POLÍTICA DE PRIVACIDAD, TRATAMIENTO Y PROTECCIÓN DE LA INFORMACIÓN
GENERALIDADES
Esta política aplica para todos los titulares de información que sea utilizada y/o se encuentre en las bases de datos de la sociedad INNOVASOFT COLOMBIA S.A.S., con miras a garantizar la protección de derechos como la privacidad, intimidad, Habeas Data, imagen y buen nombre, de ahí que todas las actuaciones se regirán por los principios de buena fe, legalidad, autodeterminación informática, libertad y transparencia.
FUNDAMENTOS Y DISPOSICIONES LEGALES
El artículo 15 de la Constitución Política de Colombia establece que cualquier persona tiene derecho a conocer, actualizar y rectificar los datos personales que existan sobre ella en banco de datos o archivos de entidades públicas o privadas. Igualmente, ordena a quienes tienen datos personales de terceros respetar los derechos y garantía previstos en la Constitución cuando se recolecta, trata y circula esa clase de información.
La Ley 1273 del 05 de enero de 2009, en virtud del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado “de la protección de la información y de los datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones.
De acuerdo con lo establecido en la Ley 1581 del 17 de octubre de 2012 en la cual se definen las condiciones mínimas para realizar el tratamiento legítimo de los datos personales de los clientes, empleados y cualquier otra persona natural. El literal k) del artículo 17 de dicha ley, obliga a los responsables del tratamiento de datos personales a “adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos”.
El artículo 25 de la misma ley establece que las políticas de tratamiento de datos obligan a los responsables de estas y que su desconocimiento acarreará sanciones. Adicionalmente señala que dichas políticas no pueden garantizar un nivel de tratamiento inferior al establecido en la ley 1581 de 2012.
Que el Decreto 1377 de 2013, en consonancia con el Decreto 1081 de 2015, define la información que debe contener como mínimo las políticas de tratamiento de información.
La Ley 1266 de 2008 define los siguientes tipos de datos personales:
• Dato privado: “es aquel dato que por su naturaleza íntima o reservada sólo es relevante para el titular’’.
• Dato semiprivado: “es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el título IV” de la Ley 1266
• Dato público: “Es el dato calificado como tal según los mandatos de la Constitución Política y todos aquellos que no sean semiprivados o privados”, de conformidad con la Ley 1266 de 2008. “Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas”.
Adicionalmente, el literal d) y e) del artículo 3 de la Ley 1581 de 2012 define los siguientes roles:
• Encargado del tratamiento: “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento”.
• Responsable del tratamiento: “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos”.
Al respecto, es menester señalar que, en lo concerniente a ISISMAWEB, el cual es un software especializado en el sector salud ofrecido por INNOVASOFT COLOMBIA S.A.S., la legislación dispone expresamente que es el prestador de servicios de salud quien asume la responsabilidad de la generación, custodia, disponibilidad, conservación y disposición final de la información de todo el personal que atiende.
Lo anterior, puesto que son esas personas jurídicas o naturales (v.gr.: IPS, profesionales de la salud, Hospitales, ESE, EPS, médicos, entre otras) quienes se encargan directamente de recopilar la información en historias clínicas y demás bases de datos, generando las novedades que a ello hubiere lugar, teniendo en cuenta que son los únicos que tienen acceso a los pacientes y pueden demostrar que han obtenido previamente el consentimiento y autorización explícita de cada persona para el tratamiento de sus datos.
Así las cosas, INNOVASOFT COLOMBIA S.A.S. es un tercero que solo se circunscribe a facilitar el acceso a una plataforma o software especializado por cuenta y solicitud de sus clientes o usuarios para que allí repose esa información de las historias clínicas. Por consiguiente, todo lo que se registra en ese sistema de información denominado ISISMAWEB y el manejo de la misma, recae exclusivamente en nuestros clientes, de tal forma que son los responsables de garantizar los principios de integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normatividad.
actos médicos y los demás procedimientos ejecutados por el equipo de salud que intervienen en la atención de un paciente.
