servicios y que puede incluir datos sobre ti, por ejemplo, cuando alguien comparte una foto en la que apareces, te envía un mensaje o sube, sincroniza o importa tu información de contacto.

 

Tus redes y conexiones.

Recopilamos información sobre las personas y los grupos con los que estás conectado y sobre el modo en que interactúas con ellos, por ejemplo, las personas con las que más te comunicas o los grupos con los que te gusta compartir contenido. También recopilamos la información de contacto que proporcionas si subes, sincronizas o importas estos datos (por ejemplo, una libreta de direcciones) desde un dispositivo.

 

Información sobre pagos.

Si usas nuestros Servicios para efectuar compras o transacciones financieras (por ejemplo, cuando compras algo en bexperience360, realizas una compra en un juego o haces una donación), recopilamos datos sobre dicha compra o transacción. Estos datos incluyen información de pago, como el número de tu tarjeta de crédito o débito y otra información sobre la tarjeta, así como otros datos sobre la cuenta y la autenticación, además de detalles de facturación, envío y contacto.

 

¿CÓMO USAMOS ESTA INFORMACIÓN?

 

Nos apasiona crear experiencias atractivas y personalizadas para las personas. Usamos toda la información que tenemos para poder ofrecer nuestros Servicios y mantenerlos. Esto es lo que hacemos:

 

Lo que nos permite ofrecerte nuestros Servicios, personalizar el contenido y proporcionarte sugerencias es el uso que hacemos de esta información. Nos permite comprender cómo usas nuestros Servicios e interactúas con ellos y las personas o las cosas con las que estás conectado y en las que te interesas, tanto dentro de nuestros Servicios como fuera de ellos.

 

Cuando disponemos de datos de ubicación, los usamos para personalizar nuestros Servicios para cada persona, por ejemplo, para ayudarte a registrar una visita y encontrar eventos locales u ofertas en tu zona, o bien para avisarles a tus amigos que te encuentras cerca.

 

Realizamos encuestas y estudios, probamos funciones en fase de desarrollo y analizamos la información de la que disponemos para evaluar y mejorar los productos y servicios, desarrollar nuevos productos o nuevas funciones y llevar a cabo auditorías y actividades de solución de problemas.

 

Comunicación

Usamos tu información para enviarte mensajes de marketing, darte a conocer nuestros Servicios e informarte acerca de nuestras políticas y condiciones. También usamos tu información para responderte cuando te pones en contacto con nosotros.

 

Mostrar y medir anuncios y servicios.

Usamos la información que tenemos para mejorar nuestros sistemas de publicidad y de medición con el fin de mostrarte anuncios relevantes tanto dentro de nuestros Servicios como fuera de ellos, y para medir la eficacia y el alcance de los anuncios y los servicios. Obtén más información sobre cómo anunciarte en nuestros Servicios y cómo controlar el modo en que se usa tu información para personalizar los anuncios que ves.

 

Fomentar la seguridad y la protección.

La información que tenemos nos ayuda a verificar cuentas y actividades, así como a fomentar la seguridad y la protección tanto dentro de nuestros Servicios como fuera de ellos, por ejemplo, mediante la investigación de actividades sospechosas o de infracciones de nuestras condiciones o políticas. Nos esforzamos por proteger tu cuenta, para lo cual recurrimos a equipos de ingenieros, sistemas automatizados y tecnología avanzada, como el cifrado y el aprendizaje automático. Además, proporcionamos herramientas de seguridad fáciles de usar que incorporan un nivel adicional de protección a tu cuenta.

 

¿CÓMO SE COMPARTE ESTA INFORMACIÓN?

 

Las personas usan nuestros Servicios para conectarse y compartir información con otros usuarios. Para que esto resulte posible, compartimos tu información de las siguientes formas:

 

Cuando te comunicas y compartes información usando nuestros Servicios, eliges el público que puede ver lo que compartes. Por ejemplo, cuando publicas algo en bexperience360, seleccionas el público al que va dirigida la publicación, que puede ser un conjunto concreto de personas, todos tus amigos o los miembros de un grupo. Del mismo modo, cuando usas los mensajes de entrada, también eliges a las personas a las que envías fotos o mensajes.

 

 

 

 

 

Compartir dentro de las empresas de bexperience360:

Compartimos la información que tenemos sobre ti dentro del grupo de empresas que pertenecen a bexperience360.

 

Servicios de publicidad, medición y análisis (solo información que no permita la identificación personal).

Queremos que la publicidad que ves en bexperience360 sea tan relevante e interesante como el resto de la información que encuentras en nuestros Servicios. Por ello, usamos toda la información que tenemos acerca de ti para mostrarte anuncios relevantes. No compartimos información que te identifica de forma personal (es decir, información, como tu nombre o dirección de correo electrónico, que pueda servir para contactarse contigo o revelar tu identidad) con socios que prestan servicios de publicidad, medición o análisis, a menos que nos des tu permiso. Podemos proporcionar a estos socios información acerca del alcance y de la eficacia de su publicidad sin incluir información que te identifique de forma personal, o podemos reunir la información de tal forma que no se te pueda identificar de forma personal. Por ejemplo, podemos comunicar a un anunciante cuál fue la eficacia de sus anuncios o cuántas personas vieron sus anuncios o instalaron una aplicación después de ver un anuncio, o bien podemos proporcionar información demográfica que no permita la identificación personal.

 

Proveedores generales, proveedores de servicios y otros socios.

Transferimos información a proveedores generales, proveedores de servicios y otros socios que nos ayudan a mantener nuestro negocio en todo el mundo, por ejemplo, prestar servicios de infraestructura técnica, analizar el uso que se hace de nuestros Servicios, medir la eficacia de los anuncios y servicios, brindar atención al cliente, facilitar los pagos o realizar investigaciones académicas y encuestas. Estos socios deben cumplir con estrictos requisitos de confidencialidad que se ajustan a esta Política de datos y a los acuerdos que suscribimos con ellos.

 

¿Cómo puedo administrar o eliminar información sobre mí?

Desde el perfil de tu cuenta, en ajustes podrás modificar o eliminar información, así mismo, y acudiendo a la ley de protección de datos 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013; nuestros usuarios pueden dar de baja su información o solicitar cambios en el uso de la información a través de nuestro correo electrónico: servicioalcliente@bexperience360.com

 

 

¿Cómo te notificaremos sobre los cambios que se efectúen en las políticas generales de bexperience360?

Te notificaremos antes de realizar cambios en esta política y te daremos la oportunidad de revisar y comentar las modificaciones antes de seguir usando nuestros Servicios.

 

¿Cuál es nuestra responsabilidad ante tus negociaciones con comercios, relación con miembros de la comunidad o cualquier tipo de relación entre usuarios de la plataforma bexperience360?

BeXperience360 es una marca que conecta personas entre sí y personas con comercios, con el objetivo fundamental de promover el consumo de productos y servicios nacionales a través de las experiencias de consumo; dicho esto, hacemos hincapié en que nuestra función se limita a la conexión por lo tanto no nos hacemos responsables de las interacciones entre usuarios dentro o fuera de la plataforma, sin embargo, si un usuario o comercio presenta inconformidades, solicitudes de quejas o reclamaciones de otro comercio o usuario, bexperience360 se verá en la necesidad de eliminar a las personas que cometan irregularidades, de acuerdo a nuestro manual de cultura Be.

 

Atentamente

 

BeXperiencie360.

 

 

 

 

DECRETO 1377 DE 2013

 

(Junio 27)

 

Por el cual se reglamenta parcialmente la Ley 1581 de 2012

 

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

 

En uso de sus atribuciones constitucionales, y en particular las previstas en el numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581de 2012, y

 

CONSIDERANDO:

 

Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo , tiene por objeto “(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

 

Que la Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia.

 

Que mediante sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de ley Estatutaria número 184 de 2010 Senado, 046 de 2010 Cámara.

 

Que con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012 se deben reglamentar aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales, este último tema referido a la rendición de cuentas.

 

Que en virtud de lo expuesto,

 

DECRETA:

 

CAPÍTULO I

 

Disposiciones Generales

 

Artículo 1°. ObjetoEl presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.

 

Artículo 2°. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2° de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha ley y del presente decreto, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales.

 

Artículo 3°. Definiciones. Además de las definiciones establecidas en el artículo 3° de la Ley 1581 de 2012, para los efectos del presente decreto se entenderá por:

 

  1. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

 

  1. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

 

  1. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

 

  1. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

 

  1. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

 

CAPÍTULO II

 

Autorización

 

Artículo 4°. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular

 

A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.

