Política de tratamiento de datos personales

- Introducción

- Identificación del responsable del tratamiento de datos personales

1. Las definiciones de los términos
1.1 Titular
1.2 Datos personales
1.3 Datos sensibles
1.4 Dato público
1.5 Dato semiprivado
1.6 Dato privado
1.7 Autorización
1.8 Aviso de privacidad
1.9 Base de datos
1.10 Tratamiento de datos
1.11 Encargado del Tratamiento
1.12 Responsable del Tratamiento

2. Finalidad.

3. Principios que gobiernan el tratamiento de datos personales
3.1 Principio de legalidad
3.2 Principio de finalidad
3.3 Principio de libertad
3.4 Principio de veracidad o calidad
3.5 Principio de transparencia
3.6 Principio de acceso y la circulación restringida
3.7 Principio de seguridad
3.8 Principio de confidencialidad

4. Los derechos de los titulares
4.1 Derecho de acceso
4.2 Derecho de actualización, rectificación y supresión
4.3 Derecho a solicitar prueba de la autorización
4.4 Derecho a ser informado respecto del uso del dato personal
4.5 Derecho a revocar la autorización o solicitar la supresión del dato
4.6 Derecho a presentar quejas asociadas al tratamiento de datos personales.
4.7 Derecho a requerir el cumplimiento de las órdenes emitidas por la Superintendencia de Industria y Comercio

5. Deberes del Colegio en calidad de responsable del tratamiento de datos personales y de sus trabajadores y contratistas en calidad de encargados del tratamiento de los mismos.

6. Tratamiento de datos sensibles

7. Protección especial de los niños, niñas y adolescentes

8. Encargados del tratamiento de datos personales.
8.1 Los encargados internos Del área académica
8.2 Los encargados externos

9. Los procedimientos
9.1 Generalidades sobre la autorización
9.2 Las autorizaciones y los menores de edad
9.3 Las consultas
9.4 Los reclamos
9.5 Los cuestionarios y formatos
9.6 Los contratos
9.6.1 Los contratos educativos y laborales
9.6.2 Los contratos de prestación de servicios externos

10. La información y capacitación a padres y alumnos

11. El registro nacional de bases de datos

12. Anexo: La relación de los datos indispensables
12.1 El registro estudiantil y los datos familiares
12.2 Los datos para los servicios de apoyo
12.3 Los datos contractuales y contables de las familias
12.4 Los datos de personal y de nómina
12.5 Los datos de proveedores y contratistas

13. Anexo: La relación de los bancos de datos

Introducción
La Constitución Política de Colombia en su artículo 15 consagra los derechos fundamentales autónomos a la intimidad personal y familiar, el derecho al buen nombre y el derecho al habeas data, esto es, el derecho a conocer, actualizar y rectificar las informaciones que sobre las personas han sido recogidos en bancos de datos y en archivos de entidades públicas y privadas.
En ese sentido, la jurisprudencia de la Corte Constitucional ha definido el derecho al habeas data como “aquel que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y/o certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales”(sentencia C-1011 de 2008). Así mismo, ha destacado que la protección al habeas data se encuentra relacionada con otras garantías iusfundamentales como la honra, la intimidad, la reputación, el libre desarrollo de la personalidad y el buen nombre; al tiempo que ha considerado al habeas data como un derecho fundamental autónomo, pues detenta un objeto protegido específico, a saber: “el poder de control que el titular de la información puede ejercer sobre quién (y cómo) administra la información que le concierne” (Sentencia SU-458 de 2012.). Por último, dicha corporación judicial ha decantado las siguientes prerrogativas que el derecho al hábeas data confiere al titular de datos personales, como son:

“(i) El derecho de las personas a conocer la información que sobre ellas está recogida en bases de datos, (…);

(ii) El derecho a incluir nuevos datos con el fin de que se provea una imagen completa del titular;

(iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos;

(iv) El derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; [y]

(v) El derecho a excluir información de una base de datos, bien porque se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa–”. (Sentencia C-748 de 2011)

