CONTENIDO
CONTENIDO
1. OBJETIVOS DEL DOCUMENTO Y ÁREA DE APLICACIÓN 3
2. GESTIÓN DE VERSIONES DEL DOCUMENTO 3
3. UNIDADES A CARGO DEL DOCUMENTO 4
4. DESCRIPCIÓN DEL PROCESO 4
4.1. Condiciones generales 4
4.2. Principios orientadores 5
4.3. Tratamiento de los datos personales 6
4.4. Transmisión y transferencia de datos personales a otros países 13
4.5. Destinatarios de los datos personales 13
4.6. Tiempo de retención 14
4.7. Derechos que asisten al titular de los datos personales 14
4.8. Consultas y reclamos sobre el tratamiento de datos personales 15
4.9. Deberes de las empresas del grupo enel en colombia en materia de protección de datos personales 16
4.10. Tratamiento de datos personales en la cadena de abastecimiento 18
4.11. Entrega de datos personales a las autoridades 18
4.12. Registro nacional de base de datos 18
4.13. Oficial de protección de datos personales (DPO) 18
4.14. Vigencia de la política 18
5. REFERENCIAS 19
6. POSICIÓN DEL PROCESO ORGANIZATIVO EN LA TAXONOMIA DE PROCESOS 19
Cadena de Valor / Área de proceso: Legal and Corporate Affairs & Compliance 19
Macro Proceso: Compliance 19
7. DEFINICIONES Y ACRONIMOS 19
8. ANEXOS 24
8.1. Anexo I - Datos de identificación de las empresas del Grupo Enel en Colombia 24
RESPONSABLE DE COLOMBIA Y CENTRO XXXXXXX
Xxxxxxxxx Xxxxxxx
1. OBJETIVOS DEL DOCUMENTO Y ÁREA DE APLICACIÓN
El Grupo Empresarial Enel es un conglomerado multinacional del sector energético y un operador integrado líder en los mercados mundiales de electricidad y gas, en la cual ENEL Spa es la matriz de varias compañías ubicadas en el extranjero y también de varias compañías constituidas en Colombia en calidad de filiales, subsidiarias y vinculadas económicamente a el Grupo Empresarial Enel, sociedades colombianas que en conjunto y en lo sucesivo se denominarán las “Empresas del Grupo Enel en Colombia” y que se encuentran identificadas en el Anexo I de la presente Política.
Esta Política tiene como objetivo definir y establecer los lineamientos y responsabilidades para las Empresas del Grupo Enel en Colombia en relación con el Tratamiento de los Datos de Carácter Personal de los clientes, contratistas, proveedores, aliados y demás personas naturales cuyos datos sean tratados por las Empresas del Grupo Enel en Colombia, para asegurar el cumplimiento de la legislación colombiana en materia de protección de Datos Personales; garantizando el ejercicio de los derechos de los Titulares en relación con dichos datos.
Mediante la presente Política se establecen condiciones, responsabilidades, derechos y deberes, y en general el marco aplicable al tratamiento de datos de carácter personal en todo su ciclo de vida (creación, almacenamiento, procesamiento, transmisión, transferencia, modificación, supresión o disposición final, entre otros) tratados por las empresas que hacen parte del Grupo Enel en Colombia en desarrollo del objeto social de cada una y demás actividades empresariales, bien sea en calidad de Responsables y/o Encargados del Tratamiento. Lo establecido en esta (en adelante la Política) será de obligatorio cumplimiento para todos los directivos(as), trabajadore(as) y contratistas respecto a la protección de Datos Personales del Grupo Enel en Colombia.
Esta política se implementará y aplicará en la medida de lo posible dentro Grupo Enel en Colombia y en cumplimiento de las leyes, reglamentos y normas de gobernanza aplicables, incluidas las disposiciones relevantes de bolsa de valores y separación de actividades, que en cualquier caso prevalecerán sobre las disposiciones contenidas en este documento.
Principales mejoras y beneficios del proceso
Mejora de proceso: • S:Simplificación • O:Optimización • D:Digitalización
De | a | Principales Beneficios |
N/A | N/A | • Simplificación Elija un elemento. • Optimización Elija un elemento. • Digitalización Elija un elemento. |
2. GESTIÓN DE VERSIONES DEL DOCUMENTO
Versión | Fecha | Descripción de los cambios |
1 | 29/05/2019 | Elaboración inicial de la Política (Este documento deroga la Norma NO068 y PL008 del 27 xx xxxxx 2013) |
2 | 14/03/2022 | Esta versión deroga las Políticas 432 del 27 xx xxxxx de 2013 y 1154 del 26 xx xxxxxx de 2021 Se ajusta el formato de política de acuerdo con la actualización de la PO551 Process-related organizational documents governance |
05/05/2022 | Cambio por consistencia: Se actualiza el anexo I Datos de Identificación de las Empresas del Grupo Enel en Colombia debido a modificaciones de la estructura corporativa | |
3 | 05/04/2024 | Se actualiza el anexo I Datos de Identificación de las Empresas del Grupo Enel en Colombia debido a modificaciones de la estructura corporativa Se actualizan los canales de atención En desarrollo de la Resolución XXXX 0000 0000 de 2022 - por la cual se establecen las condiciones para la implementación de la infraestructura de medición avanzada en el Sistema Interconectado Nacional – se incorporan regulaciones respecto protección y tratamiento de los datos personales de los titulares de los datos en desarrollo de la prestación del servicio público de energía eléctrica. |
3. UNIDADES A CARGO DEL DOCUMENTO
Responsable de la elaboración del documento
• Unidad de Corporate Affairs, Finance, Industrial Law and Intellectual Property Rights Colombia Competence Centers, DPO and Legal Affairs Enel Grids Colombia.
• Unidad de Security Colombia y Centroamérica.
Responsable de la autorización del documento
• Unidad de Asuntos Legales y Asuntos Corporativos Colombia y Centro América
• Gerencia de Seguridad Colombia y Centroamérica
4. DESCRIPCIÓN DEL PROCESO
4.1. Condiciones generales
Las Empresas del Grupo Enel en Colombia reconocen la importancia constitucional que tiene la protección del derecho de las personas a su intimidad personal y familiar y a su buen nombre, asimismo se compromete a cumplir con los procedimientos establecidos por el Estado Colombiano para el tratamiento de Datos Personales respetando la libertad y demás garantías consagradas en la Constitución Política, la Ley 1581 de 2012, el Decreto 1377 de 2013, Decreto 1074 de 2015 y la demás normatividad aplicable.
En este sentido, Las Empresas del Grupo Enel en Colombia expresan su compromiso para garantizar el ejercicio del derecho constitucional que tienen todas las personas a conocer, actualizar, rectificar o suprimir la información que se haya recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales y legales.
Cada una de las empresas que componen el Grupo Enel en Colombia actuará en calidad de Responsable del Tratamiento de los Datos Personales y en virtud de dicha calidad, realizarán la transferencia a cada una de las Empresas del Grupo Enel en Colombia. Lo anterior respondiendo a la unidad de propósito y dirección extendida al Tratamiento de los datos por parte de los miembros del Grupo Enel en Colombia.
