Capítulo primero: Disposiciones generales

1.1 Identificación del Responsable del Tratamiento

MEDTRONIC COLOMBIA S.A. en adelante MEDTRONIC actuando como responsable del tratamiento de la información personal, y en cumplimiento del artículo 13 del Decreto 1377 de 2013, se permite identificar a través de los siguientes datos:

Razón Social

MEDTRONIC COLOMBIA S.A.

NIT

830.025149-8

Dirección

Av. Calle 116 Núm. 7-15 Oficina 1001. Bogotá

Correo electrónico

rs-habeas-data-covidien-colombia@medtronic.com
rs.habeas-data-medtronic-colombia@medtronic.com

Teléfono

(1)7427300

Página web

https://www.medtronic.com/es-co/index.html

1.2 Definiciones

A continuación, se relacionan las siguientes definiciones para una comprensión adecuada de la presente política:

  1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales a cargo de un tercero.
  2. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  3. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  4. Dato público: Es el dato que no sea semiprivado, privado o sensible.
  5. Dato sensible: Se entiende por datos sensibles aquél que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.
  6. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.
  7. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
  8. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
  9. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el Tratamiento de los datos.
  10. Titular: Persona natural, por su misma o en nombre legal de otros (v.gr. menores de edad), cuyos datos personales sean objeto de Tratamiento.
  11. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  12. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  13. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

1.3 Objetivo de la Política

La Política de Tratamiento de Datos Personales tiene como propósito establecer los criterios bajo los cuales MEDTRONIC realiza el tratamiento de la información personal de terceros y que reposa en sus bases de datos y en archivos físicos y electrónicos.

1.4 Alcance de la Política

La Política de Tratamiento de Datos Personales, establece los procedimientos que MEDTRONIC lleva a cabo para el tratamiento de los datos personales, mecanismos para ejercicio del derecho de hábeas data, así como las finalidades, medidas de seguridad, y otros aspectos relacionados con la protección de la información personal.

1.5 Titulares a quien va dirigida la Política

La presente Política de Tratamiento de Datos Personales, se encuentra dirigida a:

  1. Pacientes
  2. Profesionales de la salud
  3. Empleados
  4. Proveedores y Clientes
  5. Encargados de la Información, y en general,
  6. Cualquier titular de la información, ya sea actuando en su nombre, o como representante legal, que con ocasión, a las actividades que se encuentre vinculado con MEDTRONIC, se requiera de su información personal para el desarrollo de las mismas.

1.6 Cumplimiento Normativo del Régimen de Protección de Datos Personales

La presente Política de Tratamiento de Datos Personales, da cumplimiento al Régimen de Protección de Datos Personales en Colombia, en especial, el artículo 15 y 20 de la Constitución Nacional, la Ley 1581 de 2012, el Capítulo 25 del Decreto 1074 de 2015, la Sentencia C-748 de 2011 y la Circular 002 de 2015 de la Superintendencia de Industria y Comercio, e incorpora cualquier normatividad que posteriormente llegue a expedirse.

Capítulo segundo: Tratamiento de los datos personales

2.1 Tipos de bases de datos personales

MEDTRONIC tiene diferentes tipos de bases de datos, las cuales tienen las siguientes finalidades:

BASES DE DATOS DE PACIENTES

En esta categoría se encuentran todas las bases de datos y archivos físicos y automatizados relacionados con los procesos de pacientes y sus finalidades son:

  • Invitación a eventos patrocinados por Medtronic u organizados por clientes de Medtronic.
  • Entrenamiento a pacientes.
  • Seguimiento del uso del dispositivo marca Medtronic de los pacientes, apoyo a pacientes.
  • Envío de información sobre terapias y/o en general información sobre enfermedades, concientización de las mismas.
  • Campañas de prevención.
  • Implantes de dispositivos.
  • Garantía y soporte del dispositivo.
  • Contacto vía telefónica y por mensajería a pacientes.
  • Despacho de producto y facturación.
  • Reportes al INVIMA.

