Garantizamos a todos los usuarios de nuestra línea ética ya sean colaboradores, proveedores, clientes o cualquier persona que interactúe con nuestra compañía, que no serán identificados a menos que así lo deseen. Garantizamos siempre la confidencialidad y el anonimato, se confirmen o no las denuncias realizadas.

Luego de registrar la denuncia u oportunidad de mejora, nuestra línea ética remitirá esta información al Comité de Ética y Conducta, para su análisis e investigación. Este Comité será el responsable de las investigaciones y recolección de pruebas, así como tomar las medidas disciplinarias correspondientes de acuerdo al Código de Ética y Conducta.

Al finalizar el diligenciamiento del formulario, usted acepta que la línea ética guarde y envíe la información proporcionada al comité establecido para tomar las medidas pertinentes basadas en el análisis de contenido de sus respuestas.

Además, se generará un código con el que podrá ingresar en  Consulta tu Caso para conocer los avances o respuesta al caso presentado.

Complete los campos a continuación de la manera más completa y detallada posible. Si no sabe o no desea completar alguno de estos campos, déjelo en blanco. Pero recuerde: cuanto más detallado sea su informe, mayores serán las posibilidades de que el hecho sea identificado y resuelto.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

1. OBJETIVO

Fomentar en SUPERPOLO S.A.S la cultura organizacional sobre el tratamiento de datos, proporcionando a su personal la información necesaria, para que brinde el tratamiento adecuado a los datos personales a los que tenga acceso en el desarrollo de sus funciones, y cumplir así con las obligaciones descritas y exigidas en la ley de protección de datos personales.

2. ALCANCE

Esta manual se aplica al tratamiento de datos de carácter personal que recolecte, recopile, almacene, use, maneje, comparta o circule SUPERPOLO S.A.S.

3. JUSTIFICACIÓN

La diversidad de procesos que se utilizan como resultado de la dinámica empresarial de SUPERPOLO S.A.S, tanto en su actividad interna como externa, en el ámbito nacional e internacional y en el camino de cumplir con sus objetivos corporativos, le implican el uso y manejo de datos personales de accionistas, directivos, representantes, empleados, clientes, contratistas y proveedores. Dichos datos son en su mayoría almacenados en medios digitales y otro tanto en medios escritos.

El uso o tratamiento de estos datos entran a ser regulados estrictamente por la nueva Ley de Protección de Datos, emitida el 17 de octubre de 2012, reglamentada parcialmente por el Decreto Nacional 1377 de 2013 y entrada en vigencia a partir del 17 de Abril de 2013. Con base en lo anterior, SUPERPOLO S.A.S se compromete a llevar a cabo las diferentes actividades de nivel administrativo, jurídico y técnico, requeridas para cumplir con las disposiciones de Ley.

4. DEFINICIONES

• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
  • Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que se pone a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.
  • Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Datos sensibles: Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, la vida sexual, los datos biométricos y los menores de edad.
  • Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento.
  • Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
  • Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
  • Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.
  • Tratamiento del dato: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

5. DOCUMENTOS NECESARIOS

R555 Registro para Bases de Datos
R556 Reclamaciones de Datos Personales
R558 Autorización Expresa de Tratamiento de Datos Personales
R590 Autorización Salida e Ingreso Equipos Portátiles
R614 Carta de Responsabilidad
RS038 Control de Recuperación de Backup

6. CAPITULO I DISPOSICIONES GENERALES

6.1 MARCO LEGAL

El presente documento se expide en atención al fundamento jurídico determinado en primera instancia en los artículos 15 y 20 de la Constitución Política de Colombia los cuales establecen:

• “ARTICULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley”.
  • “ARTICULO 20. Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos, son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura”.

Así mismo y en desarrollo de lo anterior, el Congreso de la Republica expidió la Ley Estatutaria 1581 de 2012 la cual recoge el sentido y fundamento establecido en los artículos 15 y 20 de la Constitución Política de Colombia, por ello es necesario citar su artículo 1° el cual consagra:

• “Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

El gobierno colombiano expidió la Ley Estatutaria 1581 del 17 de octubre de 2012, la cual establece las condiciones mínimas para realizar el tratamiento legítimo de los datos personales de los clientes, empleados y cualquier otra persona natural. El decreto 1377 de 2013, reglamenta parciamente la ley 1581.

7. PRINCIPIOS

Los principios que se establecen a continuación constituyen los parámetros generales que serán adoptados y respetados por SUPERPOLO S.A.S., en los procesos que tienen incidencia en el uso y tratamiento de datos personales y ha sido definidos por la ley 1581.

