Política de privacidad y tratamiento de datos personales

La FUNDACIÓN ABOOD SHAIO (en adelante la “Fundación”) garantiza la confidencialidad y debido manejo de la información que obtenga, registre, use, transmita y actualice mediante autorización previa, expresa y voluntaria del titular de la información. Lo anterior se desarrolla en estricto cumplimiento de la Ley Estatutaria 1581 de 2012,Decretos No. 1377 de 2013, y el capítulo 25 del Decreto No. 1074 de 2015

Por su parte, la regulación sobre el manejo de la historia clínica se encuentra en la Ley 23 de 1981, Resolución 1995 de 1999 y en la Resolución 839 de 2017 en cuanto a su diligenciamiento, administración, conservación, custodia y confidencialidad.

OBJETIVO

La Fundación, en cumplimiento de la normatividad relacionada con la protección de datos personales, acoge la presente política y asegura la protección de los datos personales de los Titulares adoptando las medidas técnicas, humanas y administrativas necesarias para su manejo.

De igual manera, evitará la adulteración, pérdida o uso no autorizado de estos datos o información.

ALCANCE

Esta Política aplica para:

  • La información personal que obtenga la Fundación en el desarrollo de actividades de prestación de servicios de salud;

  • Cualquier vínculo contractual o comercial con terceros;

  • Los contratos laborales celebrados con sus empleados;

  • Actividades investigativas y científicas;

  • Actividades comerciales;

  • Actividades académicas;

  • En general, para el desarrollo de su actividad meritoria.

DEFINICIONES

Se entiende por:

  1. Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

  2. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

  3. Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

  4. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

  5. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

  6. Datos sensibles: Aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

  7. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

  8. Reclamo: Petición del titular o de las personas facultadas por este o por la ley, para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la ley

  9. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

  10. Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

  11. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

  12. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

  13. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

PRINCIPIOS

En todo lo que concierne al Tratamiento de Datos, la Fundación se regirá y seguirá con estricto cuidado y cumplimiento los siguientes principios. Estos valores se alzaran como regla respecto a las actividades de recolección, manejo, uso, tratamiento, almacenamiento e intercambio de datos personales.

a. Principio de legalidad: El Tratamiento de los datos es una actividad reglada y sometida al principio de legalidad. Ello quiere decir que cualquier maniobra que se vaya a realizar dentro de este escenario debe responder a las normativas legales vigentes. Para este caso la 1581 de 2012 y demás disposiciones que la desarrollen, modifiquen, deroguen o sustituyan.

b. Principio de libertad: Para el Tratamiento será indispensable e innegociable, la autorización previa e informada del titular. Ningún dato, cualquiera sea su índole podrá ser divulgado sin mediación de este consentimiento, salvo disposición legal o judicial que releve o sustituya el consentimiento del titular.

c. Principio de veracidad o calidad: La información relacionada con el Tratamiento deberá ser completa, integra, exacta, veraz, inteligible y de fácil comprensión. No podrán haber clausulas o disposiciones parciales o confusas que induzcan a error.

d. Principio de finalidad: El Tratamiento de los datos personales deberá obedecer y perseguir una finalidad legítima y acorde con la Constitución, la Ley. Todo previamente informado al titular

e. Principio de seguridad: Los datos personales sujetos a Tratamiento serán llevados y custodiados por el Responsable o Encargado del tratamiento. Este a su vez deberá valerse de las medidas y prevenciones técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros. Esto con el fin de evitar la pérdida, adulteración, o bien la consulta, revisión o acceso no autorizado o fraudulento

f. Principio de transparencia: Cuando del Tratamiento se trate, se le deberá garantizar al titular el derecho a obtener del Responsable o Encargado, en cualquier instante y sin barreras, información acerca de los datos que lo conciernen y comprometen.

g. Principio de confidencialidad: Cualquiera individuo o persona que intervengan en los procesos de Tratamiento de Datos, estarán obligadas a garantizar la absoluta reserva y confidencia aun cuando cese su vínculo con las labores que los acercaban a los datos en cuestión. Así las cosas, solo podrán realizar suministro o revelación cuando se trate de escenarios previstos por la Ley y en los términos que esta disponga.

h. Principio de acceso y circulación restringida: El tratamiento se atiene a los límites y barreras que supongan la naturaleza de los datos personales. En este orden de ideas el Tratamiento solo podrá hacerse por personas autorizadas bien por el titular o por la Ley.