Por su parte, el Congreso de la República de Colombia expidió la Ley Estatutaria 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, cuyo objeto fue establecido en los siguientes términos:
“Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.”
En ese orden, los principios y disposiciones consagrados en la Ley Estatutaria 1581 de 2012 se aplican a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada en el territorio colombiano y, en virtud de normas y tratados internacionales, a los encargados de dicho tratamiento aun cuando no se encuentren establecidos en territorio nacional.
Por último, el Presidente de la República de Colombia, mediante el Decreto N° 1377 del 27 de Junio del 2013, reglamentó parcialmente la Ley Estatutaria 1581 de 2012 regulando, entre otros aspectos, el contenido mínimo de las políticas de tratamiento de datos personales que deben desarrollar las entidades de naturaleza pública o privada en el territorio colombiano, y cuyo cumplimiento deben asegurar respecto de quienes detentan la condición de encargados del tratamiento de datos personales.
De acuerdo con la mencionada normatividad, el Colegio Internacional Anglohispano – Villamaría Caldas (que se denominará "el Colegio") tiene la condición de responsable y encargado del tratamiento de datos personales, por lo que se hace necesario adoptar una política institucional aplicable a los procesos de recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales, así como el establecimiento de procedimientos para garantizar la atención de consultas, peticiones, quejas y reclamos por parte de los titulares de los datos personales.

Identificación del responsable del tratamiento de datos personales

Nombre: COLEGIO INTERNACIONAL ANGLOHISPANO S.A.S
Nit: 900359150 -3
Dirección: Calle 43 N° 1 – 91
Correo: comunicaciones@anglohispano.edu.co
Portal Web: www.anglohispano.edu.co

1. Definiciones de los términos
1.1 Titular
Persona natural cuyos datos personales sean objeto de tratamiento.
1.2 Dato personal
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
1.3 Dato sensible
Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
1.4 Dato público
Los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas, entre otros.
1.5 Dato semiprivado
Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios en los términos establecidos en la legislación vigente.
1.6 Dato privado
Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
1.7 Autorización
Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales.
1.8 Aviso de privacidad
Documento físico, electrónico o en cualquier otro formato generado por el responsable que se pone a disposición del titular para el tratamiento de sus datos personales. En el aviso de privacidad se comunica al titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y la finalidad del tratamiento que se pretende dar a los datos personales.
1.9 Base de datos
Conjunto organizado de datos personales que sea objeto de tratamiento.
1.10 Tratamiento
Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
1.11 Encargado del Tratamiento
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
1.12 Responsable del Tratamiento
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

2. Finalidad
Los Datos Personales son objeto de tratamiento por parte del Colegio con las siguientes finalidades:

1. Para realizar todas las actividades relacionadas con la gestión humana del colegio y cumplir con las obligaciones tributarias, pensionales, de salud, de registros comerciales y otro tipo de procesos de custodia de información de los empleados, el envío de información a sus trabajadores, familiares y beneficiarios;

2. Para el reconocimiento, protección y ejercicio de los derechos de los accionistas del colegio

3. Para poder identificar, llevar registros históricos, procesar facturas, matrículas y proceder a realizar los pagos respectivos

4. Para la determinación de obligaciones pendientes, la consulta de información financiera e historia crediticia y el reporte a centrales de información de obligaciones incumplidas, respecto de sus deudores;

5. Para comunicación con proveedores existentes.

6. Para la realización de actividades internas del colegio listado de población estudiantil (para actividades lúdicas, materias inscritas, listado de asistencia, entre otros)

7. Para la comunicación entre colegio y acudientes en casos de reuniones, eventos, emergencias, otros.

8. Para el registro de notas de cada estudiante.

9. Para verificación de los estudiantes en las rutas de transporte del colegio.

10. Para identificar la cantidad de estudiantes que faltan al colegio durante la jornada académica.

11. Para actividades de comunicación, envío de información relevante, y noticias de interés para los acudientes, estudiantes, empleados y vinculados al colegio.

