1. OBJETIVO

El presente documento pretende establecer la POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS de La Corporación para Investigaciones Biológicas – en adelanta La CIB – así como las actividades necesarias para su implementación y para regular el adecuado acceso a los datos personales de personas con algún tipo de relación con la entidad, cuidando el manejo ético y confidencial y de cumplir con la normatividad vigente.

2. ALCANCE

Aplica a todas las unidades y áreas de la CIB, que en el ejercicio de sus funciones, realizan recolección, almacenamiento, uso, tratamiento, intercambio y difusión de información de personas internas y externas a la institución, en el contexto de actividades administrativas, de desarrollo de proyectos de ciencia, tecnología e innovación y de prestación de servicios de salud, agro-ambientales, editoriales y educativos.

3. NOTAS DE CAMBIO.

Se ajusta el tiempo establecido en la sección “Procedimiento para solicitar consulta a datos, realizar peticiones o reclamaciones” al máximo referido en la ley (15 días) y se especifica el conducto de tratamiento interno de las solicitudes.

4. RESPONSABILIDAD.

La administración, actualización e implementación del presente procedimiento es responsabilidad de las áreas de sistemas, calidad, comunicaciones y de asesoría jurídica. Los coordinadores y líderes de área serán responsables de suministrar la información referente a sus bases de datos, así como de la administración de las mismas, conforme a lo declarado en la presente política.

5. GLOSARIO.

1. Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
2. Base de datos: Conjunto organizado de datos personales que sean objeto de tratamiento.
3. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
4. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
5. Datos sensibles: Son aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
6. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
7. Habeas Data: Derecho otorgado por la Constitución política de Colombia, que proclama la protección a la intimidad personal, familiar y el derecho al buen nombre de las personas, ordenando el deber estatal de respetarlos y hacerlos respetar. Implica igualmente el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. Expresa a la libertad y demás garantías consagradas en la Constitución como principios fundantes en la recolección, tratamiento y circulación de datos.
8. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
9. Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
10. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
11. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
12. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
13. Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable de la misma, dirigida al titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

6. DESARROLLO REGLAMENTO DE PROTECCIÓN DE DATOS.

14. Presentación.

La Corporación para Investigaciones Biológicas (CIB), es una entidad de carácter privado que trabaja en investigación básica, clínica y desarrollo tecnológico en el área de las ciencias biológicas. Es clasificada por Colciencias como centro de excelencia y actualmente participa en la formación de investigadores, prestación de servicios especializados y divulgación académica.

En cumplimiento de la Ley 1581 de 2012 y del Decreto 1377 de 2013, mediante los cuales se dictan disposiciones para la protección de datos personales y en el desarrollo del derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos, la CIB, en calidad de responsable del tratamiento de los datos personales de sus grupos de interés: personal interno, usuarios de los servicios, colaboradores, contratistas y proveedores, estudiantes en formación y entidades con relación jurídica o contractual (responsables de pagos, entidades de inspección, vigilancia y control, entre otras), cuya información obtenida se hace en el desarrollo de su actividad administrativa y misional, se compromete con el cumplimiento de la normativa mencionada.

De la misma manera, y en desarrollo de los principios de finalidad y libertad, la  recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del Titular.

15. Marco Legal.

1. Constitución Política de Colombia – Artículo 15
2. Ley 1266 de 2008 – Habeas Data.
3. Ley 1581 de 2012 – disposiciones generales para la protección de datos personales.
4. Decreto 1377 de 2013 – reglamenta parcialmente la Ley 1581 de 2012.
5. Conceptos de La Superintendencia de Industria y Comercio.

7. POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS.

La Corporación para Investigaciones Biológicas, identificada con NIT 890908790-8 con domicilio en:

Ciudad	Dirección	Teléfono	Áreas
Medellín, Antioquia	Carrera 72 A # 78B141	60-4-6051808	Administración, Investigación, CIB Salud, servicios agro- ambientales y Fondo Editorial.

es la responsable del tratamiento y protección de los datos obtenidos de sus diferentes grupos de interés. En el marco de su objeto social ha obtenido por su relación civil, laboral, comercial o académica-científica, información de datos personales de sus grupos de interés, que para efectos de la presente política, se denominaran “TITULARES” y tendrá para el tratamiento y protección de datos las siguientes políticas:

16. La Corporación para Investigaciones Biológicas (CIB) se compromete a dar un adecuado uso y tratamiento de los datos personales (sensibles o no sensibles) de sus TITULARES, bajo la debida custodia y políticas de seguridad de la información, que aseguren que terceros no accedan a información sin la debida autorización.
17. La Corporación para Investigaciones Biológicas (CIB)  debe establecer medidas de salvaguarda y reserva de las bases de datos con aliados estratégicos y contratistas, exigir su cumplimiento a todas aquellas personas naturales o jurídicas que tengan acceso y hagan Tratamiento de las bases de datos recolectadas, a través de la suscripción de acuerdos de confidencialidad. Esta obligación se debe extender incluso después de finalizada la relación laboral o contractual de la que se derivó el Tratamiento de datos personales.
18. Los grupos de interés para la CIB son: personal interno vinculado por contratos de trabajo, usuarios de los servicios, colaboradores, contratistas y proveedores, estudiantes en formación y entidades con relación jurídica o contractual.
19. Salvo las excepciones previstas en la ley, el tratamiento de los datos personales, sólo podrá realizarse con el consentimiento previo, expreso e informado de sus TITULARES, manifestado por escrito, de forma oral o mediante conductas que demuestren objetivamente su autorización.
20. La CIB solicitará a los TITULARES, los datos necesarios para el cumplimiento de sus funciones y su objeto social. La Información sensible requerida será de libre y voluntaria entrega por parte del respectivo TITULAR, quien deberá otorgar su consentimiento y autorización para su respectivo tratamiento.
21. La CIB dará cumplimiento a los requisitos especiales establecidos en la normativa para el tratamiento de datos sensibles, así como a lo concerniente a derechos fundamentales de los niños, niñas y adolescentes (su representante legal dará la autorización para el tratamiento de sus datos).
22. La CIB solo recopilará datos sensibles cuando:

1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
3. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
4. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
5. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

23. La autorización del Titular no será necesaria cuando se trate de:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
2. Datos de naturaleza pública;
3. Casos de urgencia médica o sanitaria;
4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
5. Datos relacionados con el Registro Civil de las Personas.

24. Prueba de la Autorización: Siempre que no se trate de aquellos casos en los cuales la ley exceptúa a la Corporación de obtener autorización del Titular, los cuales fueron señalados en el aparte anterior, el Titular podrá solicitar a La CIB prueba de la aceptación dada para el Tratamiento de sus datos.

25. Los Titulares tendrán derecho a que La CIB informe, previa solicitud, el uso que le han dado a sus datos personales, para lo cual deberá seguir el procedimiento que se señala en el numeral 7.16 de este documento.

26. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado como se establece en el numeral 7.16 del presente documento.

27. Como finalidad para la obtención de datos personales de los grupos de interés para la CIB se considera:

Grupo de Interés	Finalidad de la obtención de datos personales
Personal interno	Datos generales para contacto. Información para una relación laboral o de colaboración (contrato, convenio, otras figuras). Suministro de información de la CIB que sea de interés para el personal interno. Para actividades derivadas de gestión humana: proceso de afiliación al Sistema General de Seguridad Social Integral, inducción y entrenamiento, capacitación, bienestar laboral, seguridad y salud en el trabajo. Actualización de datos entregados por el titular. Para remuneración. Para acciones legales y cumplimiento de exigencias judiciales en caso de que aplique. Para cualquier otra finalidad que se derive de la vinculación contractual o de convenio. Con ocasión de los eventos, capacitaciones o demás actividades llevadas a cabo por éstas, podrán grabar y toma audios, videos o fotos de los empleados del desarrollo de éstos.
Usuarios        de        los servicios	Datos generales para contacto. Envío de información acerca de portafolio de servicios y políticas y condiciones para el acceso a los mismos. Actualización de datos entregados por el titular. Suministro de información de la CIB que sea de interés para los usuarios de los servicios. Para el envío de resultados o informes de la prestación de los servicios. Para envío de encuestas de calidad sobre nuestros productos y servicios. Para indicadores de la prestación de los servicios. Para acciones legales y cumplimiento de exigencias judiciales en caso de que aplique. Para suministro de información a las autoridades competentes en caso de ser requerida.