 

No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.

 

Artículo 5°. AutorizaciónEl Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

 

Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

 

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.

 

Artículo 6°. De la autorización para el Tratamiento de datos personales sensiblesEl Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley.

 

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

 

  1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

 

  1. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

 

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

 

Artículo 7°. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

 

Artículo 8°. Prueba de la autorización. Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

 

Artículo 9°. Revocatoria de la autorización y/o supresión del datoLos Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presen­tación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.

 

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

 

El responsable y el encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

 

Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.

 

Artículo 10. Datos recolectados antes de la expedición del presente decreto. Para los datos recolectados antes de la expedición del presente decreto, se tendrá en cuenta lo siguiente:

 

  1. Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 7° anterior, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.

 

  1. Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.

 

  1. Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.

 

Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno do comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.

 

A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.

 

  1. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.

 

  1. En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581de 2012 y el presente decreto. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.

 

Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del presente decreto.

 

Artículo 11. Limitaciones temporales al Tratamiento de los datos personalesLos Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado de­berán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.

 

Los responsables y encargados del tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.

 

Artículo 12. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentesEl Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

 

  1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

 

  1. Que se asegure el respeto de sus derechos fundamentales.

 

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

 

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente decreto.

 

La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO III

 

Políticas de Tratamiento

 

Artículo 13. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.

 

Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:

 

  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

 

  1. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.

 

  1. Derechos que le asisten como Titular.

 

  1. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

 

  1. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

 

  1. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

 

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.

 

Artículo 14. Aviso de privacidadEn los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.

 

Artículo 15. Contenido mínimo del Aviso de Privacidad. El aviso de privacidad, como mínimo, deberá contener la siguiente información:

 

  1. Nombre o razón social y datos de contacto del responsable del tratamiento.

 

  1. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

 

  1. Los derechos que le asisten al titular.

 

  1. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.

 

No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

 

En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este decreto.

 

Artículo 16. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la informaciónLos Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.

 

Artículo 17. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

 

Artículo 18. Procedimientos para el adecuado tratamiento de los datos personalesLos procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.

 

Artículo 19. Medidas de seguridad. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con as medidas de seguridad en el Tratamiento de datos personales.

 

CAPÍTULO IV

 

Ejercicio de los derechos de los titulares

 

Artículo 20. Legitimación para el ejercicio de los derechos del titularLos derechos de los Titulares establecidos en la Ley, podrán ejercerse por las siguientes personas:

 

  1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

 

  1. Por sus causahabientes, quienes deberán acreditar tal calidad.

 

  1. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

 

  1. Por estipulación a favor de otro o para otro.

 

Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

 

Artículo 21. Del derecho de acceso. Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos.

 

El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas.

 

Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el responsable solo podrá cobrar al titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, el responsable deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos.

 

Artículo 22. Del derecho de actualización, rectificación y supresión. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

 

Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO V

 

Transferencias y transmisiones internacionales de datos personales

 

Artículo 24. De la transferencia y transmisión internacional de datos personalesPara la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas:

 

  1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26de la Ley 1581 de 2012.

 

  1. Las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente.

 

Artículo 25. Contrato de transmisión de datos personalesEl contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable.

 

Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.

 

Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

 

  1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.

 

  1. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

 

  1. Guardar confidencialidad respecto del tratamiento de los datos personales.

 

CAPÍTULO VI

 

Responsabilidad demostrada frente al tratamiento de datos personales

 

Artículo 26. Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:

 

  1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.

 

  1. La naturaleza de los datos personales objeto del tratamiento.

 

  1. El tipo de Tratamiento.

 

  1. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:

 

Artículo 27. Políticas internas efectivasEn cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:

 

  1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581de 2012 y este decreto.

 

  1. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

 

  1. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.

 

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.

 

Artículo 28. Vigencia y derogatoriasEl presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que le sean contrarias.

 

PUBLÍQUESE Y CÚMPLASE.

 

Dado en Bogotá, D.C., a los 27 días del mes de junio de 2013

 

JUAN MANUEL SANTOS CALDERÓN

 

El Ministro de Comercio, Industria y Turismo

 

SERGIO DÍAZ-GRANADOS GUIDA

 

El Ministro de Tecnologías de la Información y las Comunicaciones 

 

 

PROTECCIÓN DE DATOS

PROTECCIÓN DE DATOS PERSONALES, EN CUMPLIMIENTO DE LO DISPUESTO EN LA LEY 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013.

Estimado Cliente:

Bexperience360 cuenta con su base de datos con información previamente suministrada por usted, la cual ha sido recolectada para el desarrollo de nuestro objetivo social, la cual usted es considerado como nuestro Cliente. Con ocasión de la entrada de vigencia del decreto 1377 de 2013 reglamentario de la Ley Estatutaria 1581 del 2012, “Por la cual se dictan las disposiciones generales para la protección de datos personales”, requerimos su autorización para el tratamiento de sus datos personales, según lo dispone el artículo 9° de la mencionada ley.

Según nuestras políticas de tratamiento de datos personales, los mecanismos a través de los cuales hacemos uso de estos son seguros y confidenciales, pues contamos con los medios tecnológicos idóneos para asegurar que son almacenados de manera tal que se impida el acceso indeseado por parte de terceras personas, y en ese mismo orden aseguramos la confidencialidad de los mismos.

De acuerdo con lo anterior, si está interesado en seguir recibiendo nuestra información, le confirmamos que usted puede ejercer sus derechos a conocer, actualizar, rectificar y solicitar la suspensión de sus datos personales en cualquier momento. De aceptar la presente opción, sus datos personales se incluirán en nuestra base de datos y serán utilizados para:

  • Lograr una eficiente comunicación relacionada con nuestros productos, servicios, ofertas, promociones, alianzas, estudios, concursos, contenidos, así como para facilitarle el acceso general o la información de estos.
  • Anunciar nuestros nuevos productos y/o servicios.
  • Dar cumplimiento a obligaciones controladas con nuestros clientes, proveedores, y empleados.
  • Informar sobre cambios de nuestros productos, servicios y/o horarios.
  • Actualizar los datos suministrados por usted a través de diferentes medios de comunicación.
  • Evaluar la calidad de nuestros productos y/o servicios.
  • Entregar su información a quien BeXperience360 considere necesario para hacer efectivas las promociones o los servicios de publicidad que se acuerden.

Sin embargo – y siguiendo lo dispuesto en el numeral 4 del artículo 10 del Decreto 1377 DE 2013 – si en el término de treinta (30) días hábiles contando a partir de la publicación de esta comunicación, el titular de los datos personales recolectados por Bexperience360, hasta el día de hoy o alguna de las personas mencionadas en el artículo 20 del Decreto 1377 de 2013, no ha contactado a la entidad a fin de solicitar la suspensión de los datos personales del titular de nuestros registros, Bexperience360 podrá seguir tratándolos, sin perjuicio de la facultad que tienen estos individuos de ejercer en cualquier momento su derecho a pedir la eliminación de los datos del titular de nuestros archivos. Los titulares de datos personales y/o las personas enumeradas en el artículo 20 del Decreto 1377 de 2013, podrán solicitar la supresión de los datos personales del titular de nuestros registros y/o revocar la autorización otorgada para el tratamiento de los mismos por parte de Bexperience360 mediante la presentación de un reclamo, de acuerdo con lo establecido en los artículos 15 de la Ley 1581 de 2012 y 9 del decreto 1377 de 2013.

Por lo tanto, si usted no desea recibir nuestra información, le solicitamos contactarnos para retirarlo de nuestra base de datos, a través del correo electrónico: servicioalcliente@bexperience360.com

Para más información al respecto, puede comunicarse con el Departamento de Mercadeo al siguiente correo:  servicioalcliente@bexperience360.com  .

POLÍTICA DE DATOS BEXPERIENCE360

 

Te agradecemos por suscribirte a nuestra comunidad digital; como parte de nuestra responsabilidad en manejo adecuado de tu información, creamos este espacio en donde te contamos el tipo de información que utilizamos de tu perfil y las maneras en que será utilizada por parte de Bexperience360.

 

¿QUÉ TIPO DE INFORMACIÓN RECOPILAMOS?

 

Recopilamos diferente información desde tu perfil, el cual fue diligenciado por ti mismo y en donde nos confirmas el uso de la misma.

 

Información básica en el caso de personas que buscan experiencias:

Recopilamos información básica con el objeto de optimizar las experiencias de nuestros usuarios y de poder entregar servicios completos conforme al objeto principal de uso de nuestra plataforma.