Las empresas pertenecientes al Grupo Enel constituidas en Colombia, en calidad de filiales, subsidiarias y vinculadas económicamente a el Grupo Enel, se encuentran plenamente identificadas en el Anexo I de la presente Política, Anexo que se mantendrá debidamente actualizado conforme la dinámica la estructura empresarial en Colombia.
4.2. Principios orientadores
Los siguientes son los principios orientadores bajo los cuales se rige el Tratamiento de los Datos Personales de las Empresas del Grupo Enel en Colombia, los mismos se encuentran contenidos en la normatividad vigente y en la jurisprudencia constitucional que se deben tener en cuenta al momento de interpretar el presente documento:
Principio de Legalidad en materia de Tratamiento de Datos: El tratamiento de los Datos Personales es una actividad reglada, que debe sujetarse a lo establecido en la Constitución Política de Colombia y en las normas que la desarrollen.
Principio de Finalidad: El tratamiento debe obedecer a una finalidad determinada, específica y legítima, de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
Principio de Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de Veracidad o Calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Las Empresas del Grupo Enel en Colombia prohíben para sus procesos internos el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
En desarrollo del principio de veracidad o calidad, en el tratamiento de los Datos Personales las Empresas del Grupo Enel en Colombia adoptarán las medidas razonables para asegurar que los Datos Personales que reposan en las bases de datos registradas, sean precisos y suficientes, de tal manera que satisfagan los propósitos del Tratamiento.
Principio de Transparencia: En el tratamiento, las Empresas del Grupo Enel en Colombia implementarán medidas para garantizar el derecho del Titular a obtener del Responsable o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de Temporalidad o Caducidad: El período de conservación de los Datos Personales autorizados para su Tratamiento será el necesario para alcanzar la finalidad para la cual se han recolectado.
Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento de los Datos Personales sólo podrá hacerse por Personas Autorizadas por las Empresas del Grupo Enel en Colombia; exceptuando la información categorizada como de carácter público. Las Empresas del Grupo Enel en Colombia no publicarán Datos Personales en medios de divulgación o comunicación masivos a menos que se cuente con la Autorización respectiva para ello y/o responda a un mandato legal. Las Empresas del Grupo Enel en Colombia implementarán medidas técnicas para controlar el acceso, evitar el acceso no autorizado y permitir el uso hacia los Titulares o terceros autorizados conforme a la ley.
Principio de seguridad: las Empresas del Grupo Enel en Colombia implementarán las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: las Empresas del Grupo Enel en Colombia implementarán medidas hacia las Personas Autorizadas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos para guardar la reserva de la información personal, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas por la ley y en los términos de la misma.
Principio de responsabilidad demostrada: las Empresas del Grupo Enel en Colombia son responsables por demostrar el debido cumplimiento del régimen de protección de Datos Personales colombiano.
4.3. Tratamiento de los datos personales
El Tratamiento de Datos Personales se entenderá como cualquier operación o conjunto de operaciones sobre los Datos Personales, tales como la recolección, almacenamiento, uso, circulación, supresión o disposición final. Así mismo, para efectos de esta Política comprenderá las siguientes actividades: investigación, recopilación a través de cualquier instrumento o dispositivo de grabación (por ejemplo, de: fotos, videos, audios, etc. O parte de ellas), identificación, uso, administración, manejo, organización, estructuración, almacenamiento (incluido el almacenamiento físico, lógico permanente o incluso temporalmente), comparación, compilación, reproducción, creación de perfiles, conservación, adaptación, modificación, integración, corrección, inspección, uso, actualización, extracción, consulta, comunicación, transmisión, difusión, segregación, supresión, cancelación, destrucción; Seudonimización, Anonimización y cifrado.
Los Datos Personales no públicos, están preclasificados como información CONFIDENCIAL y deben ser tratados de acuerdo con los establecido para esta categoría en la Política de protección y clasificación de la información del Grupo Enel.
Los Datos Personales después de la Seudonimización, el anonimato, cifrado o codificación pierden la calidad de los Datos Personales y pueden procesarse de acuerdo con el protocolo decidido en el momento de este procesamiento en particular y la posibilidad de convertirlos nuevamente en Datos Personales.
4.3.1. Creación de bases de datos que contengan datos personales.
Las Empresas del Grupo Enel en Colombia crearán Bases de Datos que contengan información de carácter personal cuando resulte necesario para el logro de la actividad de cada una de ellas y en el marco de lo establecido en la ley. Dichas Bases deben ser notificadas a las Unidades de LCA y Security para los trámites internos de Enel y para el cumplimiento de lo requerido en la legislación vigente.
4.3.2. Medios para la obtención de datos personales
Para la recolección de Datos Personales pueden emplearse medios impresos, cuestionarios electrónicos, entrevistas personales o telefónicas, formularios web, o cualquier otro medio que pueda ser objeto de consulta posterior.
4.3.3. Autorización
Al momento de obtener los Datos Personales las Empresas del Grupo Enel en Colombia deben solicitar al titular la autorización correspondiente, la cual debe ser informada, previa y expresa o inequívoca para el tratamiento de los datos personales en los términos de la ley. en todo caso, el modo de obtener la autorización debe ser adecuado para el propósito para el que se pide y debe atender a la naturaleza de la información recolectada. esta autorización implica que su titular autoriza el tratamiento de sus datos personales, incluyendo su transmisión y/o transferencia a nivel nacional o internacional para las finalidades descritas en este documento, conforme a la ley.
Las Empresas del Grupo Enel en Colombia deben conservar prueba del cumplimiento de lo arriba previsto y, cuando el Titular o la autoridad competente lo solicite, entregar copia de la autorización. asimismo, se deben mantener registros de cuándo y cómo se obtuvo la autorización por parte de los titulares de datos personales para el tratamiento de estos.
Siempre se debe obtener el Consentimiento expreso del Titular para la realización del Tratamiento de los Datos Personales Sensibles. Ninguna actividad podrá condicionarse a que el Titular suministre Datos Personales Sensibles, salvo que los mismos sean indispensables para el Tratamiento para el cual se pretende la Autorización.
De conformidad con el régimen legal vigente, esta autorización no será requerida en los siguientes casos, y en todos aquellos que señale la ley:
• Cuando sea requerida por una entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.
• Cuando se trate de datos de naturaleza pública.
• En casos de emergencia médica o sanitaria.
• Cuando el tratamiento de los datos esté autorizado por la ley para fines históricos, estadísticos o científicos.
• Cuando se trate de Datos Personales relacionados con el registro civil de las personas,
• Cuando exista un requisito legal o regulatorio que requiera el consentimiento expreso del titular
• Y en los demás casos que establezca la normatividad vigente.
En estos casos, si bien no se requiere de la autorización del Titular, si tendrán aplicación los demás principios y disposiciones legales sobre protección de los Datos Personales. El Titular de los Datos Personales tiene el derecho de revocar la autorización que habilita al Grupo Enel en Colombia para el tratamiento de sus datos personales con determinada finalidad, salvo en aquellos casos en los que se requiera para la correcta ejecución de un contrato o negocio jurídico, para cumplimiento de obligaciones legales derivadas de la relación contractual, y en aquellos casos contemplados como excepciones por la ley.
