| |   

Protección de Datos - Universidad Libre

Resolución n.º 20 (6 de diciembre de 2022)

Resolución n.° 20
(6 de diciembre de 2022)

«Por la cual se expide el Marco Regulatorio de Protección de Datos Personales de la Universidad Libre»

La Consiliatura de la Universidad Libre, en ejercicio de sus atribuciones legales y estatutarias, en especial las señaladas en el artículo 25, numerales 1 y

CONSIDERANDO:

  1. Que la Ley 1581 de 2012, desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política.

  2. Que el Decreto 1074 de 26 mayo de 2015, Único Reglamentario del Sector Comercio, Industria y Turismo, en su Artículo 2.2.2.25.3.1., de Políticas de Tratamiento de la información, establece que los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los encargados del tratamiento den cabal cumplimiento a las mismas.

  3. Que el Decreto 1074 de 2015, en su Artículo 2.2.2.26.1.1. y siguientes reglamenta el artículo 25 de la Ley 1581 de 2012, en lo relativo al Registro Nacional de Bases de Datos y establece que los responsables del tratamiento de la información personal deben inscribir sus bases de datos en dicho Registro.

  4. Que la Universidad Libre debe garantizar que el tratamiento de los datos Personales bajo su responsabilidad sea llevado a cabo, exclusivamente, con fines académicos, bienestar universitario, prácticas empresariales, biblioteca, becas, relaciones nacionales e internacionales, participación en eventos o concursos (académicos, democráticos, culturales, recreativos, deportivos), congresos y/o seminarios, relacionamiento de egresados y graduados, atención en centro médico, difusión de información a través de los medios de comunicación de la universidad, temas publicitarios, comerciales, investigativos, estadísticos, de mercadeo, y en general para las actividades que se enmarquen dentro del objeto social y estatutos de la universidad.

  5. Que la Consiliatura en sesión del 5 de diciembre de 2022 aprobó el Marco Regulatorio de Protección de Datos Personales de la Universidad Libre.

  6. Que, en mérito de lo expuesto,

R E S U E L V E:

Artículo 1. De la adopción del marco regulatorio de Protección de Datos Personales. Adoptar el Marco Regulatorio de Tratamiento de Datos Personales para la Universidad Libre en su Sede Principal y sus Seccionales, el cual obra como anexo de esta.

Artículo 2. De la vigencia. Esta Resolución rige a partir de la fecha de su publicación.

COMUNÍQUESE Y CÚMPLASE

Dada en Bogotá D.C., a los 6 días del mes de diciembre de 2022.

(Original firmado)

JORGE ALARCÓN NIÑO
Presidente de la Corporación

(Original firmado)

FLORO HERMES GÓMEZ PINEDA
Secretario General

 



Ver en PDF

Si no puede visualizar el documento por favor de CLIC AQUÍ para descargarlo

    ERROR (no puede mostrarse el objeto)  

Marco Regulatorio de Protección de Datos

 