12. Para la atención de requerimientos judiciales o administrativos y el cumplimiento de mandatos judiciales o legales.

13. El control y la prevención del fraude, la prevención y control del lavado de activos y la financiación del terrorismo.

14. Consulta y envío de información a las centrales de riesgo crediticio.

15. En general, se recolecta información para promocionar y publicitar los productos y servicios del colegio, para realizar investigaciones de mercado y análisis estadísticos para fines administrativos de facturación, controlar y hacer seguimiento a los reportes contables y ofrecer promociones y beneficios, eventualmente contactar, vía correo electrónico, o por cualquier otro medio, a personas naturales con quienes tiene o ha tenido relación, sin que la enumeración signifique limitación, trabajadores y familiares de éstos, accionistas, clientes, distribuidores, proveedores, entre otros.

3. Principios que gobiernan el tratamiento de datos personales
La política de tratamiento de datos personales del Colegio se rige por los siguientes principios:

3.1 Principio de legalidad
El Colegio dará tratamiento a los datos personales con estricta sujeción a lo dispuesto en la Constitución Política de Colombia, La Ley Estatutaria 1581 de 2012, el Decreto N° 1377 del 27 de junio de 2013 y demás disposiciones reglamentarias y complementarias, respecto de los procesos de recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales.

3.2 Principio de finalidad
Los procesos de recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales por parte del Colegio, estarán subordinados y atenderán a una finalidad legítima de acuerdo con la Constitución, la Ley y la presente política, la cual debe ser informada al titular.

3.3 Principio de libertad
Los procesos de recolección, almacenamiento, uso, circulación, supresión y todas aquellas actividades que constituyan tratamiento de datos personales, sólo podrán ser ejercidas por el Colegio con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

3.4 Principio de veracidad o calidad
La información sujeta a tratamiento por parte del Colegio deberá ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

3.5 Principio de transparencia
En los procesos de recolección, almacenamiento, uso, circulación, supresión y todas aquellas actividades que constituyan tratamiento de datos personales, el Colegio garantizará el derecho del titular a obtener, en cualquier momento y sin restricciones, información acerca de la existencia de datos personales que sean de su titularidad, que le conciernan o sean de su interés legítimo.

3.6 Principio de acceso y la circulación restringida
Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados. Para esos efectos, la obligación del Colegio será de medio.

3.7 Principio de seguridad
Los datos personales sujetos a tratamiento por parte del Colegio se deberán manejar y proteger con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Las medidas técnicas incluyen: archivos físicos de acceso restringido; un sistema de servidores centrales para los archivos electrónicos; un sistema de copias de seguridad de los archivos electrónicos; el acceso restringido por usuario registrado y clave a los bancos de datos electrónicos. Las medidas administrativas incluyen: definición de responsables y encargados del tratamiento de datos personales en el Colegio; definición clara y restringida de los accesos a datos para cada grupo de encargados; definición de procedimientos administrativos ligados a las funciones y cargos en el Colegio; la inclusión de las políticas de tratamiento de datos en los contratos con terceros.
En el evento de pérdida de datos personales, el Colegio procederá conforme lo dispone la ley, informando de ello al titular del dato y a la Superintendencia de Industria y Comercio.

3.8 Principio de confidencialidad
Todos los trabajadores y contratistas del Colegio que en cumplimiento de una obligación legal o contractual recolecten, almacenen, usen, dispongan la circulación y supresión de datos personales o intervengan en el tratamiento de dichos datos o tengan acceso a las bases de datos institucionales, están obligadas a garantizar la reserva y confidencialidad de la información y se abstendrán de revelarla a terceros, incluida la información comercial, contable, técnica o de cualquier otro tipo que sea suministrada para la adecuada ejecución de sus obligaciones legales, laborales o contractuales. Con el objeto de asegurar este compromiso por parte de las personas que tienen la condición de trabajadores del Colegio, se modificará el Reglamento Interno de Trabajo incorporando los deberes de confidencialidad en las actividades asociadas con el tratamiento de datos personales. Respecto de los contratistas que administren bases de datos, para ese mismo efecto deberán suscribir otrosí al respectivo contrato de prestación de servicios. Esta obligación persistirá, inclusive, después de finalizada su relación jurídica laboral o contractual con el Colegio, pudiendo sólo realizar el suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Constitución Política de Colombia y en la Ley.