Los textos para la autorización de tratamiento de datos personales deben ser validados previamente con el DPO Colombia antes de su publicación y aplicación.
4.3.4. Datos Personales procedentes xx xxxxxxx externas
Cuando se decida la inclusión de Datos Personales en una Base de Datos que no hayan sido recabados directamente por las Empresas del Grupo Enel en Colombia, se debe comprobar la procedencia lícita, xxxx y no fraudulenta de dichos datos, estableciendo por escrito y mediante contrato que quien suministra los datos dispone de la prueba de autorización de cada uno de los Titulares para su transmisión o transferencia.
4.3.5. Reserva y confidencialidad de los datos personales
Las Empresas del Grupo Enel en Colombia, sus empleados(as), contratistas, proveedores, aliados y en general quienes tengan acceso a los datos personales, están obligados a guardar la confidencialidad respecto de dichos datos durante su tratamiento. es decir, este deber aplica a todos aquellos que utilicen los datos personales y/o tengan acceso a los mismos para el desarrollo de su trabajo y respecto de los directivos(as),
empleados(as) y contratistas de los encargados del tratamiento en cualquiera de los servicios que se contraten y que impliquen manejo y/o acceso a datos de carácter personal. estas obligaciones subsistirán aún después de finalizar sus relaciones laborales o contractuales.
4.3.6. Veracidad y calidad de los datos personales
Es política de las Empresas del Grupo Enel en Colombia utilizar información personal veraz, completa, exacta, actualizada, comprobable y comprensible, para lo cual implementará medidas de control para aumentar la calidad de la información, y pondrá a disposición de sus titulares de la Información personal canales adecuados para que puedan actualizarla cuando sea necesario.
Los Datos Personales que revelen los titulares deben ser veraces y exactos, así las cosas, cuando dichos datos sufran alguna modificación, es un deber del titular realizar actualizar los que sean necesarios para la recepción y/o prestación de los bienes o servicios contratados con las Empresas del Grupo Enel en Colombia. De acuerdo con lo anterior, las Empresas del Grupo Enel en Colombia no se hacen responsables por errores causados por información errónea o imprecisa proporcionada por el Titular.
4.3.7. Finalidad del tratamiento de datos personales
Las Empresas del Grupo Enel en Colombia, tratarán los datos personales de los titulares para efectos de desarrollar adecuadamente las actividades directas y derivadas del objeto social de cada una de las empresas que pertenecen al grupo empresarial. las empresas del Grupo Enel en Colombia se comprometen a tratar los datos personales para finalidades legítimas de acuerdo con la constitución política de Colombia y la ley, que en todo caso serán informadas al titular.
4.3.7.1. Finalidades generales
• Realizar todos los procesos necesarios para dar cumplimiento a las obligaciones legales y regulatorias en relación con terceros de las Empresas del Grupo Enel en Colombia.
• Remitir información que pueda resultar de interés para el accionista y/o inversionista, así como conocer y controlar la estructura accionaria de la sociedad.
• Crear bases de datos de acuerdo con las características y perfiles de los Titulares de los Datos Personales, todo de acuerdo con lo dispuesto con la ley.
• Registro y gestión de ejercicios de derechos de los titulares.
• Respecto de los datos, incluyendo imágenes, voz o parte de ellas y datos biométricos (i) recolectados directamente en los puntos de seguridad, (ii) tomados de los documentos que suministran las personas al personal de seguridad y (iii) obtenidos de las videograbaciones que se realizan dentro o fuera de las instalaciones de ENEL, se utilizarán para fines de seguridad de las personas, los bienes e instalaciones de las Empresas del Grupo Enel en Colombia y podrán ser utilizados como prueba en cualquier tipo de proceso.
• verificar la identidad del titular al momento de la vinculación, ejecución o terminación de una relación contractual.
• dar cumplimiento a las obligaciones propias de la relación contractual en cualquiera de sus etapas.
• Prestar servicios entre las empresas que componen el Grupo Enel en Colombia y sus matrices, filiales o subordinadas.
• Gestión de la documentación física de las Empresas del Grupo Enel en Colombia.
• Realizar las consultas y controles establecidos en los términos de la política de prevención xx xxxxxx de activos y financiación al terrorismo de las Empresas del Grupo Enel en Colombia y para verificar en las fuentes que considere necesarias la información suministrada.
• Efectuar los reportes a las autoridades competentes en materia xx xxxxxx de activos y financiación al
terrorismo, que considere necesarios realizar de conformidad con sus reglamentos y manuales de prevención y/o administración del riesgo xx xxxxxx de activos y financiación al terrorismo.
• Actividades de individualización para el desarrollo y ejecución de proyectos lo que incluye, pero no se limita a eventos de socialización de estos, recepción de peticiones, quejas, y reclamos, entre otras actividades relacionadas con la gestión del proyecto pretendido.
• Las fotografías y material de vídeo (incluyendo videos, imágenes, voz, o parte de estas) tomados en
eventos masivos institucionales, podrán ser incluidos en publicaciones en la intranet de la Empresa, para ser usados en campañas de comunicación, piezas de comunicación, productos de mercadeo, filmaciones, comunicaciones, impresos o audiovisuales; utilizando los medios técnicos conocidos en la actualidad y los que pudieran desarrollarse en el futuro. Todo ello con la única salvedad y limitación de aquellas utilizaciones o aplicaciones que pudieran atentar contra los derechos fundamentales contenidos en la Constitución y la ley;
• Transmisión y/o transferencia a nivel nacional o internacional para las finalidades descritas en este documento, conforme a la ley para garantizar la correcta prestación de los servicios ofrecidos por las Empresas del Grupo Enel en Colombia.
• Consultar, recolectar, actualizar y tratar Datos Personales de clientes, usuarios, proveedores y demás
colaboradores por razones financieras, sin limitarse a registros por gestiones de cobranza o centrales de información crediticia y financiera, cuando así se requiera y siempre que medie Autorización del Titular.
• Realizar actividades de gestión administrativa, comunicación o notificación, en los términos xx xxx.
4.3.7.2. Finalidades para clientes.
• Dar Tratamiento a los Datos Personales para la prestación del servicio público de energía eléctrica y/o la comercialización, distribución y/o generación de otros recursos energéticos y/o almacenamiento de energía; y /o los productos y servicios de valor agregado, según sea el caso.
• Efectuar encuestas de satisfacción y/o opinión respecto de los bienes y servicios prestados por las
Empresas del Grupo Enel en Colombia.
• Contactar al Titular a través de medios electrónicos y virtuales para el envío de información relacionada con la finalidad para la cual fueron recabados sus datos.
• Llevar a cabo estudios xx xxxxxxx, ventas directas, ofertas y colocación de productos o servicios que prestan las Empresas del Grupo Enel en Colombia y/o aliados estratégicos/comerciales en calidad de Encargados, para comunicaciones comerciales o actividades de marketing. Estas actividades pueden llevarse a cabo mediante el envío de material publicitario, informativo, promocional o de invitación, utilizando medios físicos, telefónicos o electrónicos.