Nombre y apellido, Fecha de Cumpleaños, Ciudad, Género, Celular, Profesión, Descripción básica de actividades y de tu personalidad.

 

Información básica en el caso de Comercios:

Recopilamos información básica de nuestros comercios para entregar un mejor servicio y poder apoyar de manera positiva sus emprendimientos.

 

Nombre del comercio, Sector en el que se encuentra, Ciudad, Número de contacto, Dirección Física – Si tiene, RRSS – Si tiene, Web – Si tiene, Publicar fotos del producto, servicio o establecimiento, Breve descripción, Indicar “La experiencia”.

 

Tus acciones y la información que proporcionas.

Recopilamos el contenido y otros datos que proporcionas cuando usas nuestros Servicios, por ejemplo, al abrir una cuenta, al crear o compartir contenido, y al enviar mensajes o al comunicarte con otras personas. La información puede corresponder a datos incluidos en el contenido que proporcionas o relacionados con este, como el lugar donde se tomó una foto o la fecha de creación de un archivo. También recopilamos información sobre el modo en que usas los Servicios, por ejemplo, el tipo de contenido que ves o con el que interactúas, o la frecuencia y la duración de tus actividades.

 

Las acciones de otras personas y la información que proporcionan.

También recopilamos el contenido y la información que otras personas proporcionan cuando usan nuestros Servicios y que puede incluir datos sobre ti, por ejemplo, cuando alguien comparte una foto en la que apareces, te envía un mensaje o sube, sincroniza o importa tu información de contacto.

 

Tus redes y conexiones.

Recopilamos información sobre las personas y los grupos con los que estás conectado y sobre el modo en que interactúas con ellos, por ejemplo, las personas con las que más te comunicas o los grupos con los que te gusta compartir contenido. También recopilamos la información de contacto que proporcionas si subes, sincronizas o importas estos datos (por ejemplo, una libreta de direcciones) desde un dispositivo.

 

Información sobre pagos.

Si usas nuestros Servicios para efectuar compras o transacciones financieras (por ejemplo, cuando compras algo en bexperience360, realizas una compra en un juego o haces una donación), recopilamos datos sobre dicha compra o transacción. Estos datos incluyen información de pago, como el número de tu tarjeta de crédito o débito y otra información sobre la tarjeta, así como otros datos sobre la cuenta y la autenticación, además de detalles de facturación, envío y contacto.

 

¿CÓMO USAMOS ESTA INFORMACIÓN?

 

Nos apasiona crear experiencias atractivas y personalizadas para las personas. Usamos toda la información que tenemos para poder ofrecer nuestros Servicios y mantenerlos. Esto es lo que hacemos:

 

Lo que nos permite ofrecerte nuestros Servicios, personalizar el contenido y proporcionarte sugerencias es el uso que hacemos de esta información. Nos permite comprender cómo usas nuestros Servicios e interactúas con ellos y las personas o las cosas con las que estás conectado y en las que te interesas, tanto dentro de nuestros Servicios como fuera de ellos.

 

Cuando disponemos de datos de ubicación, los usamos para personalizar nuestros Servicios para cada persona, por ejemplo, para ayudarte a registrar una visita y encontrar eventos locales u ofertas en tu zona, o bien para avisarles a tus amigos que te encuentras cerca.

 

Realizamos encuestas y estudios, probamos funciones en fase de desarrollo y analizamos la información de la que disponemos para evaluar y mejorar los productos y servicios, desarrollar nuevos productos o nuevas funciones y llevar a cabo auditorías y actividades de solución de problemas.

 

Comunicación

Usamos tu información para enviarte mensajes de marketing, darte a conocer nuestros Servicios e informarte acerca de nuestras políticas y condiciones. También usamos tu información para responderte cuando te pones en contacto con nosotros.

 

Mostrar y medir anuncios y servicios.

Usamos la información que tenemos para mejorar nuestros sistemas de publicidad y de medición con el fin de mostrarte anuncios relevantes tanto dentro de nuestros Servicios como fuera de ellos, y para medir la eficacia y el alcance de los anuncios y los servicios. Obtén más información sobre cómo anunciarte en nuestros Servicios y cómo controlar el modo en que se usa tu información para personalizar los anuncios que ves.

 

Fomentar la seguridad y la protección.

La información que tenemos nos ayuda a verificar cuentas y actividades, así como a fomentar la seguridad y la protección tanto dentro de nuestros Servicios como fuera de ellos, por ejemplo, mediante la investigación de actividades sospechosas o de infracciones de nuestras condiciones o políticas. Nos esforzamos por proteger tu cuenta, para lo cual recurrimos a equipos de ingenieros, sistemas automatizados y tecnología avanzada, como el cifrado y el aprendizaje automático. Además, proporcionamos herramientas de seguridad fáciles de usar que incorporan un nivel adicional de protección a tu cuenta.

 

¿CÓMO SE COMPARTE ESTA INFORMACIÓN?

 

Las personas usan nuestros Servicios para conectarse y compartir información con otros usuarios. Para que esto resulte posible, compartimos tu información de las siguientes formas:

 

Cuando te comunicas y compartes información usando nuestros Servicios, eliges el público que puede ver lo que compartes. Por ejemplo, cuando publicas algo en bexperience360, seleccionas el público al que va dirigida la publicación, que puede ser un conjunto concreto de personas, todos tus amigos o los miembros de un grupo. Del mismo modo, cuando usas los mensajes de entrada, también eliges a las personas a las que envías fotos o mensajes.

 

 

 

 

 

Compartir dentro de las empresas de bexperience360:

Compartimos la información que tenemos sobre ti dentro del grupo de empresas que pertenecen a bexperience360.

 

Servicios de publicidad, medición y análisis (solo información que no permita la identificación personal).

Queremos que la publicidad que ves en bexperience360 sea tan relevante e interesante como el resto de la información que encuentras en nuestros Servicios. Por ello, usamos toda la información que tenemos acerca de ti para mostrarte anuncios relevantes. No compartimos información que te identifica de forma personal (es decir, información, como tu nombre o dirección de correo electrónico, que pueda servir para contactarse contigo o revelar tu identidad) con socios que prestan servicios de publicidad, medición o análisis, a menos que nos des tu permiso. Podemos proporcionar a estos socios información acerca del alcance y de la eficacia de su publicidad sin incluir información que te identifique de forma personal, o podemos reunir la información de tal forma que no se te pueda identificar de forma personal. Por ejemplo, podemos comunicar a un anunciante cuál fue la eficacia de sus anuncios o cuántas personas vieron sus anuncios o instalaron una aplicación después de ver un anuncio, o bien podemos proporcionar información demográfica que no permita la identificación personal.

 

Proveedores generales, proveedores de servicios y otros socios.

Transferimos información a proveedores generales, proveedores de servicios y otros socios que nos ayudan a mantener nuestro negocio en todo el mundo, por ejemplo, prestar servicios de infraestructura técnica, analizar el uso que se hace de nuestros Servicios, medir la eficacia de los anuncios y servicios, brindar atención al cliente, facilitar los pagos o realizar investigaciones académicas y encuestas. Estos socios deben cumplir con estrictos requisitos de confidencialidad que se ajustan a esta Política de datos y a los acuerdos que suscribimos con ellos.

 

¿Cómo puedo administrar o eliminar información sobre mí?

Desde el perfil de tu cuenta, en ajustes podrás modificar o eliminar información, así mismo, y acudiendo a la ley de protección de datos 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013; nuestros usuarios pueden dar de baja su información o solicitar cambios en el uso de la información a través de nuestro correo electrónico: servicioalcliente@bexperience360.com

 

 

¿Cómo te notificaremos sobre los cambios que se efectúen en las políticas generales de bexperience360?

Te notificaremos antes de realizar cambios en esta política y te daremos la oportunidad de revisar y comentar las modificaciones antes de seguir usando nuestros Servicios.

 

¿Cuál es nuestra responsabilidad ante tus negociaciones con comercios, relación con miembros de la comunidad o cualquier tipo de relación entre usuarios de la plataforma bexperience360?

BeXperience360 es una marca que conecta personas entre sí y personas con comercios, con el objetivo fundamental de promover el consumo de productos y servicios nacionales a través de las experiencias de consumo; dicho esto, hacemos hincapié en que nuestra función se limita a la conexión por lo tanto no nos hacemos responsables de las interacciones entre usuarios dentro o fuera de la plataforma, sin embargo, si un usuario o comercio presenta inconformidades, solicitudes de quejas o reclamaciones de otro comercio o usuario, bexperience360 se verá en la necesidad de eliminar a las personas que cometan irregularidades, de acuerdo a nuestro manual de cultura Be.