4. Los derechos de los titulares
El titular de los datos personales por sí o por intermedio de su representante legal o apoderado o su causahabiente podrá ejercer los siguientes derechos, respecto de los datos personales que sean objeto de tratamiento por parte del Colegio.

4.1 Derecho de acceso
En virtud del cual podrá acceder a los datos personales objeto de tratamiento por el Colegio, con fines de consulta y de manera gratuita al menos una vez al mes calendario.

4.2 Derecho de actualización, rectificación y supresión
En virtud del cual podrá solicitar el Colegio la actualización, rectificación o supresión de los datos personales objeto de tratamiento, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

4.3 Derecho a solicitar prueba de la autorización
En virtud del cual, por cualquier medio válido podrá solicitar prueba de la autorización otorgada al Colegio en su condición de responsable del tratamiento, salvo en los eventos en los cuales, según las normas legales vigentes, no se requiera de la autorización para realizar el tratamiento.

4.4 Derecho a ser informado respecto del uso del dato personal
En virtud del cual, previa solicitud, podrá recibir información respecto de los fines a los que el colegio ha destinado el tratamiento de sus datos personales.

4.5 Derecho a revocar la autorización o solicitar la supresión del dato
Este derecho podrá ser ejercido cuando en el tratamiento el Colegio no respete los principios, derechos y garantías constitucionales y legales.

4.6 Derecho a presentar quejas asociadas al tratamiento de datos personales.
Este derecho establece la posibilidad de acudir ante las autoridades legalmente constituidas, en especial ante la Superintendencia de Industria y Comercio, y presentar quejas por infracciones a lo dispuesto en la normatividad vigente sobre tratamiento de datos personales, previo trámite de consulta o requerimiento del Colegio como responsable del tratamiento.

4.7 Derecho a requerir el cumplimiento de las órdenes emitidas por la Superintendencia de Industria y Comercio
Parágrafo primero: Para efectos del ejercicio de los derechos antes descritos tanto el titular como la persona que lo represente deberá demostrar su identidad y, de ser el caso, la calidad en virtud de la cual representa al titular.
Parágrafo segundo: Los derechos de los menores de edad serán ejercidos por medio de las personas que estén facultadas para representarlos.
Parágrafo tercero: El presente Manual, en secciones posteriores, define los procedimientos implementados para garantizar estos derechos.

5. Deberes del Colegio en calidad de responsable del tratamiento de datos personales y de sus trabajadores y contratistas en calidad de encargados del tratamiento de los mismos
Todos los trabajadores y contratistas obligados a cumplir esta política deben tener presente que el Colegio debe dar estricto cumplimiento a las obligaciones que la Constitución Política de Colombia y la Ley le imponen en materia del tratamiento de datos personales. En consecuencia, y de conformidad con lo dispuesto en los artículos 17 y 18 de la Ley Estatutaria 1581 de 2012, son deberes del Colegio en calidad de responsable del tratamiento de datos personales, y de sus trabajadores y contratistas en calidad de encargados del tratamiento de dichos datos, los siguientes:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Solicitar y conservar, en las condiciones previstas en la presente política, copia de la respectiva autorización otorgada por el Titular.
c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que, en la circulación de datos personales, la información que se suministre sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, y adoptar las demás medidas necesarias para que la información suministrada se conserve constantemente en ese estado.
g) Rectificar la información cuando sea incorrecta.
h) Verificar previamente que en los procesos de uso y circulación de datos personales se disponga de la autorización del tratamiento de datos personales por el respectivo titular o su representante de conformidad con lo previsto en la Constitución Política de Colombia, la Ley y la presente política.
i) Tramitar las consultas y reclamos formulados en los términos previstos en la presente Política, sin perjuicio de lo dispuesto en la Constitución Política de Colombia y la Ley.
j) Informar a solicitud del titular sobre el uso dado a sus datos.
k) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
m) Sin perjuicio de lo dispuesto en la presente política, cumplir con los deberes previstos para los responsables y encargados del tratamiento de datos en la Ley.