• Atender y resolver de reclamaciones de clientes de las Empresas del Grupo Enel en Colombia.
• Enviar mensajería para acciones de fidelización y recordatorio de obligaciones por medios digitales o físicos como por ejemplo los SMS, Correo electrónico o material impreso.
• Conocimiento del cliente y análisis/evaluación de su experiencia.
• Levantamiento de potenciales y segmentos. Actividades de prospección comercial y perfilamiento de Clientes para determinar la idoneidad de los servicios ofertados y/o prestados por el Grupo Enel en Colombia de acuerdo con sus necesidades, hábitos de uso y comportamiento.
• Establecer un histórico de relaciones comerciales.
• De acuerdo con lo establecido en el contrato de prestación de servicio público (cuando sea aplicable) el cliente podrá ser contactado a través de, pero sin limitarse a, comunicación telefónica, SMS, correo electrónico, comunicación escrita, entre otras para informar los eventos programados por el Operador de Red y para efectos de comunicaciones y notificaciones relacionadas con actos de prestación del servicio. El tratamiento de esta información para fines diferentes a los vinculados con la prestación del servicio deberá ser previamente informado y autorizado por el Cliente, en su calidad de Titular del dato.
4.3.7.3. Finalidades para proveedores.
• Llevar a cabo a satisfacción todas las etapas de los procesos de contratación.
• Controlar el cumplimiento de requisitos relacionados con el sistema de seguridad social integral.
• Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables de las Empresas.
• Cumplir los procesos internos de las Empresas en materia de administración de proveedores y contratistas.
• Realizar una gestión contable, administrativa, y fiscal para la facturación, cobros y pagos, gestión económica, gestión contable, gestión fiscal de proveedores y clientes.
• Verificar el cumplimiento de los acuerdos y compromisos asumidos en virtud de la relación o vínculo existente con proveedores, contratistas y terceros.
• Gestión de proveedores, gestión de cobros y pagos, estadísticas, control de calidad, gestión de adquisición de bienes y servicios y control y seguridad de instalaciones.
• Adelantar las actividades propias del objeto social de las Empresas y aquellas derivadas de la relación normal con un proveedor de bienes o servicios, contratistas o un tercero con quien celebra acuerdos de colaboración.
• Cumplir con los requisitos establecidos sobre las leyes vigentes sobre la Seguridad y Salud en el trabajo.
4.3.7.4. Tratamiento de datos personales de accionistas e inversionistas.
Los datos e información personal de las personas naturales que llegaren a tener la condición de accionista y/o inversionista de alguna de las Empresas del Grupo Enel en Colombia, se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene dicho carácter por disposición legal. En consecuencia, el acceso a tal información personal se efectuará conforme las disposiciones contenidas en el Código de Comercio que regulan la materia. Las Empresas del Grupo Enel en Colombia solo usarán los datos personales de los accionistas e inversionistas para las finalidades derivadas de la relación estatutaria existente.
4.3.4.5. Tratamiento de datos personales de proveedores y/o contratistas.
Las Empresas del Grupo Enel en Colombia recolectarán de sus proveedores y/o contratistas los Datos Personales que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar. Así mismo, recolectarán de sus proveedores y/o contratistas los Datos Personales de los empleados(as) de este, que sean necesarios, pertinentes y no excesivos, que por motivos de cumplimiento legal o de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor, así como la verificación de la idoneidad y competencia de tales empleados(as) en desarrollo de la selección, evaluación y ejecución del contrato a que haya lugar.
Cuando se le exija a las Empresas del Grupo Enel en Colombia, por mandato legal, la divulgación de Datos Personales del proveedor y/o contratista (persona natural contratante o quien represente la persona jurídica) consecuencia de un proceso de contratación, esta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta política.
De acuerdo con las condiciones de seguridad contractuales entre las Empresas del Grupo Enel Colombia y sus terceros es una obligación el implementar las medidas de seguridad para de tratamiento de Datos Personales, así como para gestionar los eventos de incumplimiento y/o inadecuada gestión.
4.3.8. Tratamiento de datos personales en procesos de contratación
Los terceros que en procesos de contratación, alianzas y acuerdos de cooperación con la empresa accedan, usen, traten y/o almacenen Datos Personales recolectados por El Grupo Enel en Colombia y relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta Política y en la ley, así como las medidas de seguridad que le indique El Grupo Enel en Colombia según el tipo de dato de carácter personal tratado.
4.3.9. Tratamiento de datos personales de clientes y usuarios de servicios públicos domiciliarios (en los casos aplicables).
Las Empresas del Grupo Enel en Colombia tratarán los Datos Personales recolectados en la prestación del servicio público conforme a lo establecido en esta Política y en la ley para los fines dispuestos en el Contrato de Prestación del Servicio Público de Energía Eléctrica en cumplimiento de la Ley 142 de 1994, Ley 143 de 1994, Ley 1437 de 2011, Resolución CREG 108 de 1997 y CREG 015 de 2018 y demás reglamentación aplicable, sobre los cuales el usuario o suscriptor del servicio, deberá cumplir con las obligaciones contenidas en dicho Contrato, y en especial sobre los Datos Personales deberá: i) Identificarse plenamente: Si es persona natural, indicar nombres y apellidos completos, tipo y número de documento de identidad, número de teléfono fijo o celular, email si lo tiene. Si es persona jurídica, nombre de la empresa, tipo y número de documento de identidad de la empresa; y nombres y apellidos completos, tipo y número de documento de identidad, email y números telefónicos de la persona de contacto; ii) Informar su calidad respecto al inmueble: Propietario, poseedor, tenedor, u otra; iii) Identificar el inmueble: Dirección física, de manera amplia y completa, barrio, localidad, municipio y ciudad. En caso de predios en zona rural informar municipio, vereda y nombre del predio, finca o condominio cuando aplique; iv) Informar las condiciones de contratación del suministro; v) Reportar cualquier cambio en la propiedad como: Compraventa, cesión de derechos del inmueble; vi) Indicar un número de celular y/o correo electrónico para que las Empresas del Grupo Enel en Colombia informen los eventos programados por el Operador de Red y para efectos de comunicaciones y notificaciones relacionadas con actos de prestación del servicio.
Así mismo y en desarrollo de la Resolución XXXX 0000 0000 de 2022 por la cual se establecen las condiciones para la implementación de la infraestructura de medición avanzada en el Sistema Interconectado Nacional, las Empresas del Grupo Enel tratarán los datos personales del usuario y/o suscriptor en los términos del artículo 9 de dicha Resolución o las normas que los deroguen, modifiquen o sustituyan. El Responsable del tratamiento de los datos son las Empresas del Grupo Enel en Colombia que tengan la calidad de Comercializador del Servicio y los Encargados del Tratamiento serán los Operadores de Red y el GIDI por lo cual entre ellos habrá lugar a una transmisión de datos personales en los términos del Decreto 1074 de 2015. Los Datos Personales serán tratados por parte del Responsable y sus Encargados para la recolección, uso, almacenamiento, circulación, divulgación, transmisión, transferencia, gestión comercial, planeación y operación del sistema y la gestión de pérdidas, así como la supresión, si hay lugar a ella, de los Datos Personales y de los Datos de Energía Eléctrica con el propósito que puedan ser usados para las finalidades relacionadas exclusivamente con la prestación del Servicio Público de Energía Eléctrica incluyendo el marco de la implementación de la infraestructura de medición avanzada en el Sistema Interconectado Nacional; el tratamiento de esta información para fines diferentes a los vinculados con la prestación del servicio, deberá ser previamente informado y autorizado por el Usuario, en su calidad de Titular del dato y por ningún motivo su no autorización podrá limitar la prestación del servicio público domiciliario o el cambio de comercializador. La transmisión y transferencia de Datos Personales, incluyendo los Datos de Energía Eléctrica que ostenten dicha calidad, requeridas para la correcta implementación y prestación del servicio a través del AMI se realizará en los términos de la Ley 1581 de 2012 y lo dispuesto en el numeral 4.4 de esta Política.