Grupo de Interés	Finalidad de la obtención de datos personales
	Adicionalmente, en los servicios de salud para: Caracterización y seguimiento a población en condiciones específicas de salud, utilizando la información derivada de los servicios asistenciales. Obtener datos para la investigación clínica y epidemiológica Para la toma de decisiones durante los servicios asistenciales (ejemplo información de historia clínica, consentimientos informados, autorizaciones). Entrega de reportes de salud pública de obligatorio cumplimiento. Dar respuesta a requerimientos de entes de control.
Estudiantes        en formación	Datos generales para contacto. Suministro de información de la CIB. Actualización de datos entregados por el titular. Para actividades derivadas de gestión humana: proceso de afiliación al Sistema General de Seguridad Social Integral, inducción y entrenamiento, capacitación, bienestar laboral, seguridad y salud en el trabajo).
Contratistas        y proveedores	Datos generales para contacto. Información para una relación de prestación de servicios. Información para el pago de servicios. Actualización de datos entregados por el titular. Información de seguridad y salud en el trabajo. Para indicadores de la prestación de los servicios. Para acciones legales y cumplimiento de exigencias judiciales en caso de que aplique.
Entidades        con relación jurídica o contractual.	Datos generales para contacto. Información para una relación contractual. Actualización de datos entregados por el titular. Información de seguridad y salud en el trabajo. Para acciones legales y cumplimiento de exigencias judiciales en caso de que aplique. Para cualquier otra finalidad que se derive de la vinculación contractual.
Visitantes	Datos de identificación del visitante para facilitar su ingreso en próximas visitas. Datos para seguridad dentro de la institución.

28. Deberes de la Corporación para Investigaciones Biológicas.

6. Garantizar al usuario el pleno y efectivo derecho constitucional de Habeas Data.

7. Asegurar adecuadas condiciones de seguridad y privacidad de la información, para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

8. Hacer uso de la información para los fines misionales y previstos en la ley.

9. Tramitar y responder de forma oportuna los reclamos que tengan los usuarios frente a la información consignada en la base de datos.

10. No circular o vender información de la base de datos de sus usuarios, sin causa legal o contractual que lo justifique.

11. Comunicar a los TITULARES los derechos que le asisten.

12. Dar información de identificación física o electrónica del responsable del tratamiento.

13. Difundir por los diferentes de canales de comunicación la presente política.

14. Informar al TITULAR el tratamiento al que serán sometidos sus datos personales y la finalidad del mismo.

15. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

29. Derechos de los TITULARES.

16. Derecho a acceder a sus datos personales.

17. Conocer, actualizar y rectificar información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo tratamiento este expresamente prohibido o no ha sido autorizado.

18. Derecho a solicitar prueba de la autorización de conformidad con lo previsto en el artículo 9 de la Ley 1581 de 2013. Se exceptúan de esta obligación los datos señalados en el artículo 10 de la misma.

19. Derecho a ser informado frente al uso que se le ha dado a sus datos personales, previa solicitud dirigida al responsable de la información.

20. Derecho a revocar la autorización y/o a solicitar la supresión del dato.

21. Interponer queja ante la Superintendencia de Industria y Comercio, cuando considere que le ha sido violado por parte de la CIB su derecho al Habeas Data.

30. Suministro de información.

La información que reúna las condiciones establecidas en el Art.13 de la Ley 1581 de 2012, podrá suministrarse a las siguientes personas:

7.15.1. A los TITULARES, sus causahabientes o sus representantes legales.

7.15.2. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

7.15.3. A los terceros autorizados por el TITULAR o por la ley.

31. Casos que no requieren autorización para el tratamiento de datos.

22. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

23. Datos de naturaleza pública.

24. Casos de urgencia médica o sanitaria.

25. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

26. Datos relacionados con el registro civil de las personas.

32. Procedimiento para solicitar consulta a datos, realizar peticiones o reclamaciones.

El TITULAR de la información contenida en alguna base de datos de la Corporación para Investigaciones Biológicas o su representante legal, podrá ejercer su derecho de conocer, actualizar, rectificar, suprimir y revocar la información contenida en las mismas, mediante un correo electrónico a la dirección: protecciondedatos@cib.org.co o de forma física enviando comunicación a la dirección: Carrera 72 A # 78B141 en Medellín, Antioquia. Para ambos casos, la solicitud debe ser clara frente a lo que se pretende, ya sea actualizar, rectificar, suprimir y/o revocar la información, que se encuentra contenida en una base de datos. Además, deberá contener los datos de contacto del peticionario para poder darle una respuesta.

Las solicitudes serán atendidas en un término máximo de quince (15) días hábiles contados a partir de la fecha de su recepción. Cuando no fuere posible atender la consulta dentro de dicho término, se explicará los motivos de la demora y se dará respuesta en un plazo no superior a los cinco (5) días hábiles siguientes al vencimiento del primer término.