BASES DE DATOS DE PROFESIONALES MÉDICOS

En esta categoría se encuentran todas las bases de datos y archivos físicos y automatizados relacionados con los procesos de profesionales médicos y sus finalidades son:

  • Invitación a eventos organizados por Medtronic.
  • Programación de reuniones y eventos.
  • Registro de asistentes a entrenamientos y/o reuniones.
  • Programación de visitas a las instalaciones de Medtronic.
  • Registro para el seguimiento de productos implantados marca Medtronic.

BASES DE DATOS DE CLIENTES

En esta categoría se encuentran todas las bases de datos y archivos físicos y automatizados relacionados con los procesos de clientes y sus finalidades son:

  • Análisis de crédito, consulta del riesgo, contacto directo con posibles clientes.
  • Proceso de registro y seguimiento de Clientes.
  • Ejecución de actividades requeridas para la comercialización de los dispositivos médicos.
  • Facturación.
  • Relacionamiento con el cliente para la comercialización de dispositivos médicos.

BASES DE DATOS PROVEEDORES

En esta categoría se encuentran todas las bases de datos y archivos físicos y automatizados relacionados con los procesos de proveedores y sus finalidades son:

  • Pagos de los proveedores.
  • Contacto con proveedores.
  • Proceso de registro de proveedores.
  • Supervisión de la prestación del servicio.
  • Comunicaciones con el proveedor para el cumplimiento del servicio prestado.

BASES DE DATOS DE RECURSOS HUMANOS

En esta categoría se encuentran todas las bases de datos y archivos físicos y automatizados relacionados con los procesos de recursos humanos y sus finalidades son:

  • Proceso de selección y de contratación de empleados, y empleados temporales.
  • Proceso de selección y contratación de aprendices del SENA.
  • Verificación de aptitud para el cargo.
  • Actividades de manejo de personal.
  • Información del empleado, historia laboral, evaluación de desempeño, gestión  de seguridad social y seguridad y salud en el trabajo.
  • Gestión incapacidades.
  • Comunicaciones internas.
  • Administración de personal, histórico de relaciones laborales, nómina, seguridad social, prestaciones sociales, y en general toda la información personal relativa a la gestión del talento humano.

BASES DE DATOS VISITANTES

En esta categoría se encuentran todas las bases de datos físicas relacionadas con el ingreso de los visitantes a las instalaciones de Medtronic y sus finalidades son:

  • Control y seguridad de las personas que se encuentran en las instalaciones.

BASES DE DATOS VIDEOVIGILANCIA

En esta categoría se encuentran todas las bases de datos digitales, relacionadas con el ingreso de los visitantes a las instalaciones de Medtronic y sus finalidades son:

  • Control y seguridad de las personas que se encuentran en las instalaciones.

2.2 Tipos de Datos Personales que recolecta MEDTRONIC

MEDTRONIC recolecta datos personales de carácter público, semiprivado, privado, sensible y de Niños, Niñas y Adolescentes.

De acuerdo a la clasificación del Registro Nacional de Bases de Datos Personales, las categorías de datos que tiene MEDTRONIC, en sus bases de datos, son las siguientes:

APLICA: O

TIPO DE DATOS PERSONALES CONTENIDOS EN LAS BASES DE DATOS DE MEDTRONIC

 

 

TIPOS DE DATOS

TIPO DE BASES DE DATOS

PACIENTES

PROFESIONALES DE LA SALUD

RECURSOS HUMANOS

CLIENTES

PROVEEDORES

VISITANTES

VIDEO VIGILANCIA

DATOS DE IDENTIFICACIÓN

Datos Generales de Identificación de la persona

O

O

O

O

O

O

  

Datos específicos de la identificación de la persona

O

O

O

O

O

 

  

Datos biométricos de la persona

O

  

 O

 