4.3.10. Tratamiento de datos personales de la comunidad en general.
La recolección de datos de personas naturales que El Grupo Enel en Colombia trate en desarrollo de acciones relacionadas con la comunidad bien sea consecuencia de actividades de responsabilidad social empresarial, actividades a realizar en las zonas de influencia de la prestación de los servicios o en zonas de influencia en relación con proyectos específicos, o de cualquiera otra actividad, se sujetará a lo dispuesto en esta Política.
4.3.11. Tratamiento de datos personales de niños, niñas y adolescentes.
El Tratamiento de Datos Personales de niños, niñas y adolescentes está prohibido por la Ley, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:
1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal xxx xxxx, xxxx o adolescente otorgará la Autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
Las Empresas del Grupo Enel en Colombia, así como sus Encargados involucrados en el tratamiento de los Datos Personales de niños, niñas y adolescentes, velarán por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y demás normatividad aplicable.
4.3.12. Datos personales sensibles
De conformidad con lo establecido la normatividad colombiana, sólo procederá el Tratamiento de Datos Personales Sensibles cuando se cumpla con los siguientes requisitos:
• Que haya Autorización explícita del Titular de los datos sensibles.
• Que el Titular conozca que no está obligado a autorizar el tratamiento de dicha información.
• Que se informe al Titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad de este.
• Que el Titular los comparta como parte de las solicitudes, quejas o reclamos.
• Que el Titular los comparta en caso de emergencia o para preservar la vida e integridad de las personas.
De igual forma, se podrá hacer uso y tratamiento de ellos cuando:
• El tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En este evento, los representantes legales y/o tutores deberán otorgar su autorización.
• El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial.
• El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
Se informa a todos los Titulares que, en caso de tratamiento de Datos Personales sensibles, por su naturaleza no está obligado a dar su autorización.
4.3.13. Seguridad de la información.
Las Empresas del Grupo Enel en Colombia aplicarán sus políticas, normas y procedimientos de Seguridad de la Información al tratamiento de los Datos Personales con el objeto de resguardar su disponibilidad, integridad y confidencialidad y buscando su protección sobre los riesgos inherentes a las actividades donde se realice el Tratamiento de los Datos Personales.
Las Empresas del Grupo Enel en Colombia podrán conservar los Datos Personales de los Titulares de la información en bases de datos ubicadas en Colombia o en el extranjero, cumpliendo con la finalidad autorizada por el Titular de los datos, y utilizando medidas para necesarias para resguardar su seguridad.
4.4. Transmisión y transferencia de datos personales a otros países
En cumplimiento de la Ley, las Empresas del Grupo Enel en Colombia no podrán realizar la Transmisión y Transferencia de Datos Personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo autorización expresa de la Autoridad Competente. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la SIC sobre la materia. En vista de lo anterior, cuándo se requiera transmitir y/o transferir Datos Personales a otros países, incluyendo aquellos en los cuales tenga presencia el Grupo Empresarial al que pertenece la Empresa, se debe consultar con el Oficial de Protección de datos (DPO) quien debe dar su visto bueno previo a realizar la transferencia o transmisión; o iniciar el trámite correspondiente ante la SIC.
Las Empresas del Grupo Enel en Colombia podrán Transmitir o Transferir, todos o parte de los Datos Personales de los Titulares de la información a cualquiera de las empresas que integran El Grupo Enel en Colombia y demás entidades autorizadas de acuerdo con la legislación colombiana para la realización de actividades y prestación de servicios, así como a sus empleados(as), contratistas, prestadores de servicios, proveedores, distribuidores y/o asesores y demás colaboradores, para efectos de la prestación de servicios, para ofrecer nuevos productos o servicios de cualquiera de las empresas del Grupo Enel en Colombia.
En los eventos de transmisión de datos en los que no medie la autorización toda vez que se cuenta con un contrato en los términos de la Ley, las Empresas del Grupo Enel en Colombia adoptarán las medidas necesarias para que las personas que tengan acceso a los Datos Personales cumplan con la presente Política y con los principios de protección de Datos Personales establecidos en la Ley. En especial establecerá cláusulas contractuales o celebrará un contrato de transmisión de Datos Personales en el que señalará, como mínimo: a. Alcances del tratamiento, b. Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los Datos Personales y, c. Las obligaciones del encargado para con el Titular y el responsable. Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones de las Empresas del Grupo Enel en Colombia bajo la presente Política y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables. Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado: a. Dar tratamiento, a nombre del responsable, a los Datos Personales conforme a los principios que los tutelan. b. Salvaguardar la seguridad de las bases de datos en los que se contengan Datos Personales. c. Guardar confidencialidad respecto del tratamiento de los Datos Personales.
4.5. Destinatarios de los datos personales
Los Datos Personales tratados por las Empresas del Grupo Enel en Colombia pueden ser accesibles:
a) A los empleados(as) y colaboradores(as) de las Empresas del Grupo Enel en Colombia que hayan sido autorizados dentro de los límites de las tareas y autorizaciones asignadas a cada una
b) A otras Empresas del Grupo Enel en Colombia;
c) A terceras empresas u otros sujetos ("Terceros") que lleven a cabo actividades contratadas en representación del responsable del tratamiento, en su calidad de Encargados del tratamiento de datos, y a Personas Autorizadas para el Tratamiento, luego de verificar que el tercero cumple con las medidas de seguridad y que este garantiza el cumplimiento de los requisitos de las leyes aplicables y que se ha firmado un acuerdo de confidencialidad y no divulgación.
d) A las entidades públicas, administrativas y/o autoridad competente en virtud de sus actividades misionales o mandato legal, luego de que se ha verificado el alcance y nivel de atribución o competencias de la autoridad, y finalidad y autenticidad de las solicitudes.
e) Al Titular o sus causahabientes debidamente autorizados o apoderados por titular, o que cumplan con todos los requisitos xx xxx.
Los Datos Personales se podrán comunicar teniendo en cuenta las medidas de seguridad establecidas en la política de clasificación y protección de la información, aplicables en especial para los datos clasificadas como: Público, Confidencial y Estrictamente Confidencial.
4.6. Tiempo de retención
El período de almacenamiento de Datos Personales será de acuerdo con lo establecido por la ley atendiendo a la finalidad de Tratamiento, en los casos en que la ley no establezca un período mínimo de retención.