6. Tratamiento de datos sensibles
El Colegio podrá dar tratamiento a los datos sensibles en los términos establecidos en la Constitución Política de Colombia y la Ley cuando:

a) El titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular.
d) El Tratamiento se refiere a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.
El Colegio restringirá el tratamiento de datos sensibles cuando resulten indispensables para realizar su tarea educativa. De igual forma, Solicitará a los titulares, y en el caso de los estudiantes a sus padres o acudientes, su consentimiento previo expreso, informándoles sobre la finalidad del tratamiento de estos datos.
El Colegio sólo dará tratamiento a datos sensibles sin el consentimiento previo cuando se trate de una emergencia vital que requiera de una acción inmediata (como por ejemplo una intervención médica de emergencia, etc.).
Los profesores, la enfermería, las instancias en procesos disciplinares, así como los encargados externos (médicos, abogados, psicólogos externos, etc.) serán especialmente cuidadosos en garantizar el acceso restringido y mantener la seguridad y la confidencialidad de los datos sensibles a su cargo.

7. Protección especial de los niños, niñas y adolescentes.
En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. El Colegio podrá dar tratamiento a los datos personales de las personas menores de 18 años, al margen de su naturaleza, siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, las niñas y adolescentes y se asegure sin excepción alguna el respeto de sus derechos prevalentes, según lo establecido por la Corte Constitucional mediante sentencia C- 748 de 2011.

8. Encargados del tratamiento de datos personales.
El Colegio distingue entre encargados internos y encargados externos. Los internos son empleados del Colegio, los externos son personas naturales o jurídicas que tratan datos que el Colegio les suministra para la realización de una tarea asignada (proveedores, abogados, consultores, etc.). En el Colegio son pocas las personas que no tengan, dentro de sus tareas asignadas, algunas relacionadas con el tratamiento de datos personales, bien sean de los estudiantes y sus familias, de los empleados o profesores, de los proveedores, etc. Los grupos de encargados que el Colegio define para realizar tratamientos de datos específicos son:

8.1 Los encargados internos del área académica
● Los directores de grupo
● Personal docente
● Rectoría
● Los profesores de actividades lúdicas
● Secretaría general y registro
● La Dirección administrativa
● Comunicaciones y relaciones públicas
● Enfermería
● Sistemas
● Tesorería
● Personal
● Contabilidad
● Compras
● Servicios generales
● Restaurante

8.2 Los encargados externos
● Proveedores de servicios académicos para estudiantes
● Proveedores de servicios de seguridad
● Proveedores de servicios de salud
● Proveedores de servicios gastronómicos
● Proveedores de servicios de seguridad social
● Proveedores de seguros
● Abogados
● Otros proveedores o contratistas relacionados con la labor educativa que adelanta el Colegio.

9. Los procedimientos

9.1 Generalidades sobre la autorización
El Colegio solicitará la autorización para el tratamiento de datos personales por cualquier medio que permita ser utilizado como prueba, preferiblemente la vía escrita. Según el caso, la autorización puede ser parte de un documento más amplio (como por ejemplo un contrato) o de un documento específico para tal efecto. En todo caso, la descripción de la finalidad del tratamiento de los datos se dará también por el mismo documento o en documento adjunto. El Colegio informará al titular, antes de solicitar la autorización, cuando menos sobre los siguientes aspectos:
● El tratamiento al que serán sometidos sus datos personales y la finalidad de este.
● El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes. Explicará, de acuerdo al caso dado, las consecuencias de hacer uso de la facultad de no responder a preguntas sobre datos indispensables, en términos de la imposibilidad de ofrecer el servicio educativo, realizar la contratación, etc.
● Los derechos que le asisten como titular. El Colegio indicará en los cuestionarios o formularios la ubicación en la página web institucional en la que se puede consultar este manual. Con su firma, el titular certifica haber leído y entendido el manual en su totalidad y aceptarlo en cuanto a su alcance y contenido.
● La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.
El Colegio conservará las autorizaciones otorgadas en un archivo seguro y entregará copia al titular cuando éste así lo solicite.