Marco Regulatorio de Protección de Datos Personales de la Universidad Libre

Contenido

1.    INTRODUCCIÓN
2.    MARCO LEGAL
3.    DOCUMENTOS RELACIONADOS
4.    OBJETO
5.    ALCANCE
6.    GLOSARIO
7.    FINALIDAD DEL TRATAMIENTO
7.1.     ASPIRANTES Y/O ESTUDIANTES
7.2.     EGRESADOS
7.3.     PROFESORES Y ADMINISTRATIVOS
7.4.     PROVEEDORES Y/O CLIENTES
8.    CATEGORÍAS ESPECIALES DE DATOS
8.1.     DATOS SENSIBLES
8.1.1.     Tratamiento de Datos Sensibles.
8.1.2.      Autorización de Tratamiento de Datos Personales Sensibles.
8.2.     DATOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES.
8.2.1.      Autorización.
9.    DERECHOS DE LOS TITULARES
9.1.     LEGITIMACIÓN PARA EL EJERCICIO DE LOS DERECHOS.
9.1.1.     Derecho de acceso o consulta
9.1.2.     Derechos de reclamo
a)    Reclamo de corrección
b)    Reclamo de supresión
c)    Reclamo de revocación
d)    Reclamo por infracción
9.1.3.     Forma de presentar derechos de acceso o consulta y reclamo
9.1.4.     Subsanación
9.1.5.     Término para resolver
9.1.6.     Derecho a presentar quejas por infracciones ante la Superintendencia de Industria y Comercio
10.      OBLIGACIONES DEL RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
10.1.       DEBER DEL RESPONSABLE
10.2.      DEBERES ESPECIALES DEL OFICIAL DE PROTECCIÓN DE DATOS Y/O ENCARGADO
10.3.      AUTORIZACIÓN DEL TITULAR
11.      TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES
11.1.       TRANSMISIÓN
11.2.       TRANSFERENCIA
12.      MEDIDAS DE SEGURIDAD
12.1.      RESPONSABLE DE SEGURIDAD
12.2.      MEDIDAS DE SEGURIDAD COMUNES
12.2.1.     Clasificación
12.2.2.     Control del acceso
12.2.3.     Tratamiento de datos fuera de las instalaciones de la Universidad
12.2.4.     Bases de datos temporales, copias y reproducciones
12.2.5.     Auditorías
12.3.      MEDIDAS DE SEGURIDAD PARA BASES DE DATOS NO AUTOMATIZADAS
12.3.1.     Archivo de documentos
12.3.2.     Acceso a documentos
12.4.      MEDIDAS DE SEGURIDAD PARA BASES DE DATOS AUTOMATIZADAS
12.4.1.     Entrada y salida de documentos o soportes
12.4.2.     Control de acceso físico
12.4.3.     Copias de respaldo y recuperación de datos
13.      CONTROL DE ACCESO Y VIDEO VIGILANCIA
13.1.      CONTROL DE ACCESO
13.2.      VIDEOVIGILANCIA
14.      CAPACITACIÓN DE PERSONAL
15.      PERÍODOS DE VIGENCIA DE LAS BASES DE DATOS
16.      REGISTRO NACIONAL DE BASES DE DATOS
17.      VIGENCIA Y ACTUALIZACIÓN DEL MARCO REGULATORIO

 

  1. INTRODUCCIÓN

    La Universidad Libre es una institución de educación superior que, desde su origen ha procurado la construcción permanente de un mejor país y de una sociedad democrática, pluralista y tolerante.

    Por su condición de institución educativa, la Universidad requiere la recolección y tratamiento de datos personales de sus estudiantes, docentes, administrativos, directivos, proveedores y visitantes. Esto implica la existencia de garantías constitucionales, a cargo de la Universidad, que surgen a partir del artículo 15 de la Constitución Política, esto es, el derecho a la intimidad familiar y personal, así como la posibilidad de conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos.

    En cumplimiento de esas garantías, desarrolladas mediante la ley 1581 de 2021, decretos 1377 de 2013 y 886 de 2014 (hoy incorporados en el Decreto único 1074 de 2015), la Universidad Libre, consciente de la responsabilidad que le asiste en relación con el Tratamiento de Datos Personales, ha elaborado el presente MARCO REGULATORIO PARA EL TRATAMIENTO DE DATOS PERSONALES cuya aplicación es imperativa para todas las personas naturales o jurídicas que hagan tratamiento de los datos personales registrados en la bases de datos de la institución.

  2. MARCO LEGAL

    1. Constitución Política, artículo 15.
    2. Ley 1581 de 2012
    3. Decreto Reglamentario 1377 de 2013
    4. Decreto Reglamentario 886 de 2014
    5. Decreto único 1074 de 2015 capítulos 25 y 26.
  3. DOCUMENTOS RELACIONADOS

    1. Manual de Usuario del Registro Nacional de Bases de Datos – RNBD.
    2. Guía para la Protección de Datos Personales en Sistemas de Video vigilancia.
    3. GD01-I01 Instructivo aplicación tabla de retención documental y transferencia documental.
    4. GD01-F17 Programa de Gestión Documental – PGD.
    5. GD01-I06 Envió y traslado de comunicaciones oficiales.
    6. GD01-P02 Procedimiento de correspondencia y sistema de trámites.
    7. GS03-F18 Solicitud nuevos requerimientos de Información.
    8. GS01-F18 Formato de creación, modificación y-o eliminación de usuarios en bases de datos de la SIC.
    9. GS01-P09 Procedimiento de borrado seguro de información
    10. CS01-P01 Procedimiento SICFACILITA
    11. CS01-I04 Instructivo de servicios de atención ciudadano
    12. CS04-01 Procedimiento para la atención de peticiones, consultas, quejas, reclamos, sugerencias y felicitaciones
  4. OBJETO

    El objetivo de este Marco es establecer los lineamientos que garanticen la protección de datos personales que son objeto de tratamiento por parte de la Universidad Libre, considerada como responsable.