 

Atentamente

 

BeXperiencie360.

 

 

 

 

DECRETO 1377 DE 2013

 

(Junio 27)

 

Por el cual se reglamenta parcialmente la Ley 1581 de 2012

 

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

 

En uso de sus atribuciones constitucionales, y en particular las previstas en el numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581de 2012, y

 

CONSIDERANDO:

 

Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo , tiene por objeto “(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

 

Que la Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia.

 

Que mediante sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de ley Estatutaria número 184 de 2010 Senado, 046 de 2010 Cámara.

 

Que con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012 se deben reglamentar aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales, este último tema referido a la rendición de cuentas.

 

Que en virtud de lo expuesto,

 

DECRETA:

 

CAPÍTULO I

 

Disposiciones Generales

 

Artículo 1°. ObjetoEl presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.

 

Artículo 2°. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2° de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha ley y del presente decreto, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales.

 

Artículo 3°. Definiciones. Además de las definiciones establecidas en el artículo 3° de la Ley 1581 de 2012, para los efectos del presente decreto se entenderá por:

 

  1. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

 

  1. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

 

  1. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

 

  1. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

 

  1. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

 

CAPÍTULO II

 

Autorización

 

Artículo 4°. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular

 

A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.

 

No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.

 

Artículo 5°. AutorizaciónEl Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

 

Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

 

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.

 

Artículo 6°. De la autorización para el Tratamiento de datos personales sensiblesEl Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley.

 

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

 

  1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

 

  1. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

 

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

 

Artículo 7°. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

 

Artículo 8°. Prueba de la autorización. Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

 

Artículo 9°. Revocatoria de la autorización y/o supresión del datoLos Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presen­tación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.

 

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

 

El responsable y el encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

 

Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.

 

Artículo 10. Datos recolectados antes de la expedición del presente decreto. Para los datos recolectados antes de la expedición del presente decreto, se tendrá en cuenta lo siguiente:

 

  1. Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 7° anterior, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.

 

  1. Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.

 

  1. Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.

 

Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno do comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.

 

A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.

 

  1. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.

 

  1. En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581de 2012 y el presente decreto. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.

 

Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del presente decreto.

 

Artículo 11. Limitaciones temporales al Tratamiento de los datos personalesLos Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado de­berán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.

 

Los responsables y encargados del tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.

 

Artículo 12. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentesEl Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

 

  1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

 

  1. Que se asegure el respeto de sus derechos fundamentales.

 

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

 

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente decreto.

 

La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO III

 

Políticas de Tratamiento

 

Artículo 13. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.

 

Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:

 

  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

 

  1. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.

 

  1. Derechos que le asisten como Titular.

 

  1. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

 

  1. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

 

  1. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

 

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.

 

Artículo 14. Aviso de privacidadEn los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.

 

Artículo 15. Contenido mínimo del Aviso de Privacidad. El aviso de privacidad, como mínimo, deberá contener la siguiente información:

 

  1. Nombre o razón social y datos de contacto del responsable del tratamiento.

 

  1. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

 

  1. Los derechos que le asisten al titular.

 

  1. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.

 

No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

 

En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este decreto.

 

Artículo 16. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la informaciónLos Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.

 

Artículo 17. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

 

Artículo 18. Procedimientos para el adecuado tratamiento de los datos personalesLos procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.

 

Artículo 19. Medidas de seguridad. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con as medidas de seguridad en el Tratamiento de datos personales.

 

CAPÍTULO IV

 

Ejercicio de los derechos de los titulares

 

Artículo 20. Legitimación para el ejercicio de los derechos del titularLos derechos de los Titulares establecidos en la Ley, podrán ejercerse por las siguientes personas:

 

  1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

 

  1. Por sus causahabientes, quienes deberán acreditar tal calidad.

 

  1. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

 

  1. Por estipulación a favor de otro o para otro.

 

Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

 

Artículo 21. Del derecho de acceso. Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos.

 

El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas.

 

Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el responsable solo podrá cobrar al titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, el responsable deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos.

 

Artículo 22. Del derecho de actualización, rectificación y supresión. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

 

Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO V

 

Transferencias y transmisiones internacionales de datos personales

 

Artículo 24. De la transferencia y transmisión internacional de datos personalesPara la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas:

 

  1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26de la Ley 1581 de 2012.

 

  1. Las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente.

 

Artículo 25. Contrato de transmisión de datos personalesEl contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable.

 

Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.

 

Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

 

  1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.

 

  1. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

 

  1. Guardar confidencialidad respecto del tratamiento de los datos personales.

 

CAPÍTULO VI

 

Responsabilidad demostrada frente al tratamiento de datos personales

 

Artículo 26. Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:

 

  1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.

 

  1. La naturaleza de los datos personales objeto del tratamiento.

 

  1. El tipo de Tratamiento.

 

  1. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:

 

Artículo 27. Políticas internas efectivasEn cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:

 

  1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581de 2012 y este decreto.

 

  1. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

 

  1. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.

 

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.

 

Artículo 28. Vigencia y derogatoriasEl presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que le sean contrarias.

 

PUBLÍQUESE Y CÚMPLASE.

 

Dado en Bogotá, D.C., a los 27 días del mes de junio de 2013

 

JUAN MANUEL SANTOS CALDERÓN

 

El Ministro de Comercio, Industria y Turismo

 

SERGIO DÍAZ-GRANADOS GUIDA

 

El Ministro de Tecnologías de la Información y las Comunicaciones 

 

 

PROTECCIÓN DE DATOS

PROTECCIÓN DE DATOS PERSONALES, EN CUMPLIMIENTO DE LO DISPUESTO EN LA LEY 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013.

Estimado Cliente:

Bexperience360 cuenta con su base de datos con información previamente suministrada por usted, la cual ha sido recolectada para el desarrollo de nuestro objetivo social, la cual usted es considerado como nuestro Cliente. Con ocasión de la entrada de vigencia del decreto 1377 de 2013 reglamentario de la Ley Estatutaria 1581 del 2012, “Por la cual se dictan las disposiciones generales para la protección de datos personales”, requerimos su autorización para el tratamiento de sus datos personales, según lo dispone el artículo 9° de la mencionada ley.

Según nuestras políticas de tratamiento de datos personales, los mecanismos a través de los cuales hacemos uso de estos son seguros y confidenciales, pues contamos con los medios tecnológicos idóneos para asegurar que son almacenados de manera tal que se impida el acceso indeseado por parte de terceras personas, y en ese mismo orden aseguramos la confidencialidad de los mismos.

De acuerdo con lo anterior, si está interesado en seguir recibiendo nuestra información, le confirmamos que usted puede ejercer sus derechos a conocer, actualizar, rectificar y solicitar la suspensión de sus datos personales en cualquier momento. De aceptar la presente opción, sus datos personales se incluirán en nuestra base de datos y serán utilizados para:

  • Lograr una eficiente comunicación relacionada con nuestros productos, servicios, ofertas, promociones, alianzas, estudios, concursos, contenidos, así como para facilitarle el acceso general o la información de estos.
  • Anunciar nuestros nuevos productos y/o servicios.
  • Dar cumplimiento a obligaciones controladas con nuestros clientes, proveedores, y empleados.
  • Informar sobre cambios de nuestros productos, servicios y/o horarios.
  • Actualizar los datos suministrados por usted a través de diferentes medios de comunicación.
  • Evaluar la calidad de nuestros productos y/o servicios.
  • Entregar su información a quien BeXperience360 considere necesario para hacer efectivas las promociones o los servicios de publicidad que se acuerden.

Sin embargo – y siguiendo lo dispuesto en el numeral 4 del artículo 10 del Decreto 1377 DE 2013 – si en el término de treinta (30) días hábiles contando a partir de la publicación de esta comunicación, el titular de los datos personales recolectados por Bexperience360, hasta el día de hoy o alguna de las personas mencionadas en el artículo 20 del Decreto 1377 de 2013, no ha contactado a la entidad a fin de solicitar la suspensión de los datos personales del titular de nuestros registros, Bexperience360 podrá seguir tratándolos, sin perjuicio de la facultad que tienen estos individuos de ejercer en cualquier momento su derecho a pedir la eliminación de los datos del titular de nuestros archivos. Los titulares de datos personales y/o las personas enumeradas en el artículo 20 del Decreto 1377 de 2013, podrán solicitar la supresión de los datos personales del titular de nuestros registros y/o revocar la autorización otorgada para el tratamiento de los mismos por parte de Bexperience360 mediante la presentación de un reclamo, de acuerdo con lo establecido en los artículos 15 de la Ley 1581 de 2012 y 9 del decreto 1377 de 2013.