Si la solicitud o el reclamo del peticionario resulta incompleta para su trámite, se le pedirá al solicitante completar la información en cinco (5) días hábiles, sino hay respuesta alguna, se entenderá que ha desistido de la solicitud o reclamo.

El responsable interno de recibir las solicitudes que llegan al correo protecciondedatos@cib.org.co, las redireccionará al responsable de la base de datos, para que haga la corrección o supresión de la información del solicitante. Si fuera necesario y en los casos que se requiera se definirá un comité para decidir sobre las solicitudes recibidas.

Se definirán tiempos de retención y preservación de la información de la base datos y los consentimientos serán debidamente almacenados garantizando su debida custodia y seguridad.

33. Responsables y encargados de Información.

La Corporación para Investigaciones Biológicas es la responsable general del tratamiento de información de las bases de datos que administra, pero para facilitar la atención y manejo de los datos, determina los siguientes responsables:

Clase de datos / base de datos		Unidad responsable	Alcance
Implementación y actualización la política general de la política	de	Sistemas Calidad Asesoría Jurídica Comunicaciones	Sistemas: administración de base de datos y protocolos de seguridad Comunicaciones: difusión de la política en        los        diferentes        canales        de comunicación. Calidad        y        Asesoría        Jurídica:
			actualización de la política conforme a la
			información de la CIB y a la normatividad
			vigente.

Personal interno				Gestión Humana	Administración de la base de datos de personal interno. Incluye personal en las diferentes modalidades de contratación
Usuarios de los servicios				Comunicaciones y Mercadeo IPS CIB Salud Servicios Agrícolas Especializados Fondo Editorial Aliados Estratégicos del fondo editorial, para efectos de Coediciones y Distribución. Gestión Financiera	Administración de la base de datos de clientes y usuarios. Aplica para los servicios de salud, agroambientales, editoriales y de educación.
Contratistas y Proveedores				Gestión Financiera Compras	Administración de la base de datos de proveedores.
Entidades contractual	con	relación jurídica	o	Dirección Administrativa Gestión Financiera	Administración de la base de datos de entidades colaboradoras o con relación contractual.
Visitantes				Recepción	Administración de la base de datos de visitantes.

34. Consideraciones para la implementación de la política por parte de los procesos y áreas de trabajo de la CIB.

ACTIVIDAD	DESCRIPCIÓN	RESPONSABLE
Difundir la política de tratamiento        y protección   de   datos en      los     diferentes	Desarrollar estrategias de comunicación dirigidas a los grupos de interés, para que conozcan sobre  las razones para obtener sus datos personales, la importancia de éstos en la atención asistencial, los	Comunicaciones

ACTIVIDAD	DESCRIPCIÓN	RESPONSABLE
canales        de comunicación previstos por la CIB.	proyectos de investigación o actividades administrativas y el tratamiento que se les dará en la CIB a los mismos, garantizando confidencialidad y respeto a las decisiones respecto a la autorización del manejo de sus datos personales.
Revisión        y actualización        de sistemas        de información de la CIB.	Revisión y actualización permanente de las capacidades de los aplicativos o programas instalados en la CIB, evaluando su capacidad de ingreso de datos personales, archivo de los mismos, seguridad y confidencialidad, estandarización de actividad de registro de los datos.	Sistemas
Registro        de        datos personales	Definir y registrar que información es la que se almacena en las bases de datos.	Responsables de bases de datos
Información y obtención de consentimiento informado (servicios de salud).	Informar al paciente la importancia del manejo de sus datos para un adecuado reporte de exámenes, así como la importancia de su autorización para su tratamiento en proyectos de investigación de la CIB, garantizando su manejo ético y confidencial. Entrega de documento para consentimiento informado, obtención de la firma por parte del paciente o persona responsable en el caso que el titular de los datos sea menor de edad o persona que requiera un responsable por sus condiciones físicas o jurídicas de acuerdo a la normatividad vigente, aprobando o rechazando el manejo de sus datos	Personal de admisiones o asistencial del áreas de ciencias de la salud (enfermería, medicina o bacteriología, otros).
Archivo        de documentos	Archivar y preservar la información correspondiente a la autorización para el tratamiento de datos y realizar el control y custodia, de acuerdo al procedimiento correspondiente.	*Responsables        de bases de datos * Sistemas *Gestión Documental
Consentimiento informado        para proyectos        de investigación        o estudios clínicos.	Cuando se pretenda contar con la participación de un individuo en proyectos de investigación o en estudios clínicos que impliquen intervenciones como toma de muestras o suministro de medicamentos, se deberá brindar nueva	*Investigadores principales *Coordinador Unidad de Investigación Clínica investigación o su