Bajo ese contexto, es el prestador del servicio de salud quien ostenta esa responsabilidad, motivo por el cual se otorgan unas licencias de uso al cliente o usuario, con miras a que pueda acceder y manejar los reportes que se hacen en los módulos que componen ISISMAWEB, entendida simplemente como una solución tecnológica.
De igual forma, a la luz de las disposiciones legales en Colombia y en virtud del acuerdo de términos y condiciones que acepta el cliente o usuario, se deriva que INNOVASOFT COLOMBIA S.A.S. se encarga de proporcionar unas herramientas que compone un sistema informático para atender y servir como mecanismo para el alojamiento de información, pero el único responsable o encargado del tratamiento de esos datos recae exclusivamente en el cliente o usuario, pues para ello se le otorgan unas licencias de uso con el fin de que acceda, administre y gestione toda esa información que registra en los diferentes módulos dispuestos en nuestros portafolios. Por ende, es el cliente o usuario quien debe velar, proteger y garantizar que la información personal que se encuentre en esas bases de datos sea la correcta.
En consecuencia, resulta vital que, tanto el responsable como el encargado de la información, incluido sus empleados, funcionarios, trabajadores, contratistas, subcontratistas y cualquier tercero que pueda acceder a la solución tecnológica suministrada por INNOVASOFT COLOMBIA S.A.S., deben observar y respetar estas políticas en el cumplimiento de sus funciones y/o actividades aún después de terminados los vínculos contractuales que surgen con la aceptación de los términos y condiciones del software. De igual manera, se comprometen a guardar estricta confidencialidad en relación con los datos tratados.
Cualquier incumplimiento de las obligaciones y, en general, de las políticas contenidas en este documento debe ser reportado al correo electrónico: gerencia@innovasoftcol.com
1. CONCEPTOS.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Consultas: Solicitud de la información personal del Titular que repose en cualquier base de datos sobre la cual tiene la obligación de suministrar al Titular o sus causahabientes, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.
Reclamos: Solicitud de corrección, actualización o supresión de la información contenida en una base de datos, o solicitud por presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, realizada por el Titular o sus causahabientes.
Dato público: Es el dato que no sea privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
2. PRINCIPIOS.
El proceso de recopilación y administración de datos personales se regirá por los principios que se relacionan a continuación:
• Legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la Ley 1581 de 2012, es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
• Finalidad y Tratamiento: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
• Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
• Veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
• Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• Acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley.
• Seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento, se deberá manejar tomando las medidas técnicas, humanas y administrativas que sean razonables para otorgar seguridad a los registros procurando evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley y en los términos de esta.
3. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y SU FINALIDAD.
El Responsable o Encargado del Tratamiento de Datos Personales, deberá:
• Controlar el acceso a sus oficinas o instalaciones, estableciendo medidas de seguridad, incluyendo la instalación de zonas videovigiladas;
• Dar respuesta a consultas, peticiones, quejas y reclamos que sean realizadas por los Titulares y organismos de control y trasmitir los Datos Personales a las demás autoridades que en virtud de la ley aplicable deban
recibir los Datos Personales;
• Atender los requerimientos judiciales o administrativos de autoridades y el cumplimiento de mandatos judiciales o legales;
• Cumplir con sus obligaciones propias de su naturaleza y del sector que sean necesarias para desarrollar su objeto conforme a la normatividad vigente.
4. DERECHOS DE LOS TITULARES.
De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 y el decreto 1377 de 2013, el titular de los datos personales tiene los siguientes derechos:
• Conocer, actualizar y rectificar sus datos personales.
• Solicitar prueba de la autorización otorgada para el tratamiento de sus datos personales.
• Ser informado, previa solicitud, respecto del uso que le han dado a sus datos personales.
• Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante el responsable del Tratamiento.
• Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales; La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a la Ley 1581 de 2012 y a la Constitución.
• Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
5. PROCEDIMIENTOS DE ACCESO, CONSULTA Y RECLAMACIÓN.
La Ley 1581 de 2012 proporciona a toda persona titular de datos personales una serie de garantías, de poderes jurídicos frente al responsable de los datos personales, los cuales, le garantizan el poder de decisión y control que tiene sobre la información que le concierne, como su derecho a la protección de esta. En adición, actúan como complemento del deber del responsable de cumplir con las obligaciones que le son impuestas en la Ley, permitiéndole identificar aquellos casos en los que el tratamiento pudiera no resultar ajustado a los mismos.
Para el ejercicio de los derechos, quienes podrán actuar de conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012 y el decreto 1377 de 2013 son las siguientes personas: los titulares, los causahabientes, su representante o apoderado o las personas que actúen a favor de otro o para otro. Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél se tendrá por no presentada.
El cliente o usuario debe contar con una infraestructura administrativa destinada, entre otras funciones, a asegurar la debida atención de requerimientos, peticiones, consultas, quejas y reclamos relativos a protección de datos, a fin de garantizar el ejercicio de los derechos contenidos en la Constitución y la ley, especialmente el
derecho a conocer, actualizar, rectificar y suprimir información personal; así como el derecho a revocar el consentimiento otorgado para el tratamiento de datos personales.
6. EJERCICIO DE LOS DERECHOS.
6.1 Derecho de acceso.
El poder de disposición o decisión que tiene el titular sobre la información que le concierne, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento. De esta manera, se debe garantizar al titular su derecho de acceso en tres vías:
• La primera implica que el titular pueda conocer la efectiva existencia del tratamiento a que son sometidos sus datos personales.
• La segunda, que el titular pueda tener acceso a sus datos personales que están en posesión del responsable.
• La tercera, supone el derecho a conocer las circunstancias esenciales del tratamiento, lo cual se traduce en el deber de informar al titular sobre el tipo de datos personales tratados y todas y cada una de las finalidades que
justifican el tratamiento.
6.2 Consultas.
Se debe garantizar el derecho de consulta, suministrando a las personas que actúen en ejercicio de este derecho, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.
Para la atención de solicitudes de consulta de datos personales, debe garantizarse que existen medios de comunicación electrónica y telefónica.
En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los diez (10) días hábiles, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
6.3 Reclamos.
Se debe garantizar el derecho de reclamo, a las bases de datos para la corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012 y demás normas aplicables. El reclamo será tramitado bajo las siguientes reglas:
Si el reclamo recibido no cuenta con información completa que permita darle trámite, esto es, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
Si por alguna circunstancia se recibe un reclamo que en realidad debería ir dirigido a otra dependencia o entidad competente, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
El término máximo para atender el reclamo debe ser de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término se informará al interesado antes del vencimiento del referido plazo los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
6.4 Procedimientos.
La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por el responsable o encargado del tratamiento de la información, y contener mínimamente lo siguiente:
• El nombre, domicilio del titular y medio de contacto para recibir la respuesta como teléfono, correo electrónico, dirección de residencia.
• Los documentos que acrediten la identidad o la representación de su representante.
• La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos.
• En caso dado otros elementos o documentos que faciliten la localización de los datos personales.
El responsable o encargado tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados.
El titular tiene el derecho, en todo momento, a solicitar la supresión (eliminación) de sus datos personales cuando:
• Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012.
• Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
• Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.
• Cuando así lo estime conveniente.
Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por el responsable o encargado. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio de este cuando:
• La solicitud de supresión de la información no procederá cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
En caso de resultar procedente la cancelación de los datos personales, se debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.
Una vez se haya agotado el precitado trámite de consulta o reclamo, sin haber obtenido el resultado perseguido para ello, el Titular o causahabiente podrá elevar la respectiva queja ante la Superintendencia de Industria y Comercio.
6.5 Revocatoria de La Autorización.
Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal.