 

 

 O

Datos de la descripción morfológica de la persona

 O

  

 

  

 

 

 

DATOS DE UBICACIÓN

Datos de ubicación relacionados con actividad comercial o profesional de las personas

  

O

O

O

O

 O

 

Datos de ubicación personal relacionados con actividad privada de las personas

  O

  

 O

  

 

 

  

DATOS SENSIBLES

Datos relacionados con la salud de la persona que incluyan resultados de pruebas

O

  

O

  

 

 

  

Datos relacionados con la pertenencia a sindicatos

 

 

  

 

 

 

 

DATOS DE CONTENIDO SOCIOECONÓMICO

Datos financieros, crediticios y/o derechos de carácter económico de las personas

  

 

 O

O

O

  

 

Datos de información tributaria de la persona

    

 

O

O

  

 

Datos relacionados con la actividad económica de la persona

 O

O

 O

O

O

  

 

Datos relacionados con la historia laboral de la persona

 

  

O

  

O

 

 

Datos relacionados con el nivel educativo, capacitación y/o historial académico de la persona

 

  

O

  

O

 

 

Datos generales relacionados con afiliación y aportes al sistema integral de seguridad social

O

  

O

O

O

 O

 

OTROS DATOS

Datos de antecedentes judiciales y/o disciplinarios de las personas

 

  

O

O

 

 

 

Datos personales de acceso a sistemas de información

 

  

O

 

 

 

 

2.3 Tratamiento al que se someten los datos personales

Los datos personales que se obtienen, están sometidos al siguiente tratamiento:

2.3.1 Recolección

El tratamiento de la información personal que realiza MEDTRONIC se obtiene a través de diferentes actividades relacionadas con su objeto social, y las obligaciones que tiene como empleador. La información se solicita de manera directa al titular y en algunas ocasiones es obtenida por parte de terceros, previa autorización del titular.

Los instrumentos que utiliza MEDTRONIC para recolección de la información, cuentan con todos los requisitos establecidos en la normatividad en materia de protección de datos personales, y obedecen a los principios de libertad y finalidad, por lo que, en cada uno de ellos, se encuentra incorporada la autorización para el tratamiento de los datos personales.

Estas son algunas fuentes de recolección de información personal:

BASE DE DATOS

RECOLECCIÓN

PACIENTES

La información de los pacientes, se puede recoger de múltiples formas, algunas pueden ser: a través del acudiente del paciente, a través de profesionales médicos, instituciones médicas, con el propósito de educar en la terapia y el uso del dispositivo, y/o de tener trazabilidad de los dispositivos médicos. Las anteriores modalidades, cuentan con autorización del paciente.

También se recibe información del paciente, a través de actividades desarrolladas con centros de entrenamiento, mediante los listados de asistencia a diferentes eventos organizados por Medtronic, a través del formulario de contáctenos de las páginas web de Medtronic, y/o a través de líneas telefónicas y mensajería instantánea de Medtronic. Adicionalmente, en algunas ocasiones, la información de contacto del paciente puede ser suministrada a Medtronic por el profesional de la salud, con previa autorización del paciente.

PROFESIONALES DE LA SALUD

La información de los profesionales de la salud puede recogerse a través de visitas directas al consultorio, a través de tarjetas de presentación, listado de asistencia de eventos organizados por Medtronic, y por las páginas web de Medtronic.

RECURSOS HUMANOS

La información personal de contenida en la base de Recursos Humanos, se pueden obtener a través de diferentes vías e instrumentos, por ejemplo: hojas de vida de personas interesadas en trabajar para la compañía, a través de empresas de selección de personal, entrevistas de trabajo, mediante la plataforma del SENA, Intranet y Plataformas web internas de Medtronic.

CLIENTES

Medtronic recoge datos personales del representante legal de los Clientes y/o contactos de los clientes, en este caso, se solicita información de identificación y algunos datos personales son suministrados por medio del formulario de creación de Clientes.