1. a) Principio de finalidad: El tratamiento de los datos personales recogidos por SUPERPOLO S.A.S., obedecen a una finalidad comercial en desarrollo del objeto social; de la cual será informada al titular. Por lo tanto, se implementó una cláusula y formato como parte anexa al contrato de servicios (en los casos en que haya lugar a un contrato), por medio del cual se informa sobre nuestra página web para ingresen y se enteren de nuestras políticas.
   b) Principio de libertad: El tratamiento sólo se llevará a cabo con el consentimiento, previo, expreso e informado del titular. Los datos personales no serán obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. En SUPERPOLO S.A.S., se deberá solicitar al titular su aprobación dejando la constancia en los formatos diseñados.
   c) Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. La persona encargada de tomar la información y documentos del titular debe verificar que la información registrada en los formatos y/o contratos se encuentra completa y en concordancia con los documentos presentados por el tercero.
   d) Principio de transparencia: SUPERPOLO S.A.S., garantiza al titular de los datos, el derecho a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Para tal fin, a través de la página web http://www.superpolo.com.co/websites/superpolo/es/a_marcopolo/gestao para nuestros clientes, proveedores y empleados sepan sobre las políticas, canales y medio por los cuales pueden interponer una petición, queja o reclamo.
   e) Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no estarán disponibles en internet u otros medios de divulgación o comunicación masiva. Nuestras bases de datos, cuenta con la seguridad necesaria y no es consultado por personal externo.
   f) Principio de Seguridad: La información sujeta a tratamiento por parte de SUPERPOLO S.A.S., está protegida mediante el uso de las medidas técnicas, humanas y administrativas otorgando seguridad a los registros, para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Como medidas de seguridad se realizan back ups, y contamos con los mecanismos de seguridad para con nuestros servidores de sistemas.
   g) Principio de confidencialidad: El personal que interviene en el tratamiento de datos personales en SUPERPOLO S.A.S., está obligado a garantizar la reserva de la información de terceros, inclusive después de finalizada su relación laboral. Contamos con cláusulas de confidencialidad con el personal de SUPERPOLO S.A.S., por medio de la cual garantizamos un adecuado proceso de seguridad al interior de la empresa, al igual que con la empresa encargada de resguardar el archivo físico, y con cualquier empresa que tercerice un servicio donde se realice la transferencia de datos personales.
2. AUTORIZACIÓN

La recolección, almacenamiento, uso, circulación o supresión de datos personales por parte de SUPERPOLO S.A.S., requiere del consentimiento libre, previo, expreso e informado del titular de los mismos. SUPERPOLO S.A.S., en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

1. a) Forma y mecanismo para otorgar la autorización

• SUPERPOLO S.A.S., solicitará autorización de los titulares para poder continuar con el tratamiento de sus datos personales, a través de correo electrónico, comunicados escritos y enviados al sitio de correspondencia, o aquellos medios que SUPERPOLO S.A.S., utilice en su curso ordinario de interacción con el titular y que estén registrados en las bases de datos de SUPERPOLO S.A.S., como el formato de “R558 Autorización para el tratamiento de datos personales”. Adicionalmente se podrá en conocimiento de los titulares las políticas de tratamiento de la información y el modo de ejercer sus derechos.
  • Si en el término de treinta (30) días hábiles, contados a partir del recibo de la comunicación descrita en el párrafo anterior, el titular no ha contactado al responsable o encargo para solicitar la supresión de sus datos personales en los términos del reglamento 1377, el responsable y encargado podrán continuar realizando el tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.

1. b) Transferencia internacional o nacional de datos personales

Cuando SUPERPOLO S.A.S., envíe o transfiera datos a nivel nacional o en el exterior será necesario contar con la autorización del titular de la información que es objeto de transferencia. Salvo que la ley diga lo contrario, es necesario la existencia de dicha autorización para efectuar la cesión o transferencia de datos. En este sentido, antes de enviar datos personales a otro país, los obligados de cumplir esta política deberán verificar que se cuenta con la autorización previa, expresa e inequívoca del titular que permita transferir sus datos personales.

Dicha transferencia de los datos personales se realiza únicamente a terceros con quien SUPERPOLO S.A.S., tenga vínculo contractual, comercial y/o jurídico y si el acuerdo comercial no infringe la ley en cuanto a las excepciones por las cuales no se podrá transferir datos personales. Según la política establecida por SUPERPOLO S.A.S., es deber del funcionario encargado de la vinculación de los clientes, proveedores o empleados hacer entrega del formato R558 autorización de datos personales e informar al Titular sobre aquellos datos que se requiere transferir sus datos por procesos internos, de acuerdo con el numeral 11., del formato R588 para obtener su autorización.

El Formato interno (R558) “Autorización para el tratamiento de datos personales” Anexo No.1, será utilizado para la obtención de datos personales.