Por lo tanto, si usted no desea recibir nuestra información, le solicitamos contactarnos para retirarlo de nuestra base de datos, a través del correo electrónico: servicioalcliente@bexperience360.com

Para más información al respecto, puede comunicarse con el Departamento de Mercadeo al siguiente correo:  servicioalcliente@bexperience360.com  .

POLÍTICA DE DATOS BEXPERIENCE360

 

Te agradecemos por suscribirte a nuestra comunidad digital; como parte de nuestra responsabilidad en manejo adecuado de tu información, creamos este espacio en donde te contamos el tipo de información que utilizamos de tu perfil y las maneras en que será utilizada por parte de Bexperience360.

 

¿QUÉ TIPO DE INFORMACIÓN RECOPILAMOS?

 

Recopilamos diferente información desde tu perfil, el cual fue diligenciado por ti mismo y en donde nos confirmas el uso de la misma.

 

Información básica en el caso de personas que buscan experiencias:

Recopilamos información básica con el objeto de optimizar las experiencias de nuestros usuarios y de poder entregar servicios completos conforme al objeto principal de uso de nuestra plataforma.

Nombre y apellido, Fecha de Cumpleaños, Ciudad, Género, Celular, Profesión, Descripción básica de actividades y de tu personalidad.

 

Información básica en el caso de Comercios:

Recopilamos información básica de nuestros comercios para entregar un mejor servicio y poder apoyar de manera positiva sus emprendimientos.

 

Nombre del comercio, Sector en el que se encuentra, Ciudad, Número de contacto, Dirección Física – Si tiene, RRSS – Si tiene, Web – Si tiene, Publicar fotos del producto, servicio o establecimiento, Breve descripción, Indicar “La experiencia”.

 

Tus acciones y la información que proporcionas.

Recopilamos el contenido y otros datos que proporcionas cuando usas nuestros Servicios, por ejemplo, al abrir una cuenta, al crear o compartir contenido, y al enviar mensajes o al comunicarte con otras personas. La información puede corresponder a datos incluidos en el contenido que proporcionas o relacionados con este, como el lugar donde se tomó una foto o la fecha de creación de un archivo. También recopilamos información sobre el modo en que usas los Servicios, por ejemplo, el tipo de contenido que ves o con el que interactúas, o la frecuencia y la duración de tus actividades.

 

Las acciones de otras personas y la información que proporcionan.

También recopilamos el contenido y la información que otras personas proporcionan cuando usan nuestros Servicios y que puede incluir datos sobre ti, por ejemplo, cuando alguien comparte una foto en la que apareces, te envía un mensaje o sube, sincroniza o importa tu información de contacto.

 

Tus redes y conexiones.

Recopilamos información sobre las personas y los grupos con los que estás conectado y sobre el modo en que interactúas con ellos, por ejemplo, las personas con las que más te comunicas o los grupos con los que te gusta compartir contenido. También recopilamos la información de contacto que proporcionas si subes, sincronizas o importas estos datos (por ejemplo, una libreta de direcciones) desde un dispositivo.

 

Información sobre pagos.

Si usas nuestros Servicios para efectuar compras o transacciones financieras (por ejemplo, cuando compras algo en bexperience360, realizas una compra en un juego o haces una donación), recopilamos datos sobre dicha compra o transacción. Estos datos incluyen información de pago, como el número de tu tarjeta de crédito o débito y otra información sobre la tarjeta, así como otros datos sobre la cuenta y la autenticación, además de detalles de facturación, envío y contacto.

 

¿CÓMO USAMOS ESTA INFORMACIÓN?

 

Nos apasiona crear experiencias atractivas y personalizadas para las personas. Usamos toda la información que tenemos para poder ofrecer nuestros Servicios y mantenerlos. Esto es lo que hacemos:

 

Lo que nos permite ofrecerte nuestros Servicios, personalizar el contenido y proporcionarte sugerencias es el uso que hacemos de esta información. Nos permite comprender cómo usas nuestros Servicios e interactúas con ellos y las personas o las cosas con las que estás conectado y en las que te interesas, tanto dentro de nuestros Servicios como fuera de ellos.

 

Cuando disponemos de datos de ubicación, los usamos para personalizar nuestros Servicios para cada persona, por ejemplo, para ayudarte a registrar una visita y encontrar eventos locales u ofertas en tu zona, o bien para avisarles a tus amigos que te encuentras cerca.

 

Realizamos encuestas y estudios, probamos funciones en fase de desarrollo y analizamos la información de la que disponemos para evaluar y mejorar los productos y servicios, desarrollar nuevos productos o nuevas funciones y llevar a cabo auditorías y actividades de solución de problemas.

 

Comunicación

Usamos tu información para enviarte mensajes de marketing, darte a conocer nuestros Servicios e informarte acerca de nuestras políticas y condiciones. También usamos tu información para responderte cuando te pones en contacto con nosotros.

 

Mostrar y medir anuncios y servicios.

Usamos la información que tenemos para mejorar nuestros sistemas de publicidad y de medición con el fin de mostrarte anuncios relevantes tanto dentro de nuestros Servicios como fuera de ellos, y para medir la eficacia y el alcance de los anuncios y los servicios. Obtén más información sobre cómo anunciarte en nuestros Servicios y cómo controlar el modo en que se usa tu información para personalizar los anuncios que ves.

 

Fomentar la seguridad y la protección.

La información que tenemos nos ayuda a verificar cuentas y actividades, así como a fomentar la seguridad y la protección tanto dentro de nuestros Servicios como fuera de ellos, por ejemplo, mediante la investigación de actividades sospechosas o de infracciones de nuestras condiciones o políticas. Nos esforzamos por proteger tu cuenta, para lo cual recurrimos a equipos de ingenieros, sistemas automatizados y tecnología avanzada, como el cifrado y el aprendizaje automático. Además, proporcionamos herramientas de seguridad fáciles de usar que incorporan un nivel adicional de protección a tu cuenta.

 

¿CÓMO SE COMPARTE ESTA INFORMACIÓN?

 

Las personas usan nuestros Servicios para conectarse y compartir información con otros usuarios. Para que esto resulte posible, compartimos tu información de las siguientes formas:

 

Cuando te comunicas y compartes información usando nuestros Servicios, eliges el público que puede ver lo que compartes. Por ejemplo, cuando publicas algo en bexperience360, seleccionas el público al que va dirigida la publicación, que puede ser un conjunto concreto de personas, todos tus amigos o los miembros de un grupo. Del mismo modo, cuando usas los mensajes de entrada, también eliges a las personas a las que envías fotos o mensajes.

 

 

 

 

 

Compartir dentro de las empresas de bexperience360:

Compartimos la información que tenemos sobre ti dentro del grupo de empresas que pertenecen a bexperience360.

 

Servicios de publicidad, medición y análisis (solo información que no permita la identificación personal).

Queremos que la publicidad que ves en bexperience360 sea tan relevante e interesante como el resto de la información que encuentras en nuestros Servicios. Por ello, usamos toda la información que tenemos acerca de ti para mostrarte anuncios relevantes. No compartimos información que te identifica de forma personal (es decir, información, como tu nombre o dirección de correo electrónico, que pueda servir para contactarse contigo o revelar tu identidad) con socios que prestan servicios de publicidad, medición o análisis, a menos que nos des tu permiso. Podemos proporcionar a estos socios información acerca del alcance y de la eficacia de su publicidad sin incluir información que te identifique de forma personal, o podemos reunir la información de tal forma que no se te pueda identificar de forma personal. Por ejemplo, podemos comunicar a un anunciante cuál fue la eficacia de sus anuncios o cuántas personas vieron sus anuncios o instalaron una aplicación después de ver un anuncio, o bien podemos proporcionar información demográfica que no permita la identificación personal.

 

Proveedores generales, proveedores de servicios y otros socios.

Transferimos información a proveedores generales, proveedores de servicios y otros socios que nos ayudan a mantener nuestro negocio en todo el mundo, por ejemplo, prestar servicios de infraestructura técnica, analizar el uso que se hace de nuestros Servicios, medir la eficacia de los anuncios y servicios, brindar atención al cliente, facilitar los pagos o realizar investigaciones académicas y encuestas. Estos socios deben cumplir con estrictos requisitos de confidencialidad que se ajustan a esta Política de datos y a los acuerdos que suscribimos con ellos.