ACTIVIDAD			DESCRIPCIÓN	RESPONSABLE
			información a la persona acerca del proyecto de investigación o estudio clínico y obtener un consentimiento informado específico, en el cual queden claros los procedimientos que acepta y no acepta el individuo, así como los beneficios y riesgos de los mismos.	delegado
Contratación        con Entidades prestadoras de salud			Durante el procedimiento de contratación para la prestación de servicios de salud en IPS CIB salud con las aseguradoras de los regímenes contributivo y subsidiado, se discutirá con ellos y solicitará incluir una cláusula en el contrato que permita el manejo de los datos sensibles de los individuos objeto de la atención médica, para su inclusión en proyectos de investigación, dejando claro que se debe seguir la normatividad del país en cuanto a protección de datos personales y contar en todos los casos con la autorización y consentimiento de cada individuo para su participación y consulta de datos con este fin.	*Dirección        general        o Administrativa. * Coordinación IPS CIB Salud.
Solicitud información entidades	a	de otras	En el caso de requerir información de pacientes, la cual se encuentre bajo la protección de otra entidad y se considere importante para el desarrollo de proyectos de investigación de la CIB, se realizará solicitud formal por parte de la Dirección o administrativa y el coordinador de unidad y/o investigador principal del proyecto, para su presentación ante la entidad, con un resumen ejecutivo del proyecto de investigación, aprobación por los Comités de la CIB y compromisos para cumplir con la normatividad vigente. En estos casos, la identidad del paciente no será incluida en el informe, en los términos del artículo 6 de la ley 1581 de 2012.	*Dirección        general        o Administrativa. * Coordinación IPS CIB Salud.
Transferencia información		de	La transferencia y suministro de información personal de los titulares se realizará sólo en los casos autorizados por la ley colombiana, prohibiéndose  la  transferencia  a  países  que   no proporcionen niveles adecuados de protección de	Unidad        de Investigación Clínica – IPS Cib Salud

ACTIVIDAD	DESCRIPCIÓN	RESPONSABLE
	datos.

8. POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS Y LA HISTORIA CLÍNICA, DATOS DE PACIENTES Y/O PARA OBJETOS INVESTIGATIVOS Y ACADÉMICOS.

En virtud a que el objeto principal de La CIB es la investigación científica, el desarrollo tecnológico y la innovación en las áreas de las ciencias biológicas, lo que incluye la experimentación, la prestación de servicios especializados, la divulgación de conocimiento y el apoyo a actividades afines en los campos de las ciencias de la salud, la biodiversidad y la biotecnología agrícola y ambiental; formular y realizar proyectos de investigación científica, bien sea autónomamente o con la participación o cooperación de otras personas naturales o jurídicas, nacionales o extranjeras, la adquisición de información sensible sobre pacientes y datos consignados en historias clínicas son de común uso en La Corporación.

En este orden de ideas, La CIB es responsable de información que en los términos señalados en la ley 1581 del 2012 y las definiciones aca consignadas, tiene el carácter de Sensible.

Los datos contenidos en la historia clínica corresponden a lo que se denomina “información reservada” y ello significa que, en principio, sólo puede ser obtenida por autorización de su titular, por orden de autoridad judicial en el cumplimiento de sus funciones, o por individuos que por razón de las funciones que cumplen en el sistema de seguridad social en salud tienen acceso a ella.

La Resolución 1999 de 1995 emitida por el Ministerio de salud, establece las normas para el manejo de la historia clínica siendo la herramienta matriz que regula este acto médico, trata aspectos relevantes de la historia clínica como qué es, cuáles son sus características, su diligenciamiento, ámbito de aplicación de la norma, comité de la  historia clínica, conservación y custodia de la misma.

Según la ley 1581 de 2012 y el decreto 1377 de 2013, los datos relativos a la salud son catalogados jurídicamente como datos sensibles. Esta clase de información hace referencia a aspectos íntimos de la persona, que pueden ser nicho de discriminaciones o comprometer los derechos y libertades de la misma. Por regla general el tratamiento de estos datos es restrictivo y sólo se puede realizar bajo ciertas condiciones indicadas en la Ley 1581 de 2012, el decreto 1377 de 2013 y la jurisprudencia de la Corte Constitucional.