    El Marco está dirigido a los grupos de interés con el fin de que tengan a su disposición la información necesaria sobre los fines del tratamiento de los datos, así como los derechos que los titulares de datos personales pueden ejercer frente a la Institución cuando esta tenga el rol de responsable del tratamiento de sus datos.

    Es imperativo que el presente Marco sea de conocimiento de todas las personas naturales o jurídicas encargadas de la administración de bases de datos objeto de tratamiento de la Universidad.

  5. ALCANCE

    Esta Resolución será de obligatorio cumplimiento para las personas naturales y jurídicas que tengan algún vínculo laboral, contractual o académico con la Universidad Libre Sede Principal y sus Seccionales, y que su labor implique el tratamiento de datos personales.

  6. GLOSARIO

    Para los efectos de la presente reglamentación y en concordancia con la normatividad vigente en materia de Protección de Datos Personales, se deberán tener en cuenta las siguientes definiciones: 
    Acceso autorizado: Autorización concedida a un usuario para el uso de determinados recursos. En dispositivos automatizados es el resultado de una autentificación correcta, generalmente mediante el ingreso de usuario y contraseña.

    Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos personales.

    Autenticación: Procedimiento de verificación de la identidad de un usuario.

    Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

    Copia de respaldo: Copia de los datos de una base de datos en un soporte que permita su recuperación.

    Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

    Dato personal privado: Aquel que por su naturaleza íntima o reservada solo es relevante para el titular.

    Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

    Dato personal público: Aquel que concierne a un interés general, tales como los documentos públicos, sentencias judiciales, los relativos al estado civil de las personas, entre otros.

    Dato personal semiprivado: De carácter privado que solo interesan al titular y a un grupo determinado de personas, las cuales pueden consultar la información mediando una autorización.

    Dato personal sensible: Aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud o vida sexual y los datos biométricos.

    Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

    Responsable de seguridad: Una o varias personas designadas por el responsable del tratamiento para el control y la coordinación de las medidas de seguridad.        

    Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

    Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

    Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

    Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

    Usuario: Sujeto autorizado para acceder a los datos o recursos, o proceso que accede a los datos o recursos sin identificación de un sujeto.

  7. FINALIDAD DEL TRATAMIENTO

    La Universidad Libre debe garantizar que el tratamiento de los datos Personales bajo su responsabilidad sea llevado a cabo, según el perfil, exclusivamente, con los siguientes fines:

    7.1. ASPIRANTES Y/O ESTUDIANTES

    1. Proceso de inscripción, selección y admisión a los programas académicos de la Universidad.
    2. Socialización de información relacionada con el proceso de admisión y promoción de los programas académicos.
    3. Expedición de facturas.
    4. Expedición de certificaciones.
    5. Gestión de becas.
    6. Actividades culturales, recreativas, deportivas y sociales.
    7. Fines históricos, científicos o estadísticos.
    8. Atención al cliente.
    9. Gestión administrativa.
    10. Publicidad propia y de terceros relacionados.
    11. Video vigilancia.
    12. Seguridad y control de acceso a las instalaciones.
    13. Servicios de bienestar universitario.
    14. Elaboración de carnet.

    7.3. EGRESADOS

    1. Promoción, ejecución, desarrollo de actividades académicas y administrativas.
    2. Promoción, ejecución, desarrollo y evaluación de alianzas y convenios que los beneficien.
    3. Difusión de convocatorias de emprendimiento, laborales, becas, entre otros relacionados con el bienestar de los egresados.
    4. Expedición de certificaciones y/o verificaciones.

    7.4. PROFESORES Y ADMINISTRATIVOS

    1. Fines históricos, científicos o estadísticos.
    2. Control de horario.
    3. Formación personal.
    4. Gestión de nómina
    5. Prestaciones sociales y prevención de riesgos laborales.
    6. Promoción y gestión de empleo, promoción y selección de personal.
    7. Expedición de certificaciones.
    8. Bienestar.