 

¿Cómo puedo administrar o eliminar información sobre mí?

Desde el perfil de tu cuenta, en ajustes podrás modificar o eliminar información, así mismo, y acudiendo a la ley de protección de datos 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013; nuestros usuarios pueden dar de baja su información o solicitar cambios en el uso de la información a través de nuestro correo electrónico: servicioalcliente@bexperience360.com

 

 

¿Cómo te notificaremos sobre los cambios que se efectúen en las políticas generales de bexperience360?

Te notificaremos antes de realizar cambios en esta política y te daremos la oportunidad de revisar y comentar las modificaciones antes de seguir usando nuestros Servicios.

 

¿Cuál es nuestra responsabilidad ante tus negociaciones con comercios, relación con miembros de la comunidad o cualquier tipo de relación entre usuarios de la plataforma bexperience360?

BeXperience360 es una marca que conecta personas entre sí y personas con comercios, con el objetivo fundamental de promover el consumo de productos y servicios nacionales a través de las experiencias de consumo; dicho esto, hacemos hincapié en que nuestra función se limita a la conexión por lo tanto no nos hacemos responsables de las interacciones entre usuarios dentro o fuera de la plataforma, sin embargo, si un usuario o comercio presenta inconformidades, solicitudes de quejas o reclamaciones de otro comercio o usuario, bexperience360 se verá en la necesidad de eliminar a las personas que cometan irregularidades, de acuerdo a nuestro manual de cultura Be.

 

Atentamente

 

BeXperiencie360.

 

 

 

 

DECRETO 1377 DE 2013

 

(Junio 27)

 

Por el cual se reglamenta parcialmente la Ley 1581 de 2012

 

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

 

En uso de sus atribuciones constitucionales, y en particular las previstas en el numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581de 2012, y

 

CONSIDERANDO:

 

Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo , tiene por objeto “(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

 

Que la Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia.

 

Que mediante sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de ley Estatutaria número 184 de 2010 Senado, 046 de 2010 Cámara.

 

Que con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012 se deben reglamentar aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales, este último tema referido a la rendición de cuentas.

 

Que en virtud de lo expuesto,

 

DECRETA:

 

CAPÍTULO I

 

Disposiciones Generales

 

Artículo 1°. ObjetoEl presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.

 

Artículo 2°. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2° de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha ley y del presente decreto, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales.

 

Artículo 3°. Definiciones. Además de las definiciones establecidas en el artículo 3° de la Ley 1581 de 2012, para los efectos del presente decreto se entenderá por:

 

  1. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

 

  1. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

 

  1. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

 

  1. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

 

  1. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

 

CAPÍTULO II

 

Autorización

 

Artículo 4°. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular

 

A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.

 

No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.

 

Artículo 5°. AutorizaciónEl Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

 

Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

 

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.

 

Artículo 6°. De la autorización para el Tratamiento de datos personales sensiblesEl Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley.

 

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

 

  1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

 

  1. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

 

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

 

Artículo 7°. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

 

Artículo 8°. Prueba de la autorización. Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

 

Artículo 9°. Revocatoria de la autorización y/o supresión del datoLos Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presen­tación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.

 

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

 

El responsable y el encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

 

Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.

 

Artículo 10. Datos recolectados antes de la expedición del presente decreto. Para los datos recolectados antes de la expedición del presente decreto, se tendrá en cuenta lo siguiente:

 

  1. Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 7° anterior, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.

 

  1. Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.

 

  1. Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.

 

Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno do comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.

 

A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.

 

  1. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.

 

  1. En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581de 2012 y el presente decreto. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.

 

Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del presente decreto.

 

Artículo 11. Limitaciones temporales al Tratamiento de los datos personalesLos Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado de­berán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.

 

Los responsables y encargados del tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.

 

Artículo 12. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentesEl Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

 

  1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

 

  1. Que se asegure el respeto de sus derechos fundamentales.

 

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

 

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente decreto.

 

La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO III

 

Políticas de Tratamiento

 

Artículo 13. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.

 

Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:

 

  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

 

  1. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.

 

  1. Derechos que le asisten como Titular.

 

  1. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

 

  1. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

 

  1. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

 

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.

 

Artículo 14. Aviso de privacidadEn los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.

 

Artículo 15. Contenido mínimo del Aviso de Privacidad. El aviso de privacidad, como mínimo, deberá contener la siguiente información:

 

  1. Nombre o razón social y datos de contacto del responsable del tratamiento.

 

  1. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

 

  1. Los derechos que le asisten al titular.

 

  1. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.

 

No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

 

En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este decreto.

 

Artículo 16. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la informaciónLos Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.

 

Artículo 17. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

 

Artículo 18. Procedimientos para el adecuado tratamiento de los datos personalesLos procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.

 

Artículo 19. Medidas de seguridad. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con as medidas de seguridad en el Tratamiento de datos personales.

 

CAPÍTULO IV

 

Ejercicio de los derechos de los titulares

 

Artículo 20. Legitimación para el ejercicio de los derechos del titularLos derechos de los Titulares establecidos en la Ley, podrán ejercerse por las siguientes personas:

 

  1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

 

  1. Por sus causahabientes, quienes deberán acreditar tal calidad.

 

  1. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

 

  1. Por estipulación a favor de otro o para otro.

 

Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

 

Artículo 21. Del derecho de acceso. Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos.

 

El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas.

 

Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el responsable solo podrá cobrar al titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, el responsable deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos.

 

Artículo 22. Del derecho de actualización, rectificación y supresión. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

 

Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO V

 

Transferencias y transmisiones internacionales de datos personales

 

Artículo 24. De la transferencia y transmisión internacional de datos personalesPara la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas:

 

  1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26de la Ley 1581 de 2012.

 

  1. Las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente.

 

Artículo 25. Contrato de transmisión de datos personalesEl contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable.

 

Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.

 

Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

 

  1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.

 

  1. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

 

  1. Guardar confidencialidad respecto del tratamiento de los datos personales.

 

CAPÍTULO VI

 

Responsabilidad demostrada frente al tratamiento de datos personales

 

Artículo 26. Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:

 

  1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.

 

  1. La naturaleza de los datos personales objeto del tratamiento.

 

  1. El tipo de Tratamiento.

 

  1. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:

 

Artículo 27. Políticas internas efectivasEn cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:

 

  1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581de 2012 y este decreto.

 

  1. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

 

  1. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.

 

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.

 

Artículo 28. Vigencia y derogatoriasEl presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que le sean contrarias.

 

PUBLÍQUESE Y CÚMPLASE.

 

Dado en Bogotá, D.C., a los 27 días del mes de junio de 2013

 

JUAN MANUEL SANTOS CALDERÓN

 

El Ministro de Comercio, Industria y Turismo

 

SERGIO DÍAZ-GRANADOS GUIDA

 

El Ministro de Tecnologías de la Información y las Comunicaciones 

 

 

PROTECCIÓN DE DATOS

PROTECCIÓN DE DATOS PERSONALES, EN CUMPLIMIENTO DE LO DISPUESTO EN LA LEY 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013.

Estimado Cliente:

Bexperience360 cuenta con su base de datos con información previamente suministrada por usted, la cual ha sido recolectada para el desarrollo de nuestro objetivo social, la cual usted es considerado como nuestro Cliente. Con ocasión de la entrada de vigencia del decreto 1377 de 2013 reglamentario de la Ley Estatutaria 1581 del 2012, “Por la cual se dictan las disposiciones generales para la protección de datos personales”, requerimos su autorización para el tratamiento de sus datos personales, según lo dispone el artículo 9° de la mencionada ley.

Según nuestras políticas de tratamiento de datos personales, los mecanismos a través de los cuales hacemos uso de estos son seguros y confidenciales, pues contamos con los medios tecnológicos idóneos para asegurar que son almacenados de manera tal que se impida el acceso indeseado por parte de terceras personas, y en ese mismo orden aseguramos la confidencialidad de los mismos.