9. 
   CONTRATOS TRANSMISIÓN Y/O TRANSFERENCIA DE DATOS PERSONALES

9.1 TRANSMISIÓN NACIONAL O INTERNACIONAL DE DATOS PERSONALES:

En ocasión a que SUPERPOLO S.A.S, en su calidad de Responsable de las bases de datos con información personal, requiera contratar la prestación de servicios externos, dentro o fuera del país para dar continuidad al pacto comercial o contractual con el Titular de los datos personales, como por ejemplo: una empresa de envió de correspondencia o paquetes, call center, empresa de transporte, empresas encuestadoras, empresas de telemercadeo, etc., mediante los contratos firmados con estos; se manejará un anexo o clausula en el contrato donde se establezca la responsabilidad y la finalidad del tratamiento de datos personales. Anexo 8. “Anexo a contrato Transmisión o Transferencia de datos personales”.

Es de anotar que la ley no exige obtener la autorización tácita para este tipo de transmisión de datos, pero SUPERPOLO S.A.S., si debe contar con las medidas y mecanismos de seguridad de información con los Encargados de las bases de datos entregadas.

9.2 Transferencia nacional o internacional de datos personales:

El artículo 26 de la ley 1581 de 2012 prohíbe por regla general, la transferencia internacional de datos personales de cualquier tipo a países que no garanticen un nivel adecuado de protección de los mismos, salvo las siguientes excepciones:

1. a) El titular de los datos personales haya otorgado su autorización expresa e inequívoca para la transferencia.
   b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública.
   c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
   d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
   e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el responsable del tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del titular.
   f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

En los casos no contemplados dentro de las anteriores excepciones, la ley facultó a la Superintendencia de Industria y Comercio para pronunciarse sobre las transferencias internaciones de datos mediante la declaración de conformidad.

Por lo anterior, en caso de requerir solicitar a la SIC, la declaración de conformidad sobre las transferencias internacionales de información personal se deberá radicar una petición ante la SIC, dirigida a la Delegatura para la protección de datos personales.

Adicionalmente, en caso de presentarse en SUPERPOLO S.A.S., la transferencia nacional o internacional de datos personales no se podrá realizar hasta tanto:

1. a) Se obtenga la autorización dada por el Titular mediante el Anexo 1. del formato interno R558 numeral 11.
   b) Se establezca con el Responsable Destinatario un contrato en donde haya una cláusula o anexo mediante la cual exista un convenio de confidencialidad y seguridad de la información de este, para del manejo de datos transmitidos. Anexo 8. “Anexo a contrato Transferencia de datos”
2. CAPITULO II. DERECHOS Y DEBERES DEL TITULAR

10.1 DERECHO DEL TITULAR DE LA INFORMACIÓN

10.1.1 Derecho de acceso

El poder de disposición o decisión que tiene el titular sobre la información que le concierne, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento. De esta manera, SUPERPOLO S.A.S. garantiza al titular su derecho de acceso en tres vías:
a) Implica que el titular pueda conocer la efectiva existencia del tratamiento a que son sometidos sus datos personales.
b) El titular pueda tener acceso a sus datos personales que están en posesión del responsable.
c) Supone el derecho a conocer las circunstancias esenciales del tratamiento, lo cual se traduce en el deber de SUPERPOLO S.A.S. de informar al titular sobre el tipo de datos personales tratados y todas y cada una de las finalidades que justifican el tratamiento.
d) SUPERPOLO S.A.S. garantiza el derecho de acceso cuando, previa acreditación de la identidad del titular o personalidad de su representante se ponga a disposición de éste, de manera gratuita, el detalle de los datos personales a través de medios electrónicos que permitan el acceso directo del Titular a ellos.

10.1.2 Consultas

SUPERPOLO S.A.S., garantiza el derecho de consulta, suministrando a las personas que actúen en ejercicio de este derecho, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

Para la atención de solicitudes de consulta de datos personales SUPERPOLO S.A.S. garantiza, que existen medios de comunicación electrónica y telefónica.

En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
10.1.3 Reclamos

SUPERPOLO S.A.S. garantiza el derecho de reclamo, a las bases de datos para la corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012 y demás normas aplicables. El reclamo será tramitado bajo las siguientes reglas:

Si el reclamo recibido no cuenta con información completa que permita darle trámite, esto es, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer, se requerirá al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Si por alguna circunstancia SUPERPOLO S.A.S., recibe un reclamo que en realidad no debería ir dirigido contra él, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos que mantiene SUPERPOLO S.A.S., un texto que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicho texto deberá mantenerse hasta que el reclamo sea decidido.