Se tendrán dos (2) modalidades en las que la revocación del consentimiento puede darse. La primera, sobre la totalidad de las finalidades consentidas, esto es, que se deba dejar de tratar por completo los datos del titular; la segunda, puede sobre algunos tipos de tratamiento determinados.
Por lo anterior, será necesario que el titular al momento de elevar la solicitud de revocatoria del consentimiento, indique si la revocación que pretende realizar es total o parcial. En la revocatoria parcial deberá indicar con cuál tratamiento el titular no está conforme.
Habrá casos en que el consentimiento, por su carácter necesario en la relación entre titular y responsable por el cumplimiento de un contrato, por disposición legal no podrá ser revocado.
7. DEBERES DEL RESPONSABLE O ENCARGADO DEL TRATAMIENTO DE INFORMACIÓN
Todos los obligados a cumplir esta política deben tener presente que es de su responsabilidad acatar los deberes que al respecto imponga la ley. Por ende, deben obrar de tal forma que cumplan las siguientes obligaciones:
7.1. Deberes respecto del titular del dato.
• Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular.
• Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir, conocer, actualizar o rectificar sus datos personales. • Informar a solicitud del titular sobre el uso dado a sus datos personales.
• Tramitar las consultas y reclamos formulados en los términos señalados en la presente política.
7.2. Deberes respecto de la calidad, seguridad y confidencialidad de los datos personales
• Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la legislación Colombiana.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Actualizar la información cuando sea necesario.
• Rectificar los datos personales cuando ello sea procedente.
7.3. Deberes cuando realiza el tratamiento a través de un Encargado
• Suministrar al Encargado del tratamiento únicamente los datos personales que está autorizado a suministrar a terceros.
• Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Comunicar de forma oportuna al Encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
• Informar de manera oportuna al Encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes.
• Exigir al Encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
• Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
7.4. Deberes respecto de la Superintendencia de Industria y Comercio
• Informarle las eventuales violaciones a los códigos de seguridad y la existencia de riesgos en la administración de la información de los titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
7.5. Deberes cuando se actúa como Encargado del tratamiento de datos personales.
Si se realiza el tratamiento de datos en nombre de otra entidad u organización (responsable del tratamiento) deberá cumplir los siguientes deberes:
• Establecer que el responsable del tratamiento esté autorizado para suministrar los datos personales que tratará como Encargado.
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los datos.
• Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
• Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política.
• Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se establece en la presente política.
• Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
8. SEGURIDAD DE LA INFORMACIÓN Y LOS DATOS PERSONALES
INNOVASOFT COLOMBIA SAS, proporcionará las medidas técnicas que sean necesarias para otorgar seguridad de las soluciones tecnológicas, pero no se hace responsable por circunstancias fuera de nuestro control, caso fortuito o fuerza mayor. Ahora bien, INNOVASOFT COLOMBIA SAS solo se limita a disponer de los medios adecuados para este fin, de ahí que ello no exime de sus obligaciones a los responsables y encargados del tratamiento de la información.
INNOVASOFT COLOMBIA SAS no garantiza la seguridad total de su información ni se responsabiliza por cualquier consecuencia derivada de fallas técnicas o del ingreso indebido por parte de terceros a la Base de Datos o archivo en los que reposan los Datos Personales objeto de Tratamiento por parte de los Responsables
y sus Encargados.
Así mismo, los Responsables y sus Encargados, exigirán a sus proveedores y demás personal que contrata, la adopción y cumplimiento de las medidas pertinentes para la protección de los Datos Personales.
Lo anterior, con la finalidad de aportar al cumplimiento de los objetivos estratégicos, mantener un adecuado nivel de seguridad de la información y ciberseguridad en las tecnologías de la información y la operación.
Por consiguiente, los usuarios o clientes, así como sus proveedores, contratistas, subcontratistas, colaboradores, administradores, aliados y cualquier tercero que tenga o pueda tener acceso o hacer uso de la información, datos y tecnologías proporcionadas por INNOVASOFT COLOMBIA S.A.S., deberán: (i) Realizar un uso seguro de la información, de conformidad con los términos y condiciones previstos por INNOVASOFT COLOMBIA S.A.S. y en concordancia con lo consagrado en la ley; (ii) Proteger los activos de información de la infraestructura tecnológica y de operación de INNOVASOFT COLOMBIA S.A.S.; (iii) Gestionar los riesgos de Seguridad de la información y ciberseguridad que puedan impactar la confidencialidad, integridad, calidad, disponibilidad y privacidad de la información; (iv) Guardar una rigurosidad de las capacidades de prevención, detección, contención, respuesta, recuperación y defensa en seguridad de la información y ciberseguridad; (v) Cumplir con normatividad referente al ámbito de la seguridad de la información y ciberseguridad, que permitan identificar, proteger, detectar, responder y recuperar la infraestructura tecnológica y operativa ante cualquier ataque o afectación a la misma; (vi) Aplicar los estándares y buenas prácticas en seguridad de la información y ciberseguridad; (vii) Garantizar que el modelo de seguridad de la información y ciberseguridad, se encuentre alineado al marco normativo exigido en Colombia y a la presente política de INNOVASOFT COLOMBIA SAS; (viii) Utilizar medidas y herramientas de ciberseguridad para proteger los datos confidenciales del acceso no autorizado, así como para evitar interrupciones en las operaciones debido a una actividad de red no deseada; (ix) Promover esquemas eficientes y eficaces para la protección de la información y los ciberactivos, así como las tecnologías de la información que aseguren la operación y el cumplimiento de los objetivos contractuales de INNOVASOFT COLOMBIA S.A.S. y las disposiciones normativas aplicables en Colombia frente a ciberseguridad, (x) Efectuar un seguimiento, monitoreo, control, evaluación, actualización y mejoramiento continuo de la gestión e implementación de las medidas, acciones y estrategias frente a la seguridad de la información; (xi) De acuerdo con la tipificación legal, responder por las infracciones y atentados informáticos contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas de información de INNOVASOFT COLOMBIA S.A.S. y/o de sus clientes; y (xii) Las demás que sean propias e inherentes a la protección de equipos, redes, puntos de conexión, dispositivos, aplicaciones, software, sistemas de información, datos personales o cualquier otro tipo de entornos digitales, virtuales o físicos de almacenamiento de archivos y procesamiento de datos que propendan
por evitar, conjurar y defenderse frente a amenazas, vulnerabilidades, ataques o hackeo.
Ahora bien, el manejo y gestión de la historia clínica es una función que corresponde exclusivamente a los prestadores de servicios de salud y deberá realizarse en estricto cumplimiento de lo ordenado por la normatividad que regule la materia. Los profesionales, técnicos y auxiliares del área de la salud y, en general, los equipos de salud que intervengan en la atención clínico-asistencial deberán guardar la confidencialidad y reserva de la información contenida en la historia clínica, de conformidad con la naturaleza sensible de los datos biométricos, morfológicos y relativos a la salud de los pacientes.
Cualquier acción u operación de manejo y gestión de la historia clínica que se realice por medio de la plataforma de INNOVASOFT COLOMBIA S.A.S., será ejecutada por cuenta y responsabilidad de los usuarios; y bajo ninguna circunstancia el equipo de trabajo de INNOVASOFT COLOMBIA S.A.S. o su representante conocerá, escrutará, auditará o examinará la información registrada en las historias clínicas, ni será responsable por su contenido o por el traslado de historias clínicas que realicen los usuarios entre los prestadores de servicios de salud. Las consultas y solicitudes de copia de las historias clínicas que formulen los pacientes deberán ser dirigidas a los profesionales de la salud, consultorios, clínicas, hospitales, entidades e instituciones de salud responsables de su manejo y gestión, quienes las atenderán conforme los procedimientos, reglamentos y demás normas aplicables.
En relación con los datos personales de los pacientes, familiares de pacientes, trabajadores, aliados comerciales, entre otros, que sean almacenados en los sistemas de información habilitados por INNOVASOFT COLOMBIA S.A.S., los profesionales de la salud, entidades y prestadores de servicios de salud deberán garantizar el cumplimiento de los deberes y obligaciones atribuidos por la Ley 1581 de 2012 como responsables de su tratamiento. En consecuencia, deberán asegurarse de obtener la autorización para el tratamiento de datos personales cuando corresponda y proveer las medidas técnicas, administrativas y humanas necesarias para proteger la información personal de los titulares. Los datos personales de los pacientes, especialmente los registrados en la historia clínica, por regla general constituyen información de naturaleza sensible debido a su estrecha vinculación con la intimidad y dignidad humana de los pacientes.
De acuerdo con la Ley General de Protección de Datos Generales y normas sobre el manejo de la Historia Clínica y la Ley de Ética Médica, la información relativa a la salud y cualquier otro dato de carácter sensible, deberá ser objeto de especial protección y reserva, evitando su uso, acceso y circulación por parte de personas no autorizadas. Lo anterior sin perjuicio de las excepciones relativas a la urgencia médica contempladas en la normatividad vigente.
9. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
Cuando se envíen o transfieran datos a otro país será necesario contar con la autorización del titular de la información que es objeto de transferencia. Salvo que la ley diga lo contrario, es presupuesto necesario la existencia de dicha autorización para efectuar la circulación internacional de datos. En este sentido, antes de enviar datos personales a otro país, los obligados de cumplir esta política deberán verificar que se cuenta con la autorización previa, expresa e inequívoca del titular que permita trasmitir sus datos personales.
10. DATOS DEL CLIENTE / USUARIO
En lo referido exclusivamente a los datos personales del cliente o usuario como tal que se requiere con miras a la celebración del Acuerdo de Términos y Condiciones con INNOVASOFT COLOMBIA S.A.S., incluido los resultados que arroje la información de su uso, experiencia e interacción con nuestros productos, se entiende que, al momento de aceptar dicho Acuerdo, otorga su pleno consentimiento para que sean utilizados en el marco de esa prestación del servicio o cualquier otro que haga parte de nuestro portafolio comercial y de aliados estratégicos.
Estos datos servirán para fines contractuales, comerciales y procedimientos de gestión administrativa y financiera por INNOVASOFT COLOMBIA S.A.S. (tales como: recaudo de cartera, cobros administrativo, tesorería, contabilidad, entre otros); al igual que para efectos del ofrecimiento de renovaciones posteriores; o medio de contacto en actividades de mercadeo, publicidad o promociones; o cambios en las condiciones de los productos y servicios ofrecidos por INNOVASOFT COLOMBIA S.A.S.; o enviar información sobre ofertas relacionadas con los productos que ofrece INNOVASOFT COLOMBIA SAS y sus compañías vinculadas; o el fortalecimiento de las relaciones con sus clientes, mediante el envío de información relevante y evaluación de la calidad del servicio; o la determinación de obligaciones pendientes, la consulta de información financiera e historia crediticia y el reporte a centrales de información de obligaciones incumplidas, respecto de sus deudores; o cualquier otra actividad inherente a la naturaleza y objeto social de INNOVASOFT COLOMBIA S.A.S.; y además para atender requerimientos judiciales o administrativos de autoridades competentes.
11. MODIFICACIÓN Y/O ACTUALIZACIÓN
Cualquier cambio sustancial en la política de privacidad, tratamiento y protección de la información, se publica a través de los medios habituales de contacto y/o a través de la página web de INNOVASOFT COLOMBIA S.A.S.: www.innovasoftcol.com, y/o correo electrónico o plataforma de mensajería instantánea enviado a los clientes o usuarios.
12. VIGENCIA
La presente política rige a partir del 01 de enero del 2018 y, por regla general, se entiende por el término de la relación comercial o de la vinculación al servicio, e incluso, durante el ejercicio del objeto social de INNOVASOFT COLOMBIA S.A.S.