PROVEEDORES

Medtronic recoge datos personales del representante legal de los Proveedores y/o contactos de los proveedores, en este caso, se solicita información de identificación y algunos datos personales son suministrados por medio del formulario de creación de Proveedores.

VISITANTES

Medtronic recoge los datos personales de contacto e información sobre afiliación al sistema de seguridad social a los visitantes de sus instalaciones, con el propósito de controlar el ingreso, por motivos de seguridad, y cumplimiento del sistema de seguridad y salud en el trabajo.

VIDEO VIGILANCIA

Medtronic captura la imagen de los visitantes y empleados a través de cámaras de seguridad con el propósito de controlar el ingreso, por motivos de seguridad de las personas y bienes que se encuentran en las instalaciones.

2.3.2 Almacenamiento

El almacenamiento de la información personal contenida en las bases de datos, se encuentra en los servidores de MEDTRONIC, y cuenta con todas las medidas de seguridad física, técnicas y administrativas, y los sistemas de información cuentan con controles de acceso, garantizando el principio de acceso y circulación restringida.

Esta información puede estar almacenada en Colombia, pero también fuera del país. Medtronic garantiza la seguridad de la información almacenada dentro y fuera del país, contando con protocolos altos de seguridad para evitar la pérdida, usos y acceso no autorizado.

2.3.3 Circulación

MEDTRONIC no comparte y/o transmite los datos personales que recolecta con terceros, e internamente ha dispuesto controles de acceso para el ingreso de sus empleados a los sistemas de información de la empresa, exclusivamente a la información que de acuerdo al rol y/o cargo debe conocer el empleado

MEDTRONIC tiene contractualmente establecido contratos de transmisión de datos personales y acuerdos de confidencialidad, con aquellos proveedores que, en virtud del servicio presado, deban conocer información personal contenida en algunas de nuestras bases de datos.

Estos son algunos casos, en los cuales MEDTRONIC circula datos personales contenidos en sus bases de datos personales, de acuerdo a los criterios establecidos anteriormente:

  • Desarrollo de entrenamientos a pacientes.
  • Procesos de selección
  • Acompañamiento jurídico
  • Transporte terrestre y áereo
  • Desarrollo de programas de bienestar laboral

2.3.4 Supresión

La supresión de la información personal, se realiza una vez ha cumplido la finalidad para la cual se solicitaron los datos, o en los casos en los cuales el titular de la información solicite la eliminación de la información, este caso procederá, siempre y cuando la ley lo autorice.

2.4 Autorización para el tratamiento de datos personales

MEDTRONIC solicita de manera libre, previa, expresa y debidamente informada, la autorización por parte de los titulares de los datos y para ello ha dispuesto mecanismos idóneos garantizando para cada caso que sea posible verificar el otorgamiento de dicha autorización. La misma, podrá constar en cualquier medio, bien sea un documento físico, electrónico o en cualquier formato que garantice su posterior consulta a través de herramientas técnicas, cumpliendo con los requisitos establecidos en la ley.

2.4.1 Autorización para el tratamiento de datos de Niños, Niñas y Adolescentes

MEDTRONIC recolecta datos de menores de edad, en los siguientes casos:

  1. Por parte de los Padres que son empleados de MEDTRONIC, para fines de afiliación a seguridad social.
  2. En los casos en que la información la suministre la EPS para la comercialización de dispositivos médicos.
  3. Pacientes menores de edad que se benefician de nuestros productos.

En el caso A, el proceso de captura de información, se respeta el principio de libertad y finalidad, por lo que se le solicita al adulto responsable del menor, la autorización, libre, previa, expresa e informada para la recolección del dato.

En el caso B, MEDTRONIC no se encarga de la solicitud de la autorización, toda vez que opera como Encargado de la información, la gestión de dicho requisito se encuentra a cargo de la EPS.