10.1.4 Implementación de procedimientos para garantizar el derecho a presentar reclamos

La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por SUPERPOLO S.A.S., señalados en el aviso de privacidad y en este documento, y contener, como mínimo, la siguiente información:

1. a) El nombre, domicilio del titular y medio de contacto para recibir la respuesta como teléfono, correo electrónico, dirección de residencia.
   b) Los documentos que acrediten la identidad o la representación de su representante.
   c) La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos.
   d) En caso dado otros elementos o documentos que faciliten la localización de los datos personales.

Parágrafo 1. Rectificación y actualización de datos. SUPERPOLO S.A.S., tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente:

SUPERPOLO S.A.S., tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho.

Parágrafo 2. Supresión de datos. El titular tiene el derecho, en todo momento, a solicitar a SUPERPOLO S.A.S., la supresión (eliminación) de sus datos personales cuando:

• Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012.
  • Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
  • Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.
  • Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por SUPERPOLO S.A.S., Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio del mismo cuando:
  • La solicitud de supresión de la información no proceda cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
  • La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
  • Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.

En caso de resultar procedente la cancelación de los datos personales, SUPERPOLO S.A.S., debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, y se deberá llevar a cabo el procedimiento documentado de conservación o supresión de datos autorizado por el Oficial de Datos Personales.

10.1.5 Revocatoria de la autorización

Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal.

Se tendrán dos modalidades en las que la revocación del consentimiento puede darse. La primera, sobre la totalidad de las finalidades consentidas, esto es, que SUPERPOLO S.A.S., deba dejar de tratar por completo los datos del titular; la segunda, puede sobre algunos tipos de tratamiento determinados, como por ejemplo para estudios de mercado.

Por lo anterior, será necesario que el titular al momento de elevar la solicitud de revocatoria del consentimiento a SUPERPOLO S.A.S., indique en ésta si la revocación que pretende realizar es total o parcial.

En la revocatoria parcial deberá indicar con cuál tratamiento el titular no está conforme.
Habrá casos en que el consentimiento, por su carácter necesario en la relación entre titular y responsable por el cumplimiento de un contrato, por disposición legal no podrá ser revocado (indicados anteriormente).

Se cuenta con el Anexo No. 2., procedimiento de “Novedades y/o Reclamos Del Tratamiento De Datos Personales”, y para cualquier novedad y/o reclamo el Titular cuenta con el Anexo 3., formato R556 “Novedades o reclamo del tratamiento de datos personales” que se le deberá proporcionar para su correcto y completo diligenciamiento.

10.1.6 Procedimiento de quejas ante la ante la Superintendencia de Industria y Comercio

El Titular sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante SUPERPOLO S.A.S., de acuerdo con el procedimiento anteriormente mencionado.

SUPERPOLO S.A.S., cuenta con el procedimiento de novedades y/o reclamos del tratamiento de datos personales, que se deberá dar cumplimiento en apoyo a lo aquí expuesto.

10.2 DEBERES DE SUPERPOLO S.A.S.

Los siguientes son los deberes de SUPERPOLO S.A.S., cuando obra como responsable del tratamiento de datos personales:

10.2.1 Deberes respecto al titular del dato

1. a) Solicitar y conservar, en las condiciones previstas en la política, copia de la respectiva autorización otorgada por el titular.
   b) Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
   c) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir, conocer, actualizar o rectificar sus datos personales.
   d) Informar a solicitud del titular sobre el uso dado a sus datos personales.
   e) Tramitar las consultas y reclamos formulados en los términos señalados en la presente política.
   f) Conservar y suprimir los datos personales que los terceros autorizan o requieren se sean manejados por SUPERPOLO S.A.S.

10.2.2 Deberes respecto a la calidad, seguridad y confidencialidad de los datos personales

1. a) Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la legislación colombiana.
   b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
   c) Actualizar la información cuando sea necesario.
   d) Rectificar los datos personales cuando ello sea procedente.

10.2.3 Deberes cuando realiza el tratamiento a través de un Encargado

1. a) Suministrar al Encargado del tratamiento únicamente los datos personales que está autorizado a suministrar a terceros.
   b) Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
   c) Comunicar de forma oportuna al Encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
   d) Informar de manera oportuna al Encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes.
   e) Exigir al Encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
   f) Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

10.2.4 Deberes respecto a la Superintendencia de Industria y Comercio

1. a) Informarle las eventuales violaciones a los códigos de seguridad y la existencia de riesgos en la administración de la información de los titulares.
   b) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
   c) Deberes cuando obra como Encargado del tratamiento de datos personales

Si SUPERPOLO S.A.S., realiza el tratamiento de datos en nombre de otra entidad u organización (responsable del tratamiento) deberá cumplir los siguientes deberes:

• Establecer que el responsable del tratamiento esté autorizado para suministrar a SUPERPOLO S.A.S., los datos personales que tratará como Encargado.
  • Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Realizar oportunamente la actualización, rectificación o supresión de los datos.
  • Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
  • Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política.
  • Registrar en la base de datos el texto “reclamo en trámite” en la forma en que se establece en la presente política.
  • Insertar en la base de datos el texto “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto.
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

10.2.5 Registro Nacional De Bases De Datos

El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país. El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. Para realizar el registro de bases de datos, SUPERPOLO S.A.S aporta a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información implementadas.