TITULAR

Para efectos de esta Política se entenderán como titulares de datos personales las personas naturales o jurídicas incluyendo sin limitarse a los pacientes y usuarios del servicio de salud, los proveedores, clientes, benefactores, estudiantes, profesionales de la salud y empleados en general.

AUTORIZACIÓN

La Fundación requiere la autorización previa, informada y expresa del titular, la cual será obtenida mediante la manifestación (i) escrita; (ii) de forma oral; o (iii) por medios o electrónicos, de tal manera que pueda ser objeto de consulta posterior.

Al solicitar la información al Titular se debe informar de manera clara (i) la finalidad para la cual se recaudan los datos personales, (ii) el tratamiento al cual pueden ser sometidos, (iii) sus derechos y (iv) los medios a través de los cuales puede ejercerlos. Además, se informará la facultad que los asiste de autorizar o no el tratamiento cuando se refiera a datos sensibles

No se requiere autorización del Titular de los datos personales cuando se trate de:

  1. Responder a una orden judicial o cuando los solicita una entidad pública o administrativa en ejercicio de sus funciones legales;

  2. Datos personales de naturaleza pública;

  3. Casos de urgencia médica o sanitaria;

  4. Información autorizada por la ley para fines históricos, estadísticos o científicos y;

  5. Datos relacionados con el registro civil de las personas.

Para las autorizaciones escritas, el Titular de la información podrá suscribir los formatos establecidos por la Fundación para tal fin.

En materia de contratación, la Fundación como institución responsable de las diferentes bases de datos que han sido recolectados debido a la relación civil o mercantil vigente, consiga en los contratos que la información será objeto de tratamiento para los propósitos indicados en el artículo 10 de la Ley 1581 de 2012 e informa que la Política Institucional de Privacidad y Tratamiento de Datos Personales está disponible en la página web shaio.org

Teniendo en cuenta lo anterior, para llevar a cabo el desarrollo del objeto del contrato, el contratista, vendedor, comprador, este otros, se compromete a cumplir con toda la legislación aplicable, incluida la legislación relativa a la protección de datos personales, especialmente con el cumplimiento de lo previsto en la Ley 1581 de 2012 y Decreto 1377 de 2013, y de las demás normas que las modifiquen, complementen o sustituyan.

DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES

La autorización para el tratamiento de los datos personales de menores de edad debe realizarse bajo la facultad de los padres de familia o representantes legales del menor.

DERECHOS DEL TITULAR

El Titular tiene derecho:

  1. A conocer rectificar y actualizar sus datos personales;

  2. Solicitar prueba de la autorización salvo casos excepcionales por ley;

  3. Ser informado sobre el uso que se le da a sus datos personales;

  4. Presentar consultas e interponer quejas y que a su vez les sean respondidas;

  5. Solicitar revocatoria a la Fundación por incumplimiento en la normatividad;

  6. A acceder de manera gratuita a los datos personales que hayan sido objeto de tratamiento;

  7. A que su información sea conservada y custodiada bajo las condiciones de seguridad para evitar su pérdida, adulteración, consulta o acceso fraudulento o no autorizado.

DEBERES DEL TITULAR

El Titular debe garantizar la veracidad de la información que proporciona a la Fundación y actualizar su información de manera oportuna. En caso de falsedad en la información suministrada la Fundación se exime de cualquier responsabilidad.

RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

En esta Política se identifica como Responsable de los datos personales a:

FUNDACIÓN ABOOD SHAIO

NIT 860.006.656-9

Diagonal 115 A # 70 C - 75
Bogotá D.C., Colombia
PBX (601) 593 82 10
https://www.shaio.org/

Correo electrónico: info@shaio.org y notificaciones@shaio.org

DEBERES DEL RESPONSABLE

El Responsable se compromete a proceder bajo los lineamientos normativos para garantizar en la medida de lo que le corresponde el ejercicio de los derechos de los Titulares de los datos personales, obtenidos en el desarrollo de sus funciones.