9.2 Las autorizaciones y los menores de edad
Al Colegio asisten estudiantes con edades y niveles de madurez muy diversos. Por lo tanto, la participación de los padres y/o acudientes en el proceso de autorización es indispensable y forma parte de sus deberes educativos. El procedimiento varía según niveles de escolaridad, así:
● Preescolar y enseñanza básica primaria: Los padres y/o acudientes deberán informar a sus hijos sobre la finalidad del tratamiento de sus datos personales por parte del Colegio. Los padres y/o acudientes deberán firmar la autorización en nombre de sus hijos y certificar con esta firma adicionalmente que han instruido a sus hijos en este sentido.

● Enseñanza básica secundaria y media: Los padres y/o acudientes y el Colegio deberán informar a los estudiantes sobre la finalidad del tratamiento de sus datos personales. Los padres y/o acudientes deberán firmar la autorización en nombre de sus hijos y certificar con esta firma adicionalmente que han instruido a sus hijos en este sentido.

● En caso de que un estudiante menor de edad se negase a dar su autorización para el tratamiento de datos indispensables para la realización del servicio educativo, prima la autorización de los padres y/o acudientes, ya que se otorga considerando el interés superior del estudiante, vg. su educación.
9.3 Las consultas
Los titulares, en el caso de los estudiantes menores de edad representados por sus padres y/o acudientes, pueden solicitar al Colegio la consulta de sus datos personales. Esta solicitud se hará por escrito ante la Oficina de Atención a Padres y Estudiantes, precisando el banco o tipo de datos que se desea consultar. La Oficina de Atención a Padres y Estudiantes remitirá la consulta a los encargados correspondientes y velará por el cumplimiento de los plazos de la consulta.
El resultado de la consulta consiste en el listado de toda la información que esté vinculada con la identificación del titular en la base de datos consultada. Este listado es exhaustivo y no tiene una estructura particular más allá de la estructura dada por el registro de los datos. Esto lo distingue de informes académicos, certificados de toda índole y documentos similares, que contienen solo un subconjunto de los datos de cierto tipo, estructurados de acuerdo con los requerimientos de certificación. Por lo tanto, estos documentos no constituyen consultas de datos personales y su elaboración puede generar costos administrativos a cargo del solicitante.
La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
La consulta se responde siempre por escrito y no tiene costo.
9.4 Procedimiento para el trámite y decisión de peticiones, quejas y reclamos.
Los titulares, en el caso de los estudiantes menores de edad representados por sus padres y/o acudientes, pueden solicitar al Colegio una petición, queja o reclamo cuando consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión o cuando consideren que el Colegio incumpla en los deberes contenidos en la Ley.
Para efectos de lo anterior, la petición, queja o reclamo deberá contener la identificación del Titular, la descripción de los hechos que dan lugar a la misma, la dirección y los documentos que se quiera hacer valer. Si la petición, queja o reclamo resulta incompleta, se requerirá al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del respectivo trámite.
En caso de que quien reciba la petición, queja o reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. Una vez recibida la petición, queja o reclamo completa, se incluirá en la base de datos una leyenda que diga “petición en trámite”, “queja en trámite” o “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que la petición, queja o reclamo sea decidida.
El término máximo para atender la petición, queja o reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que será atendida, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
9.5 Los cuestionarios y formatos
Por lo general, el Colegio recolectará los datos por escrito a través de cuestionarios y formatos físicos o digitales. En los cuestionarios, formatos u hojas anexas el Colegio incluirá:
● Mención de este manual y su ubicación en la web institucional.
● Mención de los fines del tratamiento de los datos recolectados.
● En caso dado, mención de las consecuencias de no suministrar datos indispensables.
● Mención de la identificación y datos de contacto del responsable.
● Texto que explica que la firma y la autorización del titular constituye "consentimiento previo, expreso e informado para llevar a cabo el tratamiento de datos personales" por parte del Colegio.
● Espacio para la firma del titular y, en caso dado, del padre o acudiente.
El Colegio sólo procesa un cuestionario si todos los datos indispensables han sido proporcionados y su tratamiento ha sido autorizado.
9.6 Los contratos
9.6.1 Los contratos educativos y laborales
El Colegio incluirá en los contratos educativos y laborales cláusulas con el fin de autorizar de manera previa y general el tratamiento de datos personales relacionados con la ejecución del contrato, lo que incluye la autorización de recolectar, modificar o corregir, en momentos futuros, datos personales del titular. También incluirá la autorización de que algunos de los datos personales, en caso dado, puedan ser entregados a terceros con los cuales el Colegio tenga contratos de prestación de servicios, para la realización de tareas tercerizadas. En estas cláusulas se menciona este manual y su ubicación en la web institucional.
Por lo general, los datos personales relacionados con la ejecución de un contrato educativo o laboral se obtienen por medio de cuestionarios y formatos físicos o digitales, a los que se aplicarán las reglas correspondientes.
9.6.2 Los contratos de prestación de servicios externos
El Colegio contrata a terceros para la realización de tareas complementarias. Cuando, para la ejecución de estos contratos, el contratado requiera de datos personales, el Colegio le suministrará estos datos siempre y cuando exista una autorización previa y expresa del titular para esta transferencia. Dado que en estos casos los terceros son encargados del tratamiento de datos, sus contratos incluirán cláusulas que precisan los fines y los tratamientos autorizados por el Colegio y delimitan de manera precisa el uso que estos terceros le pueden dar a estos datos.
En todo caso, se incluirá una cláusula que prohíba una entrega ulterior a otros terceros así como el uso comercial de los datos personales entregados.