De otro lado SUPERPOLO S.A.S. cumplirá estrictamente con los requisitos del registro que reglamente el Gobierno Nacional.

Para el inventario de las bases de datos que serán registradas ante el RNBD se utilizará el formato R555 “Registro bases de datos” Anexo No. 4.

11. CAPITULO III. ESTRUCTURA ADMINISTRATIVA

Esta estructura administrativa se ha construido con un compromiso importante del Gerente General y su Staff de gerencia, persiguiendo el objetivo referente a la protección de datos personales y fortalecido con una cultura por el respeto de los datos personales.

El Gerente General pondrá los recursos necesarios, medidas técnicas, recurso humano, herramientas tecnológicas necesarias para otorgar seguridad a la información personal con el fin de evitar su adulteración, pérdida, consulta, uso o acceso no autorizado.

El Oficial de Protección de Datos Personales será la persona responsable de la función de protección de datos personales, velará por el trámite a las solicitudes de los titulares y garantizará el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y demás normas vigentes. Para ello, será el responsable de la implementación y sostenibilidad del Programa Integral de Gestión de Protección de Datos Personales.

El Oficial de Protección de Datos Personales tendrá las siguientes funciones:

1. a) Asegurar el trámite adecuado y oportuno de las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás normas vigentes en la materia.
2. b) Velar por la implementación efectiva de las políticas y procedimientos adoptados por SUPERPOLO S.A.S., para cumplir las normas de protección de datos personales.
   c) Establecer los controles del Programa Integral de Gestión de Datos Personales (PIGDP), así como la evaluación y revisión permanente de dichos controles.
   d) Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
   e) Servir de enlace y coordinar las demás áreas de SUPERPOLO S.A.S., para asegurar la implementación transversal del PIGDP.
   f) Impulsar dentro de SUPERPOLO S.A.S., una cultura de protección de datos.
   g) Mantener un inventario clasificado de las bases de datos personales en poder de SUPERPOLO S.A.S.
   h) Asegurar el registro de las bases de datos de SUPERPOLO S.A.S., en el Registro Nacional de Bases de Datos que administra la Superintendencia de Industria y Comercio y actualizar tal registro.
   i) Solicitar la declaración de conformidad de las transferencias internacionales de datos personales ante la SIC, cuando el titular no haya otorgado su autorización expresa e inequívoca para la transferencia (numeral 11 del formato interno R558 autorización para el tratamiento de datos) y se requiera la transferencia de datos, esto con el fin de obtener la aprobación por dicha entidad.
   j) Revisar los contenidos de los contratos de transmisiones internacionales de datos, suscritos por SUPERPOLO S.A.S., con los encargados del tratamiento no residentes en Colombia.
   k) Diseñar un programa de entrenamiento en protección de datos personales acorde con las responsabilidades de cada cargo de SUPERPOLO S.A.S.
   l) Asegurar la realización de un entrenamiento general a todos los funcionarios de SUPERPOLO S.A.S. en protección de datos personales.
   m) Garantizar la realización de un entrenamiento a los nuevos funcionarios de SUPERPOLO S.A.S., que, por las condiciones de su empleo, tengan acceso a los datos personales que gestionan al interior de esta.
   n) Medir la participación de los funcionarios de SUPERPOLO S.A.S., en los entrenamientos en protección de datos y calificar su desempeño.
   ñ) Integrar las políticas de protección de datos personales dentro de las actividades de las demás áreas de SUPERPOLO S.A.S.
   o) Requerir que se complete satisfactoriamente el entrenamiento en protección de datos personales para realizar el análisis de desempeño de los funcionarios de SUPERPOLO S.A.S.
   p) Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de las políticas de tratamiento de datos personales.
   q) Acompañar y asistir a SUPERPOLO S.A.S., en la atención de las visitas y requerimientos realizados por la Superintendencia de Industria y Comercio o cualquier otra autoridad competente.
   r) Realizar un seguimiento al PIGDP.
   s) Presentar un informe, por lo menos anual, sobre el seguimiento y la ejecución del PIGDP al representante legal o máximo órgano social de SUPERPOLO S.A.S.
   t) Las demás inherentes al cargo y responsabilidades frente al tratamiento de datos personales en SUPERPOLO S.A.S.