    7.4 PROVEEDORES Y/O CLIENTES

    1. Gestión de proveedores
    2. Verificación al cumplimiento de los acuerdos y compromisos asumidos en el marco de la relación o vínculo existente.
    3. Presentación de quejas, denuncias o reportes a la autoridades o entidades competentes en caso de incumplimiento de contratos.
    4. Las demás finalidades que se determine en procesos de obtención de datos personales para su tratamiento, y en todo caso, de acuerdo con la ley.
    5. En general para las actividades que se enmarquen dentro del objeto social y estatutos de la universidad.

    Las anteriores finalidades, sin perjuicio de las que se incorporen en cada autorización según sea el caso o que se incluyan en el aviso de privacidad.

  8. CATEGORÍAS ESPECIALES DE DATOS

    8.1. DATOS SENSIBLES

    Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como los que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

    8.1.1. Tratamiento de Datos Sensibles.

    Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

    1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
    2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
    3. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
    4. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

    8.1.2. Autorización de Tratamiento de Datos Personales Sensibles.

    La Universidad Libre obtendrá la autorización de manera especial teniendo en cuenta las siguientes formalidades:

    1. Informará al Titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.
    2. Informará al Titular de forma explícita y previa, cuáles de los datos que serán objeto de Tratamiento son sensibles y la Finalidad del Tratamiento, así como obtener su consentimiento expreso.

    8.2. DATOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES.

    El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes requisitos:

    1. Que respondan y respeten el interés superior de los niños, niñas y adolescentes.
    2. Que se asegure el respeto de sus derechos fundamentales. 

    8.2.1. Autorización.

    El representante legal de los niños, niñas y adolescentes otorgará autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

  9. DERECHOS DE LOS TITULARES

    Los titulares de los datos personales registrados en las bases de datos de la Universidad Libre, tienen los siguientes derechos:

    1. Acceder, conocer, actualizar, suprimir y rectificar sus datos personales frente a la Universidad Libre, en su condición de responsable del Tratamiento de datos personales.
    2. Solicitar prueba de la existencia de la autorización otorgada a la Universidad Libre, a menos de que medie excepción legal.
    3. Recibir información por parte de la Universidad, previa solicitud, respecto del uso que ha dado a sus datos personales.
    4. Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la normatividad vigente.
    5. Modificar o revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el tratamiento haya vulneración a los principios, derechos y garantías constitucionales y legales vigentes. Este derecho procede, cuando no genere incumplimiento por parte de la Universidad con otras obligaciones legales o contractuales relativas a la permanencia del dato.

    9.1. LEGITIMACIÓN PARA EL EJERCICIO DE LOS DERECHOS.

    Los derechos de los Titulares podrán ejercerse por las siguientes personas:
     

    1. Titular, quien deberá acreditar su identidad.
    2. Representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento. 
    3. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

    9.1.1. Derecho de acceso o consulta

    El titular puede solicitar información a la Universidad Libre respecto del origen, uso y finalidad que le han dado a sus datos personales. 

    El Titular puede consultar de forma gratuita sus datos personales en dos casos:

    1. Una vez cada mes calendario.
    2. Cada vez que existan modificaciones sustanciales de las políticas de tratamiento de la información que motiven nuevas consultas.

    Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el Titular asumirá los gastos de envío, reproducción y, en su caso, certificación de documentos.

    9.1.2. Derechos de reclamo

    La Universidad Libre reconoce cuatro tipos de reclamos: 

    1. Reclamo de corrección . El titular puede solicitar a la Universidad Libre que se le actualicen, rectifiquen o modifiquen aquellos datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
    2. Reclamo de supresión . El titular puede solicitar a la Universidad Libre que se supriman los datos que resulten inadecuados, excesivos o que no respeten los principios, derechos y garantías constitucionales y legales.
    3. Reclamo de revocación . El titular puede solicitar a la Universidad Libre que se supriman los datos que resulten inadecuados, excesivos o que no respeten los principios, derechos y garantías constitucionales y legales.
    4. Reclamo por infracción . El titular puede solicitar a la Universidad Libre que se subsane el incumplimiento de la normativa en materia de Protección de Datos.

    9.1.3. Forma de presentar derechos de acceso o consulta y reclamo

    El Titular de los datos puede ejercer el derecho de acceso o consulta y reclamo, mediante un escrito dirigido al correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., indicando en el Asunto “Ejercicio del derecho de acceso o consulta o reclamo” según corresponda. La solicitud deberá contener los siguientes datos:

    1. Nombre y apellidos del Titular.     
    2. Fotocopia de la cédula de ciudadanía del titular y, en su caso, de la persona que lo representa, así como del documento acreditativo de tal representación.    
    3. Petición en que se concreta la solicitud de acceso o consulta.     
    4. Dirección para notificaciones, fecha y firma del solicitante.
    5. Documentos acreditativos de la petición formulada, cuando corresponda.