TIPO DE INFORMACIÓN REGISTRADA

Para facilitar el contacto con los Titulares, registramos y conservamos datos personales o cualquier información vinculada que pueda asociarse a la persona. La Fundación obtiene información a través de las siguientes fuentes:

  • Cuando el paciente o usuario voluntariamente brinda información;

  • En los procesos de atención asistencial;

  • En los procesos de facturación de servicios;

  • Otras fuentes, que brindan información relacionada con el servicio que el usuario requiere;

  • En los procesos de actividades comerciales;

  • En desarrollo de actividades educativas; y

  • En el ejercicio de procesos laborales.

La información personal recopilada puede incluir, pero no limitarse a:

  • Nombre, direcciones y números de teléfono;

  • Fecha y lugar de nacimiento, así como su género;

  • Direcciones de correo electrónico;

  • Información necesaria para facilitar el contacto u otros servicios, incluyendo información familiar o laboral;

  • Número de cédula, pasaporte, nacionalidad y país de residencia;

  • Identificación, representación y existencia en caso de personas jurídicas;

  • Uso de servicios.

  • Información personal brindada a través de encuestas u otros métodos de investigación;

  • Información personal brindada a la oficina de Atención al Usuario;y

  • Por la naturaleza de nuestra institución prestadora de servicios de salud, también registramos datos básicos de la persona responsable del paciente, así como la entidad promotora de salud a la que se encuentra afiliado.

UTILIZACIÓN DE LA INFORMACIÓN

Se utiliza información personal para los fines mencionadas anteriormente y para contactar a los Titulares para:

  1. Brindar información sobre prestación de servicios de salud;

  2. Divulgación de información científica y actualización tecnológica;

  3. Información sobre campañas de promoción y planes de prevención en salud;

  4. Presentación de convenios para la prestación de servicios de salud con diferentes entidades promotoras de salud; compañías de aseguramiento, planes voluntarios de salud y demás aseguradoras;

  5. Información relativa al programa de Corazón Saludable;

  6. Información sobre el programa de Corazón Colombia, entre otras.

  7. En general, para procesar, confirmar y cumplir con el objeto de funcionamiento de la Fundación o algún otro servicio que el Titular solicite, la Fundación puede utilizar esta información para fines administrativos y analíticos, tales como administración de sistemas de información, facturación, contabilidad y auditorias, relacionamiento comercial, procesamiento y verificación de medios de pago, correspondencia de nuestra área de Atención al Usuario, y/o para el funcionamiento de los programas promocionales que se llagasen a implementar.

La Fundación no vende la información de sus usuarios ni comparte los datos personales sin autorización del Titular en los términos establecidos en la normatividad vigente.

La Fundación también usa información de los Titulares para identificar, desarrollar y dar a conocer servicios que, a nuestro juicio, son valiosos para los usuarios, pacientes y población en general, y puede comunicarse a través del correo electrónico, mensajes de texto o correo físico. Ocasionalmente, podrán recibir información sobre nuevos servicios, habilitación de centros de salud, programas de prevención entre otros. Además, podríamos proporcionar a empresas expertas en divulgación de información relativa a la prestación de servicios de salud, las cuales están sujetas a estrictos procesos de confidencialidad y seguridad de información.

TIPO DE TRATAMIENTO

Los datos personales podrán ser sometidos a las siguientes operaciones de Tratamiento: recolección, almacenamiento, conservación, uso, modificación, actualización, circulación y supresión. Todo ello conforme a las pautas y procedimientos establecidos en la ley

CONSERVACIÓN DE LOS DATOS

Los datos personales permanecerán en poder de la Fundación mientras permanezca vigente la finalidad para la cual fueron recopilados y registrados. Así las cosas, la institución conservará los registros en su base de datos durante el tiempo que estime necesario y razonable atendiendo a las disposiciones relativas a las finalidades dispuestas en la Política de Tratamiento de Datos Personales. Todo esto por supuesto, podrá verse replanteado en caso de que figure alguna reglamentación especial para algún caso particular.

Una vez agotada esta franja de tiempo, la Fundación a procederá a enviar estos datos personales al archivo inactivo. Si se tratase de medios digitales o electrónicos, se pasará al almacenamiento definitivo de los mismos y su posterior eliminación.

PUBLICACIÓN

La Política Institucional de Privacidad y Tratamiento de Datos Personales está disponible en la página web https://www.shaio.org o en las instalaciones de la Fundación.

Los reclamos se formulará mediante solicitud dirigida al Departamento de Comunicaciones de la Fundación Abood Shaio, por correo convencional, a la diagonal 115 A # 70 C - 75 Bogotá D.C. Colombia, o por correo electrónico a notificaciones@shaio.org.

TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES

La Fundación, en cumplimiento, de lo establecido en el artículo 26 de la Ley Estatutaria 1581 de 2012 se abstiene de transferir datos personales de los Titulares a otros países que no cuenten con iguales o superiores estándares de protección. Sin embargo, procederán las siguientes excepciones:

a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;

b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;

c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;

e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular

NEGATIVA A TRATAMIENTO DE INFORMACIÓN

Si el usuario o paciente considera que la Fundación no debe utilizar o compartir su información personal con las finalidades aquí recogidas, o no quiere recibir materiales informativos relativos a la Fundación , debe escribir al correo electrónico notificaciones@shaio.org y/o info@shaio.org manifestando su negativa. O manifestarlo por escrito al Departamento de Comunicaciones de la Fundación Abood Shaio a la diagonal 115 A # 70 C - 75 Bogotá D.C., Colombia

PROCEDIMIENTOS PARA CONSULTAS Y RECLAMOS

Consultas: Las consultas realizadas por el Titular o sus causahabientes serán atendidas por la Fundación en un término de (10) días hábiles a partir del recibo de la solicitud prorrogable por un término máximo de (5) días hábiles.

Reclamos: El Titular o sus causahabientes que consideren que la información contenida en la base de datos de la Fundación debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en esta política, podrán presentar un reclamo ante el Departamento de Comunicaciones, el cual será tramitado bajo las siguientes reglas:

El reclamo se formulará mediante solicitud dirigida al Departamento de Comunicaciones de la Fundación Abood Shaio, por correo convencional, a la diagonal 115 A # 70 C - 75 Bogotá D.C. Colombia, o por correo electrónico a notificaciones@shaio.org con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quieran hacer valer.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo, el cual se podrá prorrogar por un término máximo de ocho (8) días hábiles

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Si transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Antes de acudir a la entidad encargada de vigilar el cumplimiento de las normas sobre protección de datos personales, el Titular debe tramitar inicialmente su reclamo con la Fundación a través de los medios y canales dispuestos para tal fin.

POLÍTICAS DE CONFIDENCIALIDAD Y GESTIÓN DE LA INFORMACIÓN

Para la Fundación Abood Shaio la Confidencialidad es un principio ético fundamental inmerso en el desempeño de sus Procesos Institucionales. De esta manera es responsable de garantizar la protección de la información frente a un mal uso o acceso injustificado y asegurar su adecuado manejo solo por parte de personas autorizadas. Es por esta razón que hay establecida una Política de confidencialidad y una Política de gestión de la información al interior de la organización que busca encaminar sus acciones bajo este principio, a través de los mecanismos definidos para cada tipo de información al interior de la institución, entre ellos la protección y buen uso de los Datos Personales registrados de sus usuarios y pacientes, empleados, estudiantes entre otros.

Adicionalmente, la Fundación promueve herramientas de capacitación y entrenamiento para cumplir con estas políticas.

AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN

Mediante la política de gestión del riesgo y la política de gestión de la información se despliegan las diferentes herramientas para gestionar el riesgo y realizar los controles de seguridad de los sistemas de información que posee la Fundación, como es el caso del módulo de historia clínica.

MODIFICACIONES Y VIGENCIA

La Fundación se reserva el derecho de modificar esta Política en cualquier momento y notificará a los Titulares sobre cualquier cambio, con la actualización del contenido en la página web y en los documentos que la incluyan.

MARCO NORMATIVO

  1. Ley 1581 de 2012;

  2. Ley 23 de 1981;

  3. Decreto 1377 de 2012;

  4. Decreto 1074 de 2015;

  5. Resolución 1995 de 1999 y;

  6. Resolución 839 de 2017.

DOCUMENTOS DE APOYO

Los documentos que guardan relación con la presente política son los siguientes:

  1. Consentimiento informado CI-COM-01: Autorización para el tratamiento de datos personales proveedores y/o terceros.

  2. Consentimiento informado CI-AT-10: Autorización para el tratamiento de datos personales pacientes.

  3. Consentimiento informado CI-INV-01: Autorización para el tratamiento de datos personales con fines investigativos.

  4. Política PO -18: Política de confidencialidad.

  5. Política PO -14: Política de gestión del riesgo.

  6. Política PO –20: Política de gestión de la información.