La prohibición del tratamiento de datos sensibles está prevista explícitamente en la Ley 1581 de 2012, el decreto 1377 de 2013 Artículo 6 y en algunos documentos internacionales que a su vez consagran una serie de casos excepcionales en los que es legítimo recolectar, almacenar y usar esta información.

Por lo tanto, todas las personas encargadas de éste Tratamiento de Datos le deben dar estricto cumplimiento a los principios y deberes consagrados para el tratamiento de datos personales Sensibles, expresados en la ley 1581 del 2012 y en particular al artículo sexto, la cual solo permite el uso de estos datos sensibles en los siguientes eventos:

1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
3. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
4. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
5. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

35. Tratamiento de Datos Sensibles para fines Científicos o Estadísticos.

En estos eventos, La CIB podrá hacer uso de los datos, y en cumplimiento del literal e) del artículo 6 de la ley 1581 de 2012, deberá tomar todas las medidas conducentes para la supresión de la identidad de los Titulares de los Datos Sensibles, u obtener la autorización por escrito de LOS TITULARES de los datos sensibles.

9. SISTEMAS DE VIDEO VIGILANCIA (SV) O CÁMARAS DE SEGURIDAD.

La CIB hace uso de Sistemas de vigilancia a través de un sistema de cámaras fijas (en adelante SV), implementadas con la finalidad de garantizar la seguridad de bienes o personas, esto por ser un medio de monitoreo y observación de actividades empresariales.

Los SV son considerados como intrusivos de la privacidad al involucrar herramientas como el monitoreo y la observación de las actividades que realizan las personas a lo largo del día.

Estas tareas de monitoreo y observación realizadas a través de los SV, implican la recopilación de imágenes de personas, es decir, de datos personales de acuerdo con la definición contenida en el literal c) del artículo 3 de la ley 1581 de 2012.

En consecuencia, en el manejo o Tratamiento de esos datos se deben observar los principios establecidos en dicha norma, esto es, legalidad, finalidad, libertad, calidad o veracidad, seguridad, confidencialidad, acceso y circulación restringida, y transparencia, así como las demás disposiciones contenidas en el Régimen de Protección de Datos Personales.

Este capítulo por lo tanto se refiere al Tratamiento de datos personales, por medio de cámaras, videocámaras, análogas o digitales, cámaras IP o mini-cámaras, circuitos cerrados de televisión (CCTV) y, en general, cualquier medio por el cual se realice el Tratamiento de imágenes de Titulares de datos personales, en especial con fines de vigilancia.

36. Normatividad en Sistemas de Video-vigilancia (SV).

1. En el caso de las imágenes de personas determinadas o determinables, operaciones como la captación, grabación, transmisión, almacenamiento, conservación o reproducción en tiempo real o posterior, entre otras, son consideradas como tratamiento de datos personales, y en consecuencia se encuentran sujetas al Régimen General de Protección de Datos Personales.
2. De acuerdo con el principio de libertad, que rige el tratamiento de datos personales, “el tratamiento solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular”. Así, por regla general se requiere que el Titular autorice el Tratamiento de sus datos personales. Es por esto que se deben establecer los mecanismos para obtener la autorización de los Titulares que se se encuentran dentro del área de video-vigilancia de La CIB, teniendo en cuenta que el consentimiento para ello se puede manifestar de las siguientes maneras:

1. Por Escrito.
2. De forma oral.
3. Mediante conductas inequívocas.

3. En todo caso se debe informar a los Titulares de datos personales que se encuentran en una zona de video-vigilancia y obtener su autorización para el Tratamiento de los mismos. Para ello, se pueden utilizar señales o avisos distintivos en las zonas de video-vigilancia, principalmente en las zonas de ingreso a los lugares que están siendo vigilados y monitoreados y al interior de estos.
4. La CIB podrá emplear anuncios de audio en caso que sea posible. En los casos en que se realice grabación de audio, también será informado a los Titulares.
5. Las señales o avisos implementados deben, como mínimo, cumplir con el contenido de un aviso de privacidad, a saber:

1. Incluir información sobre quién es el Responsable del Tratmiento y sus datos de contacto.
2. Indicar el Tratamiento que se dará a los datos y la finalidad del mismo.
3. Incluir los derechos de Los Titulares.
4. Indicar dónde está publicada la Política de Tratamiento de la Información.
5. El aviso debe ser visible y legible teniendo en cuenta el lugar en el que opere el SV.
6. El uso de la señal o aviso no exime del cumplimiento de las demás obligaciones contempladas por el Régimen General de Protección de Datos Personales para los Responsables y Encargados del Tratamiento.