    9.1.4. Subsanación

    Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

     9.1.5. Término para resolver

    Una vez recibida la solicitud, la Universidad Libre, resolverá la petición de consulta en un plazo máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. Para el caso del derecho de reclamo la Universidad resolverá dicha petición en un plazo máximo de quince (15) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender al reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

    9.1.6. Derecho a presentar quejas por infracciones ante la Superintendencia de Industria y Comercio

    El titular puede elevar queja ante la Superintendencia de Industria y Comercio, una vez haya agotado el trámite de consulta o reclamo ante la Universidad Libre.

  10. OBLIGACIONES DEL RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

    La Universidad debe designar a un Oficial de Protección de Datos responsable de la seguridad y encargado de coordinar y controlar las medidas de seguridad contenidas en el presente Acuerdo, el mismo responsable de la seguridad será el encargado de las bases de datos sensibles y de la seguridad de las bases de datos no automatizadas.

    El Oficial de Protección de Datos, cargo que puede corresponder a una o varias personas, es el encargado de coordinar, supervisar y controlar las medidas definidas en el presente Marco Regulatorio de Tratamiento de Datos Personales. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del tratamiento de la base de datos, que es a quien, en primera instancia, se le pueden imponer las sanciones que contempla la ley. Lo anterior, sin perjuicio de que al Oficial de Protección de Datos se le pueda endilgar responsabilidad laboral o disciplinaria en caso de no cumplir con sus obligaciones.

    10.1 DEBER DEL RESPONSABLE

    La Universidad Libre como responsable del tratamiento deberá cumplir los siguientes deberes:

    1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
    2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
    3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
    4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
    5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
    6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
    7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
    8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
    9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
    10. Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
    11. Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
    12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
    13. Informar a solicitud del Titular sobre el uso de sus datos.
    14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información delos Titulares.

    10.2. DEBERES ESPECIALES DEL OFICIAL DE PROTECCIÓN DE DATOS Y/O ENCARGADO

    1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
    2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
    3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012.
    4. Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
    5. Tramitar las consultas y los reclamos presentados por los Titulares en los términos señalados en el presente Marco Regulatorio.
    6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
    7. Abstenerse de circular información que esté siendo controvertida por el Titular cuto bloqueo haya sido ordenado por la SIC.
    8. Permitir el acceso a la información únicamente a las personas que tienes acceso a ella.
    9. Verificar que el responsable del tratamiento tiene la autorización para el tratamiento de datos personales del Titular.
    10. Gestionar el registro y actualización de las bases de datos en el Registro Nacional de Bases de Datos – RNBD, de acuerdo al Manual de Usuario.

    10.3. AUTORIZACIÓN DEL TITULAR

    La Universidad Libre debe obtener autorización previa e informada del Titular, la cual deberá ser recogida por cualquier medio que pueda ser objeto de consulta posterior.

    Se entenderá que la autorización cumple con los requisitos cuando se manifiesta por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó autorización.

    La autorización del titular no será necesaria cuando se trate de:

    1. Información requerida por la Entidad, en ejercicio de sus funciones legales o por orden judicial.
    2. Datos de naturaleza pública.
    3. Casos de urgencia médica o sanitaria.
    4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
    5. Datos relacionados con el Registro Civil de las Personas.  
  11. TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES

    11.1. TRANSMISIÓN

    La Universidad Libre puede delegar el tratamiento de datos a terceros, para que actúe como encargado del tratamiento, mediante un contrato de transmisión de datos.

    11.2. TRANSFERENCIA

    La Universidad Libre puede enviar datos personales de los Titulares a entidades ubicadas en Colombia o en el exterior cuando medie una autorización.

  12. MEDIDAS DE SEGURIDAD

    12.1. RESPONSABLE DE SEGURIDAD

    La Universidad debe designar a un responsable de seguridad encargado de coordinar y controlar las medidas de seguridad contenidas en la presente Resolución, el mismo responsable de la seguridad será el encargado de las bases de datos sensibles y de la seguridad de las bases de datos no automatizadas. La designación de los responsables de seguridad no exonera de responsabilidad al responsable del tratamiento o encargado del tratamiento.