De todas formas, en los procesos de recolección, almacenamiento, circulación interna, y supresión, se respeta y se cumple con los principios para el tratamiento de datos personales, así como la Constitución Política, como norma suprema que garantiza los derechos fundamentales de los menores, por sobre cualquier otra población.

2.5 Medidas de Protección

MEDTRONIC ha adoptado medidas técnicas, jurídicas, humanas y administrativas necesarias para procurar la seguridad de los datos de carácter personal protegiendo la confidencialidad, integridad, uso, acceso no autorizado y/o fraudulento. Asimismo, internamente MEDTRONIC ha implementado protocolos de seguridad de obligatorio cumplimiento para todo el personal con acceso a datos de carácter personal y a los sistemas de información.

Las políticas internas de seguridad bajo las cuales se conserva la información del titular para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. La Política de Seguridad Informática de MEDTRONIC aprobada, establece políticas, procesos y controles respecto a:

Otras políticas que ha implementado MEDTRONIC para la protección de la información son:

2.6 Obligaciones de los Encargados de la Información

Las empresas y/o personas externas a MEDTRONIC, que en virtud de una relación comercial realicen el tratamiento de datos personales por cuenta de MEDTRONIC, deberán cumplir con las siguientes obligaciones:

2.7 Casos en que MEDTRONIC opere como Encargado de la Información

En los casos de que MEDTRONIC opere como encargado de la información, los Responsables de la información deberán solicitar y conservar la autorización del titular de la información, para el tratamiento de los datos personales por parte de MEDTRONIC, por lo que MEDTRONIC presume que el Responsable de la información, cuenta con las autorizaciones previas y expresas de los titulares con quien tiene contacto para hacer uso de sus datos personales y suministrará copia de tales autorizaciones en caso de que MEDTRONIC lo requiera.

Capítulo tercero: Derechos que tienen los titulares de los datos personales

3.1 Derechos que le asiste como titular del dato.

El Derecho Fundamental de Hábeas Data, faculta al titular del dato solicitar el acceso, actualización, rectificación y supresión de sus datos personales que se encuentra en posesión de un tercero, a su vez, puede revocar la autorización que ha otorgado para el tratamiento. Si un titular, considera que MEDTRONIC tiene acceso a sus datos personales, esta persona puede en todo momento solicitar la consulta de sus datos, o si considera que MEDTRONIC está haciendo mal uso de sus datos, puede realizar la respectiva reclamación.

El titular está facultado para solicitar:

  1. Actualización de sus datos personales en caso de encontrarse fraccionados, incompletos, entre otros.
  2. Rectificación y/o corrección de sus datos personales en caso de que se encuentren errados, parciales o induzcan a error.
  3. Supresión de sus datos personales de las bases de datos. Se seguirá conservando la información para los fines determinados por la ley.
  4. Revocación de la autorización del tratamiento de sus datos personales, siempre y cuando no genere incumplimiento por parte de MEDTRONIC con otras obligaciones legales, relativas a la permanencia del dato.

3.2 Procedimiento para que el titular de la información pueda ejercer sus derechos

3.2.1 Consulta

A través del mecanismo de la consulta, el titular del dato, podrá solicitar a MEDTRONIC, acceso a su información personal que reposa en las bases de datos.

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. En caso de no ser posible dar respuesta a la consulta dentro del término referenciado, se le informará, los motivos de la demora y se le dará respuesta, máximo cinco (5) días hábiles siguientes al vencimiento del primer término.

3.2.2 Reclamo

A través del mecanismo de reclamo, el titular del dato, podrá reclamar a MEDTRONIC, alguna inconformidad que tenga sobre el uso que se le está dando a sus datos.

El reclamo será atendido en un término máximo de (15) quince días hábiles contados a partir del día siguiente a la fecha de su recibo. En caso de no ser posible atender el reclamo dentro de dicho término se le informará, los motivos de la demora y se le dará respuesta, máximo (8) ocho días hábiles siguientes al vencimiento del primer término.