6. La CIB ha establecido en la presente Política de Tratamiento de Datos, los procedimientos relacionados con la recolección, mantenimiento, uso, supresión o disposición final de los datos personales y la atención de las peticiones, consultas y reclamaciones presentadas por los Titulares, entre otros, de acuerdo al propósito o finalidad del SV.

7. A través de la Política de Tratamiento de Datos publicada en la página web de La CIB, se han socializado los procedimientos para el uso de los SV.
8. En este orden de ideas, la CIB ha establecido las siguientes reglas:

7. La CIB deberá solicitar y conservar prueba de la autorización de los Titulares para el Tratamiento de sus datos personales.

8. Se implementarán los SV sólo cuando sea necesario para el cumplimiento de la finalidad propuesta, respetando la dignidad y demás derechos fundamentales de las personas.

9. Se limitará la recolección de imágenes a la estrictamente necesaria para cumplir el fin específico previamente concebido.

10. Se informará a los Titulares acerca de la recolección y demás formas de Tratamiento de las imágenes, así como la finalidad de los mismos.

11. La conservación de las imágenes será únicamente por el tiempo estrictamente necesario para cumplir con la finalidad del SV.

9. Es obligación de la CIB igualmente, inscribir la base de datos que almacena las imágenes en el Registro Nacional de Bases de Datos. No Será necesaria la inscripción cuando el Tratamiento consista sólo en la reproducción o emisión de imágenes en tiempo real, sin perjuicio del cumplimiento de las demás disposiciones del régimen General de Protección de Datos Personales.

10. Se deben suscribir cláusulas de confidencialidad con el personal que accederá a los SV.

11. No podrán instalarse SV en lugares donde la recolección de imágenes y, en general, el Tratamiento de estos datos pueda afectar la imagen o la vida privada e íntima de las personas.

12. El SV contará con las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales, evitando su adulteración, pérdida, deterioro, consulta, uso o acceso no autorizado o fraudulento, mantener la integridad de la información y garantizar los derechos de los titulares de los datos personales. Para ello La CIB podrá implementar medidas como limitar el acceso a la información, cifrar la información y realizar auditorías periódicas a las medidas adoptadas.

13. Las medidas implementadas para garantizar la seguridad de la información deberán ser informadas a las personas que operen los SV para su puesta en práctica al operarlo.

14. Cuando el Tratamiento se limite a la reproducción o emisión de imágenes en tiempo real, la visualización debe limitarse solamente al personal autorizado para ello.

15. Las imágenes grabadas deben ser visualizadas en un área de acceso restringido que garantice la seguridad de las mismas.

16. Se deben establecer medidas sobre la confidencialidad y reserva de los datos personales y exigir su cumplimiento a todas aquellas personas naturales o jurídicas que tengan acceso y hagan Tratamiento de las imágenes recolectadas. Esta obligación se debe extender incluso después de finalizada la relación laboral o contractual de la que se derivó el Tratamiento de datos personales.

17. Los datos personales recolectados deberán mantenerse sólo por el tiempo que sea necesario, de acuerdo con la finalidad específica establecida por el Responsable del Tratamiento, al cabo del cual deberán ser eliminados. Es importante documentar los procesos de eliminación de la información.

18. Se deberán implementar protocolos de respuesta en el manejo de violaciones e incidentes de seguridad de los SV y, en caso de presentarse alguno, los Responsables o Encargados del Tratamiento deberán reportarlo a la Superintendencia de Industria y Comercio.

19. El acceso y divulgación de las imágenes debe estar restringido y su Tratamiento solo podrá hacerse por personas autorizadas por el Titular y/o por solicitud de una autoridad pública en ejercicio de sus funciones. En consecuencia, la divulgación de la información que se recolecta por medio de un SV debe ser controlada y consistente con la finalidad establecida por el Responsable del Tratamiento.