10. La información y capacitación a padres y estudiantes
De acuerdo con el mandato de la Ley en su art. 7 y el Consejo de Padres Representantes realizará un programa de información y capacitación a los padres sobre el uso adecuado de datos personales por parte de los estudiantes.
Adicionalmente, el Colegio desarrollará campañas y programas de información y reflexión con los estudiantes para instruirlos sobre sus derechos en relación con sus datos personales y su uso adecuado, especialmente en relación con las tecnologías de información.

11 El registro nacional de bases de datos
De acuerdo con el Art. 25 de la Ley y sus decretos reglamentarios, los responsables del tratamiento de datos personales del Colegio registran sus bases de datos y este Manual de Protección de Datos Personales en el registro nacional de bases de datos administrado por la Superintendencia de Industria y Comercio de conformidad con el procedimiento que sobre el particular defina el Gobierno Nacional.

12 Anexo: La relación de los datos indispensables
El Colegio cataloga los siguientes datos personales como indispensables para la prestación del servicio de educación y otros servicios complementarios. Este listado no es exhaustivo. En caso dado, el contexto de un dato determinará su característica.
12.1 El registro estudiantil y los datos familiares
● Los datos personales generales sobre el estudiante y su familia que el Colegio debe recolectar y tratar por mandato de las autoridades colombianas y, en dado caso de otros gobiernos con los que se tenga convenios (i.e. nombres y apellidos; número de documento de identificación; dirección de residencia; afiliación a salud; nombres, apellidos y dirección de padres o acudientes, etc.).