    12.2. MEDIDAS DE SEGURIDAD COMUNES

    Las bases de datos son accesibles únicamente por las personas designadas por la Universidad Libre. Las medidas de seguridad cambiarán según el tipo de base de datos.

    12.2.1 Clasificación

    Los datos deben ser clasificados según el tipo de información que contienen.

    12.2.2. Control del acceso

    El personal de la Universidad Libre solamente debe acceder a aquellos datos y recursos necesarios para el desarrollo de sus funciones. La modificación sobre algún dato o información, así como la concesión, alteración, inclusión o anulación de los accesos autorizados y de los usuarios recogidos en la lista actualizada mencionada en el párrafo anterior, corresponde de manera exclusiva al personal autorizado.

    12.2.3. Tratamiento de datos fuera de las instalaciones de la Universidad

    El almacenamiento de datos personales del responsable del tratamiento o encargado del tratamiento en dispositivos portátiles y su tratamiento fuera de los establecimientos, requiere una autorización previa por parte de la Universidad Libre y el cumplimiento de las garantías de seguridad correspondientes al tratamiento de este tipo de datos.        

    12.2.4. Bases de datos temporales, copias y reproducciones

    Las bases de datos temporales o copias de documentos creadas para trabajos temporales o auxiliares deben cumplir con el mismo nivel de seguridad que corresponde a las bases de datos o documentos originales. Una vez que dejan de ser necesarias, estas bases de datos temporales o copias son borradas o destruidas, impidiéndose así el acceso o recuperación de la información que contienen.   

    12.2.5. Auditorías

    Las bases de datos que contengan datos personales, objeto de tratamiento por parte de la Universidad, clasificadas con nivel de seguridad sensible o privado, deben someterse al menos cada año, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad contenidas en este Marco.  

    La Universidad puede realizar una auditoría extraordinaria, siempre que se realicen modificaciones sustanciales en el sistema de información que puedan afectar al cumplimiento de las medidas de seguridad, con el fin de verificar la adaptación, adecuación y eficacia de las mismas.     

    Las auditorías concluirán con un informe de auditoría, que contendrá: (i) El dictamen sobre la adecuación de las medidas y controles a la normativa sobre protección de datos. (ii) La identificación de las deficiencias halladas y la sugerencia de medidas correctoras o complementarias necesarias. (iii) La descripción de los datos, hechos y observaciones en que se basen los dictámenes y las recomendaciones propuestas.        

    Con base a los resultados obtenidos, se diseñarán e implementarán los planes de mejoramiento (preventivos, correctivos y de mejora) necesarios.

    Los resultados de la revisión junto con los eventuales planes de mejoramiento serán presentados por el Oficial de Protección de Datos Personales a la Secretaría General para su valoración y aprobación.

     12.3. MEDIDAS DE SEGURIDAD PARA BASES DE DATOS NO AUTOMATIZADAS

    Los criterios de archivo deben garantizar la conservación, localización y consulta de documentos con el fin de optimizar el trámite de los derechos de consulta y reclamo de los Titulares.

    12.3.1. Archivo de documentos

    Los objetos donde se archiven los documentos deben disponer de llaves u otros mecanismos que impidan su apertura.

    Cuando los documentos que contienen datos personales se encuentren en proceso de revisión o tramitación y, por tanto, fuera de los dispositivos de almacenamiento, ya sea antes o después de su archivo, la persona que se encuentre a cargo de los mismos debe custodiarlos e impedir en todo caso que personas no autorizadas puedan acceder a ellos.

    Los dispositivos de almacenamiento que contengan documentos con datos personales clasificados con nivel de seguridad sensible deben encontrarse en áreas o locales en las que el acceso esté protegido con puertas de acceso con sistemas de apertura de llave u otros mecanismos similares. Estas áreas deben permanecer cerradas cuando no se precise el acceso a dichos documentos.

     12.3.2. Acceso a documentos

    El procedimiento de acceso a los documentos que contienen datos clasificados como sensibles implica el registro de accesos a la documentación, la identidad de quien accede, el momento en que se produce el acceso y los documentos a los que se han accedido. El acceso a documentos con este tipo de datos se realiza por personal autorizado; si se realiza por personas no autorizadas deberá supervisarse por algún usuario autorizado o por el responsable de seguridad en cuestión de Universidad Libre.