37. Derechos de Los Titulares de los datos personales recolectados a través de Sistemas de Vigilancia (SV).

20. Conocer, actualizar, rectificar o suprimir sus datos personales;
21. Revocar la autorización del Tratamiento;
22. Ser informados acerca del Tratamiento de los mismos;
23. Presentar quejas por infracciones al Régimen General de Protección de Datos Personales;
24. Acceder de forma gratuita a los datos personales que hayan sido objeto de Tratamiento, entre otros.
25. La CIB debe garantizar el ejercicio de estos derechos por parte de los Titulares de datos personales, así como dar cumplimiento a las demás obligaciones que les impone el Régimen General de Protección de Datos Personales.
26. Los Titulares de la información están facultados para ejercer su derecho de acceso a las imágenes tratadas mediante SV. En tal virtud, cuando un Titular ejerza este derecho, los Responsables y Encargados del Tratamiento deben adoptar los procedimientos y las medidas necesarias para proteger los derechos de los demás Titulares cuyos datos personales han sido objeto de Tratamiento junto con los de quien solicita el acceso.
27. Para ello, La CIB deberá por lo menos:

1. Establecer un procedimiento para acceder a las imágenes, que le permita a los Responsables y Encargados del Tratamiento verificar la calidad de Titular de quien solicita el acceso a la información.
2. Requerir al Titular solicitante datos como fecha, hora, lugar, entre otros, para facilitar la ubicación de la imagen y limitar al máximo la exposición de imágenes de terceros.
3. Si en la imagen aparece un (unos) tercero(s) Titular(es) de datos personales, se deberá contar con la autorización de dicho(s) tercero(s) para la entrega de la cinta o grabación.
4. Si no se tiene la autorización de los terceros para divulgar la información contenida en la cinta o grabación requerida, los Responsables y Encargados del Tratamiento deben garantizar la anonimización del (los) dato (s) del (los) tercero (s), tomando medidas encaminadas a tal fin, como hacer borrosa o fragmentar la imagen de dicho (s) tercero (s).
5. El Titular de los datos personales también se encuentra facultado para solicitar la supresión de sus imágenes en la medida que no exista un deber legal o contractual que impida tal supresión, como sería por ejemplo el caso en que los datos personales recolectados mediante una grabación constituyan prueba de la presunta comisión de un delito.

6. La solicitud de supresión, así como cualquier otra reclamación que se adelante ante los Responsables y Encargados del Tratamiento, deberá realizarse de acuerdo al procedimiento establecido por los artículos 15 y 16 de la Ley 1581 de 2012.
7. El término de retención de las imágenes debe ser limitado y razonable, en concordancia con la finalidad del tratamiento de los datos recolectados.

38. Tratamiento de Imágenes de Niños, Niñas y Adolescentes.

En la recolección de imágenes de niños, niñas y adolescentes se contemplaran las siguientes reglas:

28. Contar con la autorización de los padres o representantes legales de los menores y con la aquiescencia de estos, teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto.

29. Informar a los padres o representantes legales acerca de la finalidad y el Tratamiento al cual serán sometidos los datos personales de los menores, así como los derechos que les asisten.

30. Limitar la recolección y demás Tratamiento de las imágenes, de acuerdo con lo que resulte proporcional y adecuado en consideración a la finalidad previamente informada.

31. Garantizar la seguridad y reserva de los datos personales de los menores.

32. Restringir el acceso y la circulación de las imágenes, conforme a lo establecido en la ley.

33. El padre y/o representante legal del niño, niña o adolescente solo podrá acceder a las imágenes de este. Así, en caso de que se pretenda dar acceso o circular imágenes de clases y/o actividades donde aparezcan otros niños, niñas o adolescentes, se deberá solicitar la autorización de los padres y/o representantes legales de todos ellos. Siempre que la implementación de SV involucre también el Tratamiento de datos personales de otros Titulares, como directivos, personal docente o administrativo, padres de familia, etc.,  los Responsables y Encargados del Tratamiento deberán respetar los derechos de aquellos y cumplir las obligaciones que dicha calidad les  impone.

10. DOCUMENTOS DE REFERENCIA

39. ABC BUENAS PRÁCTICAS CLÍNICAS, INVIMA.

40. ABC GUÍA COMITÉ DE ÉTICA EN INVESTIGACIÓN. INVIMA.

41. DECRETO 1377 DE 2013, Ministerio de Comercio, Industria y Turismo, República de Colombia.

42. LEY ESTATUTARIA 1581 DE 2012, República de Colombia.

43. RESOLUCIÓN 2378 DE 2008, Ministerio de la Protección Social, República de Colombia.
44. RESOLUCIÓN 8430 DE 1993, Ministerio de Salud, República de Colombia.
45. Guía Protección de Datos Personales en Sistemas de Videovigilancia, Superintendencia Industria y Comercio.

11. LISTA DE REGISTROS.

Consentimientos informados de los servicios de la IPS.