De acuerdo con lo anterior, si está interesado en seguir recibiendo nuestra información, le confirmamos que usted puede ejercer sus derechos a conocer, actualizar, rectificar y solicitar la suspensión de sus datos personales en cualquier momento. De aceptar la presente opción, sus datos personales se incluirán en nuestra base de datos y serán utilizados para:

  • Lograr una eficiente comunicación relacionada con nuestros productos, servicios, ofertas, promociones, alianzas, estudios, concursos, contenidos, así como para facilitarle el acceso general o la información de estos.
  • Anunciar nuestros nuevos productos y/o servicios.
  • Dar cumplimiento a obligaciones controladas con nuestros clientes, proveedores, y empleados.
  • Informar sobre cambios de nuestros productos, servicios y/o horarios.
  • Actualizar los datos suministrados por usted a través de diferentes medios de comunicación.
  • Evaluar la calidad de nuestros productos y/o servicios.
  • Entregar su información a quien BeXperience360 considere necesario para hacer efectivas las promociones o los servicios de publicidad que se acuerden.

Sin embargo – y siguiendo lo dispuesto en el numeral 4 del artículo 10 del Decreto 1377 DE 2013 – si en el término de treinta (30) días hábiles contando a partir de la publicación de esta comunicación, el titular de los datos personales recolectados por Bexperience360, hasta el día de hoy o alguna de las personas mencionadas en el artículo 20 del Decreto 1377 de 2013, no ha contactado a la entidad a fin de solicitar la suspensión de los datos personales del titular de nuestros registros, Bexperience360 podrá seguir tratándolos, sin perjuicio de la facultad que tienen estos individuos de ejercer en cualquier momento su derecho a pedir la eliminación de los datos del titular de nuestros archivos. Los titulares de datos personales y/o las personas enumeradas en el artículo 20 del Decreto 1377 de 2013, podrán solicitar la supresión de los datos personales del titular de nuestros registros y/o revocar la autorización otorgada para el tratamiento de los mismos por parte de Bexperience360 mediante la presentación de un reclamo, de acuerdo con lo establecido en los artículos 15 de la Ley 1581 de 2012 y 9 del decreto 1377 de 2013.

Por lo tanto, si usted no desea recibir nuestra información, le solicitamos contactarnos para retirarlo de nuestra base de datos, a través del correo electrónico: servicioalcliente@bexperience360.com

Para más información al respecto, puede comunicarse con el Departamento de Mercadeo al siguiente correo:  servicioalcliente@bexperience360.com  .

POLÍTICA DE DATOS BEXPERIENCE360

 

Te agradecemos por suscribirte a nuestra comunidad digital; como parte de nuestra responsabilidad en manejo adecuado de tu información, creamos este espacio en donde te contamos el tipo de información que utilizamos de tu perfil y las maneras en que será utilizada por parte de Bexperience360.

 

¿QUÉ TIPO DE INFORMACIÓN RECOPILAMOS?

 

Recopilamos diferente información desde tu perfil, el cual fue diligenciado por ti mismo y en donde nos confirmas el uso de la misma.

 

Información básica en el caso de personas que buscan experiencias:

Recopilamos información básica con el objeto de optimizar las experiencias de nuestros usuarios y de poder entregar servicios completos conforme al objeto principal de uso de nuestra plataforma.

Nombre y apellido, Fecha de Cumpleaños, Ciudad, Género, Celular, Profesión, Descripción básica de actividades y de tu personalidad.

 

Información básica en el caso de Comercios:

Recopilamos información básica de nuestros comercios para entregar un mejor servicio y poder apoyar de manera positiva sus emprendimientos.

 

Nombre del comercio, Sector en el que se encuentra, Ciudad, Número de contacto, Dirección Física – Si tiene, RRSS – Si tiene, Web – Si tiene, Publicar fotos del producto, servicio o establecimiento, Breve descripción, Indicar “La experiencia”.

 

Tus acciones y la información que proporcionas.

Recopilamos el contenido y otros datos que proporcionas cuando usas nuestros Servicios, por ejemplo, al abrir una cuenta, al crear o compartir contenido, y al enviar mensajes o al comunicarte con otras personas. La información puede corresponder a datos incluidos en el contenido que proporcionas o relacionados con este, como el lugar donde se tomó una foto o la fecha de creación de un archivo. También recopilamos información sobre el modo en que usas los Servicios, por ejemplo, el tipo de contenido que ves o con el que interactúas, o la frecuencia y la duración de tus actividades.

 

Las acciones de otras personas y la información que proporcionan.

También recopilamos el contenido y la información que otras personas proporcionan cuando usan nuestros Servicios y que puede incluir datos sobre ti, por ejemplo, cuando alguien comparte una foto en la que apareces, te envía un mensaje o sube, sincroniza o importa tu información de contacto.

 

Tus redes y conexiones.

Recopilamos información sobre las personas y los grupos con los que estás conectado y sobre el modo en que interactúas con ellos, por ejemplo, las personas con las que más te comunicas o los grupos con los que te gusta compartir contenido. También recopilamos la información de contacto que proporcionas si subes, sincronizas o importas estos datos (por ejemplo, una libreta de direcciones) desde un dispositivo.

 

Información sobre pagos.

Si usas nuestros Servicios para efectuar compras o transacciones financieras (por ejemplo, cuando compras algo en bexperience360, realizas una compra en un juego o haces una donación), recopilamos datos sobre dicha compra o transacción. Estos datos incluyen información de pago, como el número de tu tarjeta de crédito o débito y otra información sobre la tarjeta, así como otros datos sobre la cuenta y la autenticación, además de detalles de facturación, envío y contacto.

 

¿CÓMO USAMOS ESTA INFORMACIÓN?

 

Nos apasiona crear experiencias atractivas y personalizadas para las personas. Usamos toda la información que tenemos para poder ofrecer nuestros Servicios y mantenerlos. Esto es lo que hacemos:

 

Lo que nos permite ofrecerte nuestros Servicios, personalizar el contenido y proporcionarte sugerencias es el uso que hacemos de esta información. Nos permite comprender cómo usas nuestros Servicios e interactúas con ellos y las personas o las cosas con las que estás conectado y en las que te interesas, tanto dentro de nuestros Servicios como fuera de ellos.

 

Cuando disponemos de datos de ubicación, los usamos para personalizar nuestros Servicios para cada persona, por ejemplo, para ayudarte a registrar una visita y encontrar eventos locales u ofertas en tu zona, o bien para avisarles a tus amigos que te encuentras cerca.

 

Realizamos encuestas y estudios, probamos funciones en fase de desarrollo y analizamos la información de la que disponemos para evaluar y mejorar los productos y servicios, desarrollar nuevos productos o nuevas funciones y llevar a cabo auditorías y actividades de solución de problemas.

 

Comunicación

Usamos tu información para enviarte mensajes de marketing, darte a conocer nuestros Servicios e informarte acerca de nuestras políticas y condiciones. También usamos tu información para responderte cuando te pones en contacto con nosotros.

 

Mostrar y medir anuncios y servicios.

Usamos la información que tenemos para mejorar nuestros sistemas de publicidad y de medición con el fin de mostrarte anuncios relevantes tanto dentro de nuestros Servicios como fuera de ellos, y para medir la eficacia y el alcance de los anuncios y los servicios. Obtén más información sobre cómo anunciarte en nuestros Servicios y cómo controlar el modo en que se usa tu información para personalizar los anuncios que ves.

 

Fomentar la seguridad y la protección.

La información que tenemos nos ayuda a verificar cuentas y actividades, así como a fomentar la seguridad y la protección tanto dentro de nuestros Servicios como fuera de ellos, por ejemplo, mediante la investigación de actividades sospechosas o de infracciones de nuestras condiciones o políticas. Nos esforzamos por proteger tu cuenta, para lo cual recurrimos a equipos de ingenieros, sistemas automatizados y tecnología avanzada, como el cifrado y el aprendizaje automático. Además, proporcionamos herramientas de seguridad fáciles de usar que incorporan un nivel adicional de protección a tu cuenta.

 

¿CÓMO SE COMPARTE ESTA INFORMACIÓN?

 

Las personas usan nuestros Servicios para conectarse y compartir información con otros usuarios. Para que esto resulte posible, compartimos tu información de las siguientes formas:

 

Cuando te comunicas y compartes información usando nuestros Servicios, eliges el público que puede ver lo que compartes. Por ejemplo, cuando publicas algo en bexperience360, seleccionas el público al que va dirigida la publicación, que puede ser un conjunto concreto de personas, todos tus amigos o los miembros de un grupo. Del mismo modo, cuando usas los mensajes de entrada, también eliges a las personas a las que envías fotos o mensajes.

 

 

 

 

 

Compartir dentro de las empresas de bexperience360:

Compartimos la información que tenemos sobre ti dentro del grupo de empresas que pertenecen a bexperience360.

 

Servicios de publicidad, medición y análisis (solo información que no permita la identificación personal).