Los directores, jefes de área o coordinadores de las diferentes dependencias de SUPERPOLO S.A.S., deberán contribuir en la implementación y sostenibilidad del Programa Integral de Gestión de Datos Personales, para lo cual deberán:

9. a) Nombrar un funcionario como enlace, con el fin de apoyar las labores del Oficial de Protección de Datos en el cumplimiento de las obligaciones y actividades derivadas del Programa Integral de Gestión de Datos Personales, de acuerdo con las competencias de cada área u oficina.
   b) Cumplir a cabalidad los lineamientos que imparta SUPERPOLO S.A.S., a través de la Política de Tratamiento de la Información y los Datos Personales, así como las derivadas del Programa Integral de Gestión de Datos Personales.
   c) Realizar con apoyo del Oficial de Protección de Datos Personales la inscripción en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) de las nuevas bases de datos que cada dependencia maneje.
   d) Actualizar la información en el Registro Nacional de Bases de Datos (RNBD) de la SIC, conforme a los lineamientos y el apoyo del Oficial de Protección de Datos Personales.
   e) Apoyar la actualización en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC), respecto de la información de las bases de datos personales.
   f) Apoyar al Oficial de Protección de Datos Personales en el reporte, ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC), respecto de los reclamos que se hayan presentado sobre protección datos personales por parte de los titulares ante SUPERPOLO S.A.S.
   g) Dar a conocer al Oficial de Protección de Datos Personales las consultas, peticiones, quejas, reclamos, incidentes de seguridad que se conozcan, relacionadas con la protección de datos personales.
   h) Someter a consideración del Oficial de Protección de Datos Personales la aprobación de la creación de nuevas bases de datos. El Oficial de Protección de Datos Personales coordinará con el área de tecnología y la dependencia interesada la pertinencia y conveniencia de la creación de estas.
   i) Apoyar al Oficial de Protección de Datos Personales en la identificación y gestión de los riesgos asociados al tratamiento de datos personales.
   j) Establecer e incluir los controles que sean necesarios dentro de la gestión de la protección de datos personales.
   k) Atender las disposiciones y lineamientos de la Superintendencia de Industria y Comercio y demás entidades competentes en materia de protección de datos personales y aplicarlos en las actividades que se realizan en cada área o dependencia.
   l) Participar activamente en las capacitaciones, sensibilizaciones y entrenamientos que sobre la protección de datos personales imparta SUPERPOLO S.A.S.
   m) Responder las solicitudes de los titulares para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y sus normas complementarias, con el apoyo del Oficial de Protección de Datos Personales.
   n) Velar y dar cumplimiento a las políticas y procedimientos relativos a la seguridad de la información e incidentes de seguridad en materia de protección de datos personales. Se cuenta con directrices para garantizar la protección de la información y su propiedad por medio de la política de seguridad de la información “Manual M04” Anexo 9.

El Oficial de Protección de Datos Personales contará con el apoyo de las áreas que considere necesarias a efectos de desarrollar e implementar el Programa Integral de Gestión de Datos Personales, de acuerdo con las funciones y competencias de cada área.

12. CAPITULO IV. GESTIÓN DE RIESGOS

Gestión de riesgos es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.

La gestión de riesgos se puede dividir en cuatro etapas diferenciadas: La identificación, la evaluación, el tratamiento de los riesgos y monitoreo.

12.1 IDENTIFICAR AMENAZAS Y RIESGOS

El riesgo se deriva de la exposición a amenazas, por tanto, desde la perspectiva de la privacidad, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales a partir de la misma.

Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. Si ponemos el foco en la protección de los datos, las amenazas se pueden categorizar principalmente en tres tipos:

Acceso ilegítimo a los datos: ¿qué daño causaría que lo conociera quien no debe? Confidencialidad.

Modificación no autorizada de los datos: ¿qué perjuicio causaría que estuviera dañado o corrupto? Integridad.

Eliminación de los datos: ¿qué perjuicio causaría no tener un dato o no poder utilizarlo? disponibilidad.

Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una
amenaza y sus consecuencias negativas. El nivel de riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo. Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar los riesgos siempre implica considerar la amenaza que los puede originar.

En esta primera esta de identificación de riesgos, se tendrán en cuenta los factores de riesgos definidos y especificados en Anexo No.5 la matriz de riesgos:

Factor de riesgo Intervinientes: Durante todo el ciclo de vida de los datos pueden existir numerosos intervinientes que participen en cada una de las actividades de tratamiento. Esto se refiere a aquellas personas físicas o jurídicas que, de manera individual o colectiva, están implicadas en las actividades del tratamiento de los datos de carácter personal, y cuyas funciones y responsabilidades están definidas y delimitadas claramente.