    12.4. MEDIDAS DE SEGURIDAD PARA BASES DE DATOS AUTOMATIZADAS

    La Universidad garantiza la instalación de un sistema de seguridad informática que permita identificar y autenticar de forma correcta a los usuarios de los sistemas de información, con el fin de garantizar que solo el personal autorizado pueda acceder a las bases de datos.

    12.4.1. Entrada y salida de documentos o soportes

    La entrada y salida de documentos o soportes debe registrarse indicando el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen según el nivel de seguridad, la forma de envío y la persona responsable de la recepción.

    12.4.2. Control de acceso físico

    Los establecimientos que son sede de los sistemas de información que contienen datos personales deben estar debidamente protegidos con el fin de garantizar la integridad y confidencialidad de dichos datos; así mismo, deben cumplir con las medidas de seguridad físicas correspondientes al documento o soporte donde incluyen los datos.    

    12.4.3. Copias de respaldo y recuperación de datos

    Todas las bases de datos deben tener una copia de respaldo a partir de las cuales se puedan recuperar los datos. Dicho respaldo debe reposar en un lugar distinto a aquel en el que se encuentren los equipos donde se llevar a cabo su tratamiento. Este lugar deberá cumplir en todo caso las mismas medidas de seguridad exigidas para los datos originales.                

  13.  CONTROL DE ACCESO Y VIDEO VIGILANCIA

    13.1. CONTROL DE ACCESO

    En las áreas donde exista tratamiento de información confidencial o restringida deben contar con controles de acceso que sólo permitan el ingreso de los colaboradores autorizados y que permitan guardar la trazabilidad de los ingresos y salidas.

    13.2. VIDEOVIGILANCIA

    La Universidad Libre cuenta con cámaras de video vigilancia con el fin de salvaguardar la seguridad física.

    Las imágenes allí recolectadas deberán ser conservadas por un tiempo máximo de 90 días, excepto cuando la imagen sea objeto de reclamación, queja o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

  14. CAPACITACIÓN DE PERSONAL

    La Universidad Libre desarrollará programas anuales de capacitación y sensibilización en Protección de Datos personales y seguridad de la información. La Universidad debe poner en conocimiento este Marco por el medio que considere idóneo y con ello, capacitar a su personal y contratistas en la administración de los datos personales con una periodicidad al menos anual, con el fin de medir conocimientos sobre el tema.

    Los nuevos funcionarios y contratistas, al momento de vincularse con la Institución, deben recibir capacitación sobre Protección de Datos Personales dejando constancia de su asistencia y conocimiento.

    En el marco del desarrollo de estas capacitaciones se deberá asegurar que los receptores conozcan sus responsabilidades con respecto a Protección de Datos.

    Desde Jefatura de Personal en articulación con el Oficial de Protección de Datos Personales, se definirán los planes de capacitación mencionados y evaluación de los empleados de acuerdo con los cambios normativos que se vayan presentando.

  15. PERÍODOS DE VIGENCIA DE LAS BASES DE DATOS

    Las bases de datos de la Universidad Libre tendrán el período de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia.

  16. REGISTRO NACIONAL DE BASES DE DATOS

    La Universidad Libre, en cumplimiento del artículo 25 de la ley 1581 y sus decretos reglamentarios, registrará sus bases de datos junto con el presente Marco Regulatorio de tratamiento de datos personales, en el Registro Nacional de bases de datos, administrado por la Superintendencia de Industria y Comercio, de acuerdo al Manual de Usuario.

  17. VIGENCIA Y ACTUALIZACIÓN DEL MARCO REGULATORIO

    El presente Marco Regulatorio rige a partir de su firma y complementa las políticas asociadas, con vigencia indefinida.

    Cualquier cambio sustancial en el Marco Regulatorio de Protección de datos personales se comunicará de forma oportuna a los titulares a través de los medios habituales de contacto y/o a través del sitio web: https://www.unilibre.edu.co/protecciondedatos/.

Solicitudes

FORMULARIO DE ACCESO O CONSULTA

FORMULARIO DE QUEJAS O RECLAMOS

Certificados


Enlaces


Asuntos judiciales

EXCLUSIVAMENTE para notificaciones judiciales de la Universidad Libre
haga clic aquí

Contáctenos

Línea Gratuita Nacional 01 8000 180560

Directorio Telefónico    





PROTECCIÓN DE DATOS