Queremos que la publicidad que ves en bexperience360 sea tan relevante e interesante como el resto de la información que encuentras en nuestros Servicios. Por ello, usamos toda la información que tenemos acerca de ti para mostrarte anuncios relevantes. No compartimos información que te identifica de forma personal (es decir, información, como tu nombre o dirección de correo electrónico, que pueda servir para contactarse contigo o revelar tu identidad) con socios que prestan servicios de publicidad, medición o análisis, a menos que nos des tu permiso. Podemos proporcionar a estos socios información acerca del alcance y de la eficacia de su publicidad sin incluir información que te identifique de forma personal, o podemos reunir la información de tal forma que no se te pueda identificar de forma personal. Por ejemplo, podemos comunicar a un anunciante cuál fue la eficacia de sus anuncios o cuántas personas vieron sus anuncios o instalaron una aplicación después de ver un anuncio, o bien podemos proporcionar información demográfica que no permita la identificación personal.

 

Proveedores generales, proveedores de servicios y otros socios.

Transferimos información a proveedores generales, proveedores de servicios y otros socios que nos ayudan a mantener nuestro negocio en todo el mundo, por ejemplo, prestar servicios de infraestructura técnica, analizar el uso que se hace de nuestros Servicios, medir la eficacia de los anuncios y servicios, brindar atención al cliente, facilitar los pagos o realizar investigaciones académicas y encuestas. Estos socios deben cumplir con estrictos requisitos de confidencialidad que se ajustan a esta Política de datos y a los acuerdos que suscribimos con ellos.

 

¿Cómo puedo administrar o eliminar información sobre mí?

Desde el perfil de tu cuenta, en ajustes podrás modificar o eliminar información, así mismo, y acudiendo a la ley de protección de datos 1581 DE 2012 Y EL DECRETO REGLAMENTARIO 1377 DE 2013; nuestros usuarios pueden dar de baja su información o solicitar cambios en el uso de la información a través de nuestro correo electrónico: servicioalcliente@bexperience360.com

 

 

¿Cómo te notificaremos sobre los cambios que se efectúen en las políticas generales de bexperience360?

Te notificaremos antes de realizar cambios en esta política y te daremos la oportunidad de revisar y comentar las modificaciones antes de seguir usando nuestros Servicios.

 

¿Cuál es nuestra responsabilidad ante tus negociaciones con comercios, relación con miembros de la comunidad o cualquier tipo de relación entre usuarios de la plataforma bexperience360?

BeXperience360 es una marca que conecta personas entre sí y personas con comercios, con el objetivo fundamental de promover el consumo de productos y servicios nacionales a través de las experiencias de consumo; dicho esto, hacemos hincapié en que nuestra función se limita a la conexión por lo tanto no nos hacemos responsables de las interacciones entre usuarios dentro o fuera de la plataforma, sin embargo, si un usuario o comercio presenta inconformidades, solicitudes de quejas o reclamaciones de otro comercio o usuario, bexperience360 se verá en la necesidad de eliminar a las personas que cometan irregularidades, de acuerdo a nuestro manual de cultura Be.

 

Atentamente

 

BeXperiencie360.

 

 

 

 

DECRETO 1377 DE 2013

 

(Junio 27)

 

Por el cual se reglamenta parcialmente la Ley 1581 de 2012

 

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

 

En uso de sus atribuciones constitucionales, y en particular las previstas en el numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581de 2012, y

 

CONSIDERANDO:

 

Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo , tiene por objeto “(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

 

Que la Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia.

 

Que mediante sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de ley Estatutaria número 184 de 2010 Senado, 046 de 2010 Cámara.

 

Que con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012 se deben reglamentar aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales, este último tema referido a la rendición de cuentas.

 

Que en virtud de lo expuesto,

 

DECRETA:

 

CAPÍTULO I

 

Disposiciones Generales

 

Artículo 1°. ObjetoEl presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.

 

Artículo 2°. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2° de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha ley y del presente decreto, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales.

 

Artículo 3°. Definiciones. Además de las definiciones establecidas en el artículo 3° de la Ley 1581 de 2012, para los efectos del presente decreto se entenderá por:

 

  1. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

 

  1. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

 

  1. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

 

  1. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

 

  1. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

 

CAPÍTULO II

 

Autorización

 

Artículo 4°. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular

 

A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.

 

No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.

 

Artículo 5°. AutorizaciónEl Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

 

Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

 

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.

 

Artículo 6°. De la autorización para el Tratamiento de datos personales sensiblesEl Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley.

 

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

 

  1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

 

  1. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

 

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

 

Artículo 7°. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

 

Artículo 8°. Prueba de la autorización. Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

 

Artículo 9°. Revocatoria de la autorización y/o supresión del datoLos Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presen­tación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.

 

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

 

El responsable y el encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

 

Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.

 

Artículo 10. Datos recolectados antes de la expedición del presente decreto. Para los datos recolectados antes de la expedición del presente decreto, se tendrá en cuenta lo siguiente:

 

  1. Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 7° anterior, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.

 

  1. Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.

 

  1. Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.

 

Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno do comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.

 

A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.

 

  1. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.

 

  1. En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581de 2012 y el presente decreto. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.

 

Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del presente decreto.

 

Artículo 11. Limitaciones temporales al Tratamiento de los datos personalesLos Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado de­berán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.

 

Los responsables y encargados del tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.

 

Artículo 12. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentesEl Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

 

  1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

 

  1. Que se asegure el respeto de sus derechos fundamentales.

 

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

 

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente decreto.

 

La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO III

 

Políticas de Tratamiento

 

Artículo 13. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.

 

Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:

 

  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

 

  1. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.

 

  1. Derechos que le asisten como Titular.

 

  1. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

 

  1. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

 

  1. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

 

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.

 

Artículo 14. Aviso de privacidadEn los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.

 

Artículo 15. Contenido mínimo del Aviso de Privacidad. El aviso de privacidad, como mínimo, deberá contener la siguiente información:

 

  1. Nombre o razón social y datos de contacto del responsable del tratamiento.

 

  1. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

 

  1. Los derechos que le asisten al titular.

 

  1. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.

 

No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

 

En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este decreto.

 

Artículo 16. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la informaciónLos Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.

 

Artículo 17. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

 

Artículo 18. Procedimientos para el adecuado tratamiento de los datos personalesLos procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.

 

Artículo 19. Medidas de seguridad. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con as medidas de seguridad en el Tratamiento de datos personales.

 

CAPÍTULO IV

 

Ejercicio de los derechos de los titulares

 

Artículo 20. Legitimación para el ejercicio de los derechos del titularLos derechos de los Titulares establecidos en la Ley, podrán ejercerse por las siguientes personas:

 

  1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

 

  1. Por sus causahabientes, quienes deberán acreditar tal calidad.

 

  1. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

 

  1. Por estipulación a favor de otro o para otro.

 

Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

 

Artículo 21. Del derecho de acceso. Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos.

 

El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas.

 

Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el responsable solo podrá cobrar al titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, el responsable deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos.

 

Artículo 22. Del derecho de actualización, rectificación y supresión. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

 

Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto.

 

CAPÍTULO V

 

Transferencias y transmisiones internacionales de datos personales

 

Artículo 24. De la transferencia y transmisión internacional de datos personalesPara la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas:

 

  1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26de la Ley 1581 de 2012.

 

  1. Las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente.

 

Artículo 25. Contrato de transmisión de datos personalesEl contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable.

 

Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.

 

Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

 

  1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.

 

  1. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

 

  1. Guardar confidencialidad respecto del tratamiento de los datos personales.

 

CAPÍTULO VI

 

Responsabilidad demostrada frente al tratamiento de datos personales

 

Artículo 26. Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:

 

  1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.

 

  1. La naturaleza de los datos personales objeto del tratamiento.

 

  1. El tipo de Tratamiento.

 

  1. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

 

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:

 

Artículo 27. Políticas internas efectivasEn cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:

 

  1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581de 2012 y este decreto.

 

  1. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

 

  1. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.

 

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.

 

Artículo 28. Vigencia y derogatoriasEl presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que le sean contrarias.

 

PUBLÍQUESE Y CÚMPLASE.

 

Dado en Bogotá, D.C., a los 27 días del mes de junio de 2013

 

JUAN MANUEL SANTOS CALDERÓN

 

El Ministro de Comercio, Industria y Turismo

 

SERGIO DÍAZ-GRANADOS GUIDA

 

El Ministro de Tecnologías de la Información y las Comunicaciones 

 

 

English