Los Datos Personales sujetos a Tratamiento para los fines mencionados anteriormente se almacenarán de conformidad con los principios de proporcionalidad, necesidad y en ningún caso inferiores a lo establecido en las políticas de las Empresas del Grupo Enel en Colombia, y dentro del alcance de las finalidades del Tratamiento. Los Datos Personales se almacenarán en una forma que permita la identificación del Titular durante un período de tiempo que no exceda el necesario para los fines para los que fueron recopilados o posteriormente tratados; sin perjuicio de las obligaciones de conservación de los registros contables, datos judiciales y extrajudiciales, entre otras.
4.7. Derechos que asisten al titular de los datos personales
Los Titulares de los Datos de carácter personal contenidos en Bases de Datos que reposen en los sistemas de información de las Empresas del Grupo Enel en Colombia, tienen los derechos descritos en este documento y demás señaladas por la ley, en cumplimiento de las garantías fundamentales consagradas en la Constitución política y en la ley.
a) Conocer, actualizar y rectificar sus Datos Personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en la presente ley;
c) Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales;
d) Presentar ante los entes de control las quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato personal en cualquier momento para las finalidades no contempladas en el contrato de condiciones uniformes de prestación del servicio de energía eléctrica u otros contratos de servicio vigentes entre las Empresas del Grupo Enel en Colombia y el Titular de la información. Para revocar la autorización y/o solicitar la supresión del dato personal, de debe realizar el trámite previsto en la presente política para presentar reclamos sobre el tratamiento de los Datos Personales, y conforme lo establecido en la ley.
f) Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de tratamiento, para lo cual se debe seguir lo estipulado en la presente política para realizar consultas sobre los Datos Personales suministrados por el Titular.
4.7.1. Sobre el Derecho de revocatoria de la autorización y/o la supresión de Datos Personales
El derecho de revocatoria de la autorización y/o supresión de los Datos Personales no es absoluto y se puede negar el ejercicio de este, de acuerdo con lo contenido en la ley, cuando:
• El Titular tenga un deber legal o contractual de permanecer en la base de datos.
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés general.
Por tanto, ante una solicitud de revocatoria de la autorización y/o supresión, el dato se conservará para estas finalidades exclusivamente, debiendo excluirse su tratamiento para cualquier otra finalidad.
4.8. Consultas y reclamos sobre el tratamiento de datos personales
4.8.1. Consultas
Los Titulares o sus causahabientes que acrediten debidamente su facultad, podrán consultar la información personal del Titular que repose en cualquier base de datos de las Empresas del Grupo Enel en Colombia. Las Empresas del Grupo Enel en Colombia deberán suministrar a éstos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. La consulta será realizada previa confirmación de la identidad del Titular o de sus causahabientes.
La consulta se podrá formular por los medios habilitados por las Empresas del Grupo Enel en Colombia y descritos en la presente Política.
La consulta será atendida en un término xxxxxx xx xxxx (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
4.8.2. Reclamos
El Titular o sus causahabientes que acrediten debidamente su facultad, que consideren que la información contenida en una base de datos propiedad de las Empresas del Grupo Enel en Colombia, debe ser corregida, actualizada, suprimida, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrán presentar un reclamo a las Empresas del Grupo Enel en Colombia por los medios habilitados por este último y descritos en la presente Política. El reclamo será atendido previa confirmación de la Identidad del Titular o de sus causahabientes.
Cuando se presente un reclamo por cualquiera de los medios habilitados para tal fin por El Grupo Enel en Colombia, éste será tramitado de la siguiente manera:
El interesado debe formular el reclamo mediante solicitud que por lo menos deberá contener: (i) la identificación del Titular, (ii) la descripción del reclamo, (iii) la dirección para efectos de notificación, (v) la documentación que pretenda hacer valer y (vi) si se actúa por intermedio de apoderado o como causahabiente, el documento que lo acredite como tal.
1. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
2. Si las Empresas del Grupo Enel en Colombia no son competentes para resolver el reclamo, le debe dar traslado a quien corresponda en un término máximo de dos (2) días hábiles e informar de la situación al interesado.
3. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este en un término no mayor a dos (2) días hábiles. Dicha etiqueta se mantendrá hasta que el reclamo sea decidido.
4. El término máximo para atender el reclamo es de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo completo. Cuando no fuere posible atender el reclamo dentro de dicho término, se debe informar al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
5. Si como parte del reclamo se incluyen archivos con código malicioso, por ejemplo, virus informático, estos documentos no serán tenidos en cuenta para la respuesta al Titular.
Respecto la solicitud de supresión, el Titular deberá tener en cuenta que, en algunos casos, cierta información, deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo con la solicitud del Titular.
4.8.3. Xxxxxxx para realizar consultas, peticiones y reclamos.
Las Empresas del Grupo Enel en Colombia han dispuesto de los siguientes canales de atención para realizar consultas y reclamos respecto la protección y el tratamiento de los Datos Personales:
Clientes, usuarios de servicios públicos domiciliarios (en los casos aplicables) y comunidad en general:
• Comunicación escrita a la cuenta de correo: xxxxxxxxxxxxxxxx@xxxx.xxx
• Línea gratuita nacional 018000 912 115
• Línea de servicio 601 5 115 115
Clientes Enel X Colombia SAS ESP:
• Página Web xxx.xxxxxxxxxxx.xxx.xx Proveedores:
• Línea CASA (000) 000 0000 Ext 3300
Accionistas e inversionistas:
• Comunicación escrita a la cuenta de correo: xx.xxxxxxxx@xxxx.xxx
4.9. Deberes de las empresas del Grupo Enel en Colombia en materia de protección de datos personales
4.9.1. Deberes para los responsables del tratamiento
Cuando se actúe en calidad de responsable del tratamiento de Datos Personales bajo su custodia, las Empresas del Grupo Enel en Colombia deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley:
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b. Solicitar y conservar, en las condiciones previstas en el presente documento, copia de la respectiva autorización otorgada por el Titular.
c. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
h. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley.
i. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
j. Tramitar las consultas y reclamos formulados en los términos señalados en la ley y en el presente documento.
k. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y en especial, para la atención de consultas y reclamos.
l. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
m. Informar a solicitud del Titular sobre el uso dado a sus datos.
n. Informar, en los términos de la Ley, a la Autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
o. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
4.9.2. Deberes para encargado del tratamiento
Cuando se actúe en calidad de Encargado del tratamiento de Datos Personales bajo su custodia, y aquellos terceros que actúen en nombre del responsable en calidad de Encargado, las Empresas del Grupo Enel en Colombia deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley:
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley y este documento.
d. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
e. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley y en este documento.
f. Adoptar políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
g. Registrar en la base de datos la leyenda “reclamo en trámite” o similares en la forma en que se regula en la Ley y en el presente documento.
h. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
i. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
k. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
l. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
m. En el evento en que concurran las calidades de responsable del tratamiento y encargado del tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.