Dentro de este grupo se puede incluir el responsable del tratamiento (SUPERPOLO S.A.S.), áreas o empleados de SUPERPOLO S.A.S., o de las organizaciones que participan activamente del procesado de los datos, encargados de tratamiento, etc.

Factor de riesgo Procesos: Los procesos son un factor generador de riesgos, algunos más críticos que otros. Las actividades de tratamiento se realizan desde cada proceso mediante el cual se hace recopilación de datos personales como, por ejemplo: vinculación de clientes, proveedores, accionistas y empleados.

Factor de riesgo Datos: El ciclo de vida está directamente relacionado con los datos personales que se tratan. Por ello, su identificación en cada etapa es fundamental para poder establecer interrelaciones y dependencias entre las operaciones de tratamiento y conjuntos de datos identificados. Para cada tipología de datos, se debe establecer su categoría (datos especiales) y su grado de importancia dentro de las actividades de tratamiento, determinando si es imprescindible o no su inclusión. En este punto, también es necesario considerar el principio de minimización de los datos y asegurar que no existen datos que no se prevén utilizar o recopilar sin utilidad para la finalidad de las actividades de tratamiento.

Factor de riesgo Tecnología: De igual forma, la tecnología y los sistemas son una capa clave que da soporte a las actividades de tratamiento de los datos de carácter personal. Se debe identificar aquellos elementos tecnológicos implicados (tanto hardware como software) en las actividades de tratamiento a un alto nivel, sin llegar entrar en un análisis tecnológico pormenorizado, como son las distintas tecnologías (cloud, servidores, etc.), aplicaciones, dispositivos y/o técnicas empleadas de procesamiento de los datos.

Para actividades de tratamiento con soporte en la misma tecnología, la exposición a los riesgos derivados de su uso será similar y, por tanto, se podrá agrupar bajo este criterio las actividades de tratamiento a la hora de identificar, evaluar y tratar los mismos.

12.2 EVALUAR LOS RIESGOS

Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se haría efectivo. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice. El impacto, por su parte, se determina en base a los posibles daños que se pueden producir si la amenaza se materializa, por ejemplo, un impacto sería despreciable si no tuviera consecuencias sobre el interesado o, por el contrario, un impacto sería significativo si el daño ocasionado sobre los derechos y libertades del interesado fuese crítico. Según la probabilidad y el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo inherente.

12.3 TRATAR LOS RIESGOS

La última fase del proceso de gestión de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad y/o impacto de que estos se materialicen. El riesgo inherente se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte, hasta situar el riesgo residual en un nivel que se considere razonable.

12.4 MONITOREO DE RIESGOS

Los riesgos son variables y pueden cambiar ante variaciones en las actividades de tratamiento. Garantizar una adecuada gestión de riesgos requiere un monitoreo continuo de los riesgos y la evaluación periódica de la efectividad de las medidas de control definidas para reducir el nivel de exposición al riesgo. Se deberá revisar el análisis de riesgos realizado ante cualquier cambio significativo en las actividades de tratamiento que pueda derivar en la aparición de nuevos riesgos.

Como mecanismo de monitoreo y notificación de eventos de Riesgo de Datos Personales se ha diseñado un procedimiento con el fin de que los funcionarios que identifiquen alertas sobre los datos personales que se encuentren o hayan presentado inconsistencias en la seguridad y/o manejo de estos en SUPERPOLO S.A.S. Anexo No.6, Eventos de Riesgo de Datos Personales.

Los riesgos, causas, consecuencias y controles estarán registrados en la matriz de riesgos Anexo No. 5.

El referente metodológico utilizado para las diferentes etapas de riesgos (Identificación, medición y control) es la ISO 31000. Se definieron los criterios de medición de la probabilidad en cinco niveles:

• Altamente probable
  • Muy probable
  • Probable
  • Poco probable
  • Remoto

Los criterios definidos para la calificación del impacto son cinco:

• Significativo
  • Alto
  • Medio
  • Bajo
  • Insignificante

La combinación de estos criterios se aprecia en la matriz de riesgo y como resultado se obtendrá el riesgo inherente.

Los controles se definieron con factores de evaluación:

• Clase
  • Pruebas de auditoría
  • Efectividad del control
  • Tipo
  • Responsabilidad
  • Documentación del Procedimiento

Cada uno de estos factores de evaluación de los controles tendrá una ponderación definida el Excel. Una vez asignado el control a cada riesgo se obtendrán los riesgos residuales, que estarán ubicados en su correspondiente cuadrante, dependiendo de la efectividad del control:

 *********************************

 **Cuadrante según efectividad**

 *********************************

 ** Excelente **
 ** Bueno **
 ** Regular **
 ** Deficiente **
 *********************************

Esta matriz de riesgos deberá ser revisada como mínimo anualmente, sin perjuicio de que se presenten eventos de riesgos que posiblemente puedan alertar nuevos riesgos o recalificación de los riesgos existentes.