En caso de que el reclamo se encuentre incompleto, se le requerirá, dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que MEDTRONIC no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al titular.

3.3 Personas facultadas para realizar una consulta o reclamo

Las personas facultadas para solicitar una consulta a MEDTRONIC, son las siguientes:

  1. Los empleados.
  2. Los pacientes y profesionales de la salud.
  3. Los clientes y proveedores.
  4. A los terceros autorizados por el Titular o por la Ley.
  5. En general, a cualquier titular de la información personal que sus datos, reposen en las bases de datos de MEDTRONIC.

Estos casos, son meramente ejemplificativos y no son exclusivos, ni excluyentes.

3.3.1 Información que debe acreditar el titular del dato

Para efectos de consulta y reclamos, el titular del dato debe acreditar sus datos de identificación como:

  1. Nombres completos y apellidos
  2. Tipo y número de identificación
  3. Dirección de domicilio
  4. Teléfono de contacto
  5. Correo electrónico
  6. Brindar la información necesaria para tramitar su solicitud

En caso de que sea un reclamo, debe adjuntar los documentos que desea valer, soportar o probar dicha solicitud. En caso de que sea un menor, deberá realizarlo con el adulto rresponsable dicha solicitud, sin que en ningún momento se le niegue el ejercicio de sus derechos.

3.4 Canales habilitados para el ejercicio de los Derechos de Habeas Data

MEDTRONIC tiene habilitados los siguientes canales para que los titulares ejerzan su derecho de Hábeas Data:

  1. Dirección física: Av. Calle 116 Núm. 7-15 Oficina 1001. Bogotá.
  2. Correo electrónico: rs.habeas-data-medtronic-colombia@medtronic.com

Estos son los únicos canales que MEDTRONIC tiene habilitados para las consultas y reclamos por protección de datos personales, por lo tanto, el titular deberá tenerlos presente.

Si alguna área o encargado de la información le llega una consulta o reclamo relativo a protección de datos personales, deberá informarle al titular los canales existentes y en ningún caso, podrá dejar sin respuesta al titular de la información.

El titular debe acreditar y aportar la información que se referencia en el punto 3.3.1 de la presente política.

3.5 Responsable del cumplimiento de la Política de Protección de Datos Personales

El Comité del Programa de Protección de Datos Personales, es el encargado del efectivo cumplimiento de la presente política. Las áreas que conforman este comité son: un representante del área comercial de la compañía, un representante del área de recursos humanos, y un representante del área de finanzas de la compañía. El área Legal y el área de IT (sistemas), prestarán el apoyo que se requiera para el efectivo funcionamiento del Programa Integral de Gestión de Datos Personales

En todo caso, se podrá requerir a otra área de MEDTRONIC, para efectos de verificar el cumplimiento de la normatividad relativa a protección de datos personales al interior de la organización.

Capítulo cuarto: Disposiciones finales

4.1 Medidas permanentes

En el tratamiento de datos personales, MEDTRONIC de manera permanente, verificará en sus procesos, protocolos, procedimientos y políticas, que se garantice el derecho de hábeas data a los titulares de la información y que se obtenga con los requisitos de ley, la autorización del titular para el tratamiento de los datos personales.

4.2 Vinculatoriedad de la Política

Cualquier titular de la información que tenga alguna relación con MEDTRONIC, deberá acatar la presente política.

4.3 Manual interno de Políticas y Procedimientos para el Tratamiento de Datos Personales

La presente política de tratamiento de datos personales, se articula con el Manual interno de Políticas y Procedimientos para el tratamiento de datos personales, el cual, establece los criterios, requisitos y procedimientos para que se haga efectiva la presente política.

4.4 Fecha de Aprobación de la Política y Entrada en vigencia

La actualización de la presente política entra en vigencia el día veintiuno (21) de septiembre de 2018.