4.10. Tratamiento de datos personales en la cadena de abastecimiento
Es política de las Empresas del Grupo Enel en Colombia incluir los mismos niveles para la protección de los Datos Personales cuando contrate con aliados estratégicos y/o contratistas de servicios en los cuales tenga que asignar el rol del Encargado de su tratamiento. Adicionalmente las Empresas del Grupo Enel en Colombia validarán y homologarán las medidas de protección de la información que los terceros aliados de negocio y/o contratistas en calidad de responsables del tratamiento, cuando le asignen a alguna empresa de El Grupo Enel en Colombia el rol de Encargado del tratamiento.
Para toda contratación entre alguna empresa del Grupo Enel en Colombia y un tercero donde se incluya el tratamiento de Datos Personales es obligatorio el establecimiento de acuerdos de confidencialidad y no divulgación.
4.11. Entrega de datos personales a las autoridades
Cuando las autoridades soliciten a las Empresas del Grupo Enel en Colombia el acceso y/o entrega de datos de carácter personal contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos.
4.12. Registro Nacional de base de datos
De acuerdo con las obligaciones contenidas en la Ley, las Empresas del Grupo Enel en Colombia deben registrar sus Bases de Datos junto con esta Política de tratamiento de Datos Personales en el Registro Nacional de Bases de Datos administrado por la SIC de conformidad con el procedimiento estipulado por dicha Autoridad.
4.13. Oficial de protección de datos personales (DPO)
Las Empresas del Grupo Enel en Colombia han designado un Oficial de Protección de datos (DPO) quien es el encargado de monitorear, medir y controlar el programa de protección de información personal. Se debe involucrar al DPO en todos los asuntos relacionados con la protección de Datos Personales y garantizar su independencia en el desempeño de las funciones a través de:
• Garantizar los recursos necesarios para llevar a cabo sus tareas;
• Asegurarse de que no reciba instrucciones, ni sea penalizado por sus decisiones u opiniones;
• Informar directamente al Representante Legal del responsable o los Encargados;
• Asegurar que el DPO no opera en situaciones de conflictos de interés.
4.14. Vigencia de la política
La política de tratamiento de dato tiene vigencia desde el 27 xx xxxxx de 2013. Esta versión actualiza dicha Política conforme al proceso de fusión incluido en el Registro Público en el cual Emgesa S.A. ESP en proceso de fusión absorbe a las sociedades Codensa S.A. ESP y Xxxx Xxxxx Power S.A.S ESP las cuales desaparecen sin liquidarse; y los desarrollos normativos sobre protección de Datos Personales, en consecuencia, deroga en su totalidad a la versión anterior de esta Política y a las Políticas del Grupo Enel en Colombia 432 y 1154. La presente Política resulta aplicable desde su publicación y estará vigente hasta tanto sea modificada o derogada.
5. REFERENCIAS
• Policy No. 33 “Information Classification and Protection”
• Organizational Procedure No.551 Process-related organizational documents governance
• Modelo de Prevención de Riesgos Penales
• Reglamento Interno de Enel Colombia
• Política No. 344 - Aplicación del reglamento general de protección de datos GDPR (Reglamento UE 2016/679) en el ámbito del Grupo Enel
• Política No. 347 - Gestión de Violaciones de la Seguridad de Datos Personales
• Política No. 487 - Seguridad de la Información
• Ley Estatutaria 1581 de 2012 (Protección de Datos Personales)
• Decreto No. 886 de 2014
• Decreto 1074 de 2015
• Documentos reglamentarios emitidos por la Autoridad Competente que regulen la protección de los Datos Personales
Group Pillar References
• The Code of Ethics of Enel Group;
• The Enel Group Zero Corruption Tolerance Plan (ZTC);
• Organization and Management Model as per Legislative Decree No. 231/2001;
• Enel Global Compliance Program (EGCP).
6. POSICIÓN DEL PROCESO ORGANIZATIVO EN LA TAXONOMIA DE PROCESOS
Cadena de Valor / Área de proceso: Legal and Corporate Affairs & Compliance Macroproceso: Compliance
7. DEFINICIONES Y ACRONIMOS
Xxxxxxxx y palabras clave | Descripción |
Autorización o Consentimiento expreso | Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales. |
Accesos autorizados | Autorizaciones concedidas a un usuario para la utilización y consulta de un activo de información. |
Autenticidad | Manifiesta la garantía existente sobre la identificación del origen y destino de la información y sobre la autorización para que se transmita entre ellos. |
Base de datos con datos personales | Conjunto organizado de Datos Personales que sea objeto de tratamiento. Se considera tanto el tratamiento automatizado (aplicaciones informáticas) como también el tratamiento en papel. |
Cadena de abastecimiento | Se refiere a todos los pasos que toman parte en la preparación y distribución de los bienes y servicios que ofrecen las Empresas en Colombia. Este proceso se ocupa de coordinar y planificar las distintas tareas a cumplir para de esta manera hacer la búsqueda, obtención y transformación de las materias primas, insumos en los productos La cadena de abastecimiento incluye a todos los proveedores de bienes y servicios que necesitan las Empresas para el desarrollo de su objeto social. |
Control de accesos | Mecanismo que en función de la identificación autenticada permite acceder a los datos. |
Copia de respaldo | Copia de los datos en un soporte que posibilite su recuperación. |
Dato Personal o Dato de Xxxxxxxx Personal | Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. |
Dato Público | Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. |
Dato Semiprivado | Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general. |
Datos Sensibles | Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. |
Datos de energía eléctrica | Es el conjunto de información relacionada con la prestación del servicio público domiciliario de energía eléctrica. Se incluyen, además de los registros de voltaje, corriente, consumo o producción de energía activa y reactiva periódicos, las tarifas del servicio, los relacionados con ausencia/presencia de tensión, cantidad y duración de las interrupciones del servicio y todas aquellas alarmas o señales que indiquen cambios en las condiciones del medidor avanzado, así como |
la programación del medidor avanzado incluyendo el software/firmware de operación del medidor y su posible actualización sin afectar la parte metrológica y los saldos de energía en los casos de los medidores con función de prepago. En adelante se denominan datos. Dentro de estos datos se deberán tener en cuenta la existencia de aquellos que tengan la calidad de datos personales en el marco de la Ley 1581 de 2012 y sus disposiciones reglamentarias, para lo cual, en estos casos, se debe atender lo dispuesto en estas normas por parte de los agentes que adquieran la calidad de responsables o encargados del tratamiento de datos personales. Los datos de energía eléctrica que no tengan la categoría de datos personales, y la información producida a partir de ellos, corresponden a información directamente relacionada con la prestación del servicio público domiciliario. | |
Encargado del Tratamiento | Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento. El Encargado de Tratamiento será cada una de las Empresas del Grupo Enel en Colombia identificadas en el Anexo I de la presente Política. |
Fuentes accesibles al público | Bases de datos cuya consulta, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación puede ser realizada por cualquier persona. Tienen consideración xx xxxxxxx de acceso público, exclusivamente, el censo promocional, las guías de servicios de telecomunicaciones en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter xx xxxxxxx de acceso público los diarios y boletines oficiales y los medios de comunicación. |
GDPR | Reglamento General de Protección de Datos Europeo (Reglamento UE 2016/679) |
Gestor de la Base de Datos | Será la persona responsable de una Base de Datos que contenga Datos de Carácter Personal |
GIDI | Es la persona prestadora de servicios públicos domiciliarios, organizada en los términos del artículo 15 de la Ley 142 de 1994, encargada de realizar las funciones de gestión independiente de datos e información y funciones independientes de intercambio, gestión, integración, analítica y valor agregado de datos e información, y aquellas determinadas en la Resolución CREG 1010 001 de 2022. |
Grupo Enel | El Grupo Empresarial Enel es un conglomerado multinacional del sector energético y un operador integrado líder en los mercados mundiales de electricidad y gas, en la cual ENEL Spa es la matriz de varias compañías ubicadas en el extranjero y también de varias compañías constituidas en Colombia. |
Grupo Enel en Colombia | Compañías constituidas en Colombia pertenecientes al Grupo Enel, en calidad de filiales, subsidiarias y vinculadas económicamente a el Grupo Enel, sociedades que en conjunto y en lo sucesivo se denominarán “Empresas del Grupo Enel en Colombia” y las cuales se encuentran plenamente identificadas en el Anexo I de la presente Política. |
Habeas data | Derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de Datos Personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países. |
Identificación personal del titular | Procedimiento de reconocimiento de la identidad de un Usuario |
Incidencia / Incidente de Seguridad de la información | Incidente de seguridad de la información significa un evento único o una serie de eventos no deseados o inesperados que tienen una probabilidad significativa de comprometer la confidencialidad, integridad o disponibilidad de la información, sin embargo, el evento considerado (o serie de eventos) pueden no tener impacto inmediato sobre los Datos Personales. |
Infraestructura de Medición Avanzada, AMI (por sus iniciales en inglés de Advanced Metering Infrastructure) | Según la definición de la Resolución 4 0072 de 2018 expedida por el Ministerio de Minas y Energía, es la infraestructura que permite la comunicación bidireccional con los usuarios del servicio de energía eléctrica. Esta infraestructura integra hardware (medidores avanzados, centros de gestión de medida, enrutadores, concentradores, antenas, entre otros), software y redes de comunicaciones que, en conjunto, permiten la operación de la infraestructura y la gestión de los datos del sistema de distribución de energía eléctrica y de los sistemas de medida. |
Personal Autorizado de Datos Personales | Los empleados(as) autorizados bajo de responsabilidad de ENEL para procesar Datos Personales. |
Oficial de Protección de datos (DPO Data Protection Office) | La DPO es la oficina encargada de supervisar, medir y controlar el programa de protección de información personal de las Empresas en Colombia y en general apoyar el cumplimiento del régimen colombiano de protección de Datos Personales. La DPO Colombia desempeña una función de asesoramiento, es el punto de referencia y contacto con la Autoridad de Protección de Datos Colombiana y así mismo un interlocutor con la función Global de DPO en el Grupo Enel. |
Operador de red de STR y SDL, OR | Persona encargada de la planeación de la expansión, las inversiones, la operación y el mantenimiento de todo o parte de un Sistema de Transmisión Regional, STR, o Sistema de Distribución Local, SDL, incluidas sus conexiones al Sistema de Transmisión Nacional, STN. Los activos pueden ser de su propiedad o de terceros. Para todos los propósitos, son las empresas que tienen cargos por uso de los STR o SDL aprobados por la CREG. El OR siempre debe ser una empresa de servicios públicos domiciliarios. La unidad mínima de un SDL para que un OR solicite cargos por uso corresponde a un municipio. |
Procedimiento de disociación | Todo tratamiento de Datos Personales cuyo resultado es información que no puede asociarse a persona identificada o identificable. |
Responsable del Tratamiento | Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. El Responsable de Tratamiento será cada una de las Empresas del Grupo Enel en Colombia identificadas en el Anexo I de la presente Política. |
Unidad de Security | Tiene como propósito proteger la información de una Organización, independientemente del lugar en que se localice. Tiene tres principios fundamentales: Confidencialidad, Integridad y Disponibilidad de la información. |
Seguridad Patrimonial | Función especializada en la detección y análisis de las actuaciones que supongan amenazas físicas para los activos de información. Asimismo, esta función es especialista en la implantación de las protecciones que garanticen la integridad física de los activos de información, de forma que no sean manipulados y/o sustraídos por personas no autorizadas. |
Seudonimización, Anonimización y Cifrado | Seudonimización significa el procesamiento de Datos Personales de tal manera que los Datos Personales ya no pueden atribuirse a un tema específico, sin el uso de información adicional, siempre que dicha información adicional se almacene por separado. La anonimización constituye el procesamiento de datos con el objetivo de hacer que los Datos Personales sean completamente anónimos. El procesamiento en cuestión debe ser irreversible con respecto a la entrada original. El cifrado es el procesamiento de datos que utiliza claves digitales para poder acceder a Datos Personales. |
GDS / Cyber Security | Función especializada en el estudio e implantación de las protecciones tecnológicas que garanticen la integridad, confidencialidad, disponibilidad, autenticidad y no repudio lógicos de los Activos de Información que se hallen en soporte informático. |
SIC | Superintendencia de Industria y Comercio |
Titular/Titulares | Persona natural cuyos Datos Personales sean objeto de Tratamiento. |
Tratamiento | Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión. |
Transferencia | La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. |
Transmisión | Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. |
Usuario | Persona natural o jurídica que se beneficia con la prestación de un servicio público, bien como propietario del inmueble en donde este se presta, o como receptor directo del servicio. A este último se le denomina también consumidor o usuario final. |
8. ANEXOS
8.1. Anexo I - datos de identificación de las empresas del Grupo Enel en Colombia
En cumplimiento del deber legal, y toda vez que cada una de las empresas que componen el Grupo Enel en Colombia actuará en calidad de Responsable del Tratamiento de los Datos Personales; lo anterior respondiendo a la unidad de propósito y dirección extendida al tratamiento de los datos por parte de los miembros del Grupo Enel en Colombia; se señalan los datos de identificación de cada una de estas empresas. Las Empresas del Grupo Enel en Colombia mantendrán debidamente actualizado el presente Anexo conforme sea actualizada la estructura empresarial en Colombia.
Razón social: ENEL COLOMBIA S.A ESP Nit: 000.000.000-8
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: ENEL X COLOMBIA SAS ESP Nit: 000.000.000-6
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: EGP FOTOVOLTAICA LA LOMA SAS Nit: 901.018.306-6
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: GUAYEPO SOLAR SAS Nit: 901.042.404-0
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: LATAMSOLAR FOTOVOLTAICA FUNDACION SAS Nit: 901.018.293-9
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: ATLANTICO PHOTOVOLTAIC SAS ESP Nit: 901.056.312 - 2
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: LATAMSOLAR ENERGÍAS RENOVABLES SAS Nit: 900.926.900 - 3
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: LATAMSOLAR FOTOVOLTÁICA XXXXXXX SAS Nit: 901.018.329 - 5
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0
Razón social: FUNDACION ENEL COLOMBIA Nit: 000.000.000-3
Domicilio: Bogotá D.C
Dirección principal: Xxxxx 00 Xx 00-00 xxxx 0