13. CAPITULO V. SEGURIDAD DE LA INFORMACIÓN

13.1 MEDIDAS DE SEGURIDAD

En desarrollo del principio de seguridad, establecido en la ley 1581 de 2012, SUPERPOLO S.A.S., adoptará las medidas técnicas, humanos y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El área de Tecnología de Información apoyará esta labor bajo lineamientos de las Normas ISO 27001/27002 de Seguridad de la información.

13.2 IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD

SUPERPOLO S.A.S. asigna a la Jefatura de Tecnologías de Información para que en apoyo del Oficial de Datos Personales se mantengan las medidas de seguridad óptimas y eficientes para que los datos personales proporcionados por las contrapartes sean custodiados adecuadamente.

El Área de TECNOLOGÍAS DE INFORMACIÓN apoyará la gestión de las áreas de servicio, velando que cada una de ellas tramite las solicitudes de los Titulares, para el derecho de acceso, consulta, rectificación, actualización, supresión y revocatoria a que se refiere la Ley 1581 de 2012.

SUPERPOLO S.A.S., mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.

El procedimiento deberá considerar, como mínimo los siguientes aspectos:

2012. a) Ámbito de aplicación del procedimiento con especificación detallada de los recursos protegidos.
      b) Medidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigidos en la ley 1581 de 2012.
      c) Funciones y obligaciones del personal.
      d) Estructura de las bases de datos de carácter personal y descripción de los sistemas de información que los tratan.
      e) Notificación, gestión y respuesta ante las incidencias.
      f) Realización de copias de respaldo y de recuperación de los datos.
      g) Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se implemente.
      h) Medidas a adoptar cuando un soporte o documento vaya a ser transportado, desechado o reutilizado.
      i) Mantenerse actualizado en todo momento y deberá ser revisado siempre que se produzca cambios relevantes en el Sistema de información o en la organización del mismo.
      j) Adecuarse en todo momento a las disposiciones vigentes en material de seguridad de los datos personales.

Para todos sus efectos y en complemento a las disposiciones aquí dadas, hace parte integral de este manual, la política de seguridad de información “Manual M04”. Anexo 9.

14. CAPITULO VI. DIVULGACIÓN DE LA INFORMACIÓN

14.1 AVISO DE PRIVACIDAD

SUPERPOLO S.A.S., en lo sucesivo informará al titular sobre Anexo No.7 el aviso de privacidad de tratamiento de datos personales; el cual podrá consultar en https://www.superpolo.com.co, o podrá ser solicitado al correo electrónico: proteccióndedatos@superpolo.com.co.

14.2 MODIFICACIÓN Y/O ACTUALIZACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS Y MANEJO DE INFORMACIÓN

Cualquier cambio sustancial en las políticas de Tratamiento, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través de:

1. a) Página pública de SUPERPOLO S.A.S., https://www.superpolo.com.co
   b) Correo electrónico enviado a los titulares a la dirección electrónica suministrada por los titulares.
   c) Para los titulares que no tengan acceso a medios electrónicos o aquellos a los que no sea posible contactar, se comunicará a través de una línea telefónica que permitirá grabar la llamada e información suministrada.

Adicionalmente, el Oficial de Datos Personales y con el apoyo del área de Tecnología de SUPERPOLO S.A.S., deberán realizar por la página de la Superintendencia de Industria y Comercio, los cambios sustanciales en el registro nacional de bases de datos.

15. ANEXOS
16. Formato R558 Autorización para el tratamiento de datos personales
    2. Procedimiento de “Novedades y/o Reclamos Del Tratamiento De Datos Personales”
    3. Formato R556 Novedades o reclamo del tratamiento de datos personales
    4. Formato R555 Registro para bases de datos
    5. Matriz de riesgos de datos personales
    6. Procedimiento eventos de riesgo de datos personales
    7. Aviso de privacidad
    8. Anexo contrato transferencia de datos
    9. Manual M04 Política de Seguridad de la información
17. VIGENCIA

El presente Manual rige a partir del primero (01) de agosto de 2013.

SIGS

Con el propósito de aumentar día a día la satisfacción de nuestros clientes y cumplir con sus requerimientos, SUPERPOLO S.A. cuenta con un Sistema Integral de Gestión, el cual este certificado por ICONTEC bajo la norma ISO 9001:2008.