● Los registros académicos y la hoja de vida académica y disciplinar del estudiante que el Colegio debe recolectar y tratar por mandato de las autoridades colombianas y en dado caso de otros gobiernos con los que se tenga convenios (i.e. notas parciales y totales por grado y materia, actas de procesos disciplinares, fechas de ingreso al Colegio, etc.).

● Los datos personales sensibles sobre el estudiante y su familia que el Colegio debe recolectar y tratar por mandato de las autoridades colombianas en dado caso de otros gobiernos con los que se tenga convenios (i.e. grupo sanguíneo, discapacidades, etc.).
12.2 Los datos para los servicios de apoyo
● Los datos personales sensibles que requiere el Colegio para poder ofrecer al estudiante una ayuda rápida y eficaz en caso de emergencia y los requeridos por ley para el establecimiento de las historias clínicas por medio de la Enfermería (i.e. enfermedades crónicas, medicamentos necesarios, protocolos de atención, etc.). El Colegio exige que los padres y/o acudientes suministren por lo menos dos números de teléfono de contacto de emergencia de la familia.
● Los datos personales sensibles que surgen en relación con los servicios que presta la Oficina de Psicología (i.e. historial de atención, protocolos de conversaciones con estudiantes, padres o acudientes, etc.).
● Los datos personales sensibles que surgen en relación con las labores de la Oficina de Convivencia (i.e. protocolos de conversaciones con estudiantes, padres o acudientes, profesores y personal administrativo así como la información contenida en los formatos correspondientes, etc.).
● Los datos personales que requiere el Colegio para poder ofrecer el servicio de transporte (dirección de residencia, identificación de la persona autorizada para recoger al estudiante, la información contenida en los permisos de ruta, etc.).
● Los datos personales que requiere el Colegio para poder ofrecer el servicio de restaurante.
● Los datos personales que requiere el Colegio para poder ofrecer y desarrollar actividades lúdicas, eventos culturales y deportivos y demás actividades de fortalecimiento de la comunidad educativa.
● Los datos personales contenidos en las grabaciones de las cámaras de seguridad del Colegio.
● Los datos personales contenidos en el uso de imágenes y audios en cualquier formato, vídeos, grabaciones, datos biométricos, etc; los cuales se usarán para el desarrollo del objeto social del colegio, mediante publicaciones institucionales impresas o digitales, y respetando siempre los Derechos de los niños conforme a las disposiciones legales, constitucionales y los tratados internacionales vigentes.
● Los datos personales que requiere el colegio para el envío de información por medios como correo electrónico, redes sociales, páginas web, mensajes de texto, entre otros.
12.3 Los datos contractuales y contables de las familias
● Los datos personales que requiere el Colegio para realizar los diferentes contratos con las familias (los contratos mismos, las informaciones de identificación personal requeridos para el contrato, en caso dado las particularidades del servicio contratado, etc.).
● Los datos personales contables y financieros de las familias, causados por sus obligaciones contractuales con el Colegio (pagos de matrícula, pensión y otros costos periódicos, pagos de costos no periódicos, moras, etc.).

12.4 Los datos de personal y de nómina
● Los datos personales generales que requiere el Colegio para realizar contratos laborales con sus empleados y los datos que se generen a raíz de la ejecución de los contratos, tales como por ejemplo las asignaciones salariales, las evaluaciones de desempeño, los resultados de pruebas de aptitud, etc.
● Los datos personales que requiere el Colegio para llevar el registro contable de nómina de sus empleados.
● Los datos personales sensibles relacionados con la salud ocupacional y los conflictos laborales.
● Los datos personales sensibles relacionados con las labores de los Comités de Convivencia Laboral y de Salud Ocupacional, y otros.
12.5 Los datos de proveedores y contratistas
● Los datos personales generales que requiere el Colegio para realizar contratos con terceros y la realización de tareas tercerizadas (los contratos mismos, las informaciones de identificación personal requeridos para el contrato, en caso dado las particularidades del servicio contratado, etc.).

13 Anexo: La relación de los bancos de datos
El Colegio cuenta con los siguientes bancos de datos: