Política de Privacidad

OBJETIVO : Dar cumplimiento a la Ley 1581 de 2012 y su decreto reglamentario número 1377 de 2013, que regulan la protección de datos personales y establecen las garantías legales que deben cumplirse en Colombia para el debido tratamiento de dicha información.

ALCANCE : Bases de Datos e Información privada relacionada con Colaboradores, proveedores, clientes y demás partes que tengan vínculos con Sodexo.

ELABORÓ : Abogado Senior

REVISÓ : Gerente Legal

APROBÓ : Legal Counsel Latam

1. OBJETIVO

Adoptar y establecer las reglas aplicables al tratamiento de datos personales recolectados, tratados y/o almacenados por SODEXO S.A.S., (en adelante Sodexo), en desarrollo de su objeto social, bien sea en calidad de Responsable y/o Encargado del tratamiento. Las reglas contenidas en esta Política dan cumplimiento a lo dispuesto en la normatividad de datos personales, en cuanto a la garantía de la intimidad de las personas, ejercicio del Habeas Data y protección de datos personales, en concordancia con el derecho a la información, de manera que se regulen proporcionalmente estos derechos en Sodexo y se pueda prevenir la vulneración de los mismos. Las reglas adoptadas en esta Política por Sodexo se adecúan a la legislación vigente.

Con el fin de garantizar la protección de los datos personales, incluyendo los derechos de los Titulares entre otros los de conocer, actualizar, rectificar y/o eliminar la información que repose en nuestras bases de datos, a continuación informamos los datos de Sodexo como Responsable del tratamiento:

Razón social: SODEXO S.A.S.

NIT: 800.230.447-7

Dirección: Avenida Carrera 19 No 95-20 Oficina 2601, Bogotá D.C.

Correo electrónico: protecciondatospersonales.fms.co@Sodexo.com.

Teléfono: (+57 1) 7421460

Página web: https://co.Sodexo.com/home.html

2. ALCANCE

Lo dispuesto en esta política aplica para todos los aplicantes laborales, funcionarios, clientes, proveedores, accionistas, consumidores, aliados y demás personas que ejecutan nuestros procesos (internos y externos), quienes en ejercicio de sus funciones conocen y realizan tratamiento sobre la información personal.

Los principios y disposiciones contenidos en esta Política se aplicarán a cualquier base de datos personales que se encuentren en custodia de Sodexo, bien sea en calidad de Responsable y/o como Encargado del tratamiento.

Para efectos de la presente Política, los términos que se señalan a continuación tienen los siguientes significados:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.

b) Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable informa al Titular acerca de la existencia de la Política de Protección de Datos Personales que le es aplicable, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales. El aviso de privacidad es utilizado únicamente en caso de no poder poner a disposición del público la presente Política.

c) Base de Datos: Conjunto organizado de datos personales que es objeto de tratamiento

d) Causahabiente: Persona que ha sucedido a otra por causa del fallecimiento de esta (Heredero).

e) Dato Personal: Cualquier información vinculada a una o varias personas naturales determinadas o determinables.

f) Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular, como es el caso de los datos biométricos y la historia clínica, entre otros.

g) Dato Público: Es el dato que no es semiprivado, privado o sensible, y que por su naturaleza, puede estar contenido, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Son considerados datos públicos, entre otros, los datos relativos al registro civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.

h) Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar, no sólo a su Titular, sino a cierto sector o grupo de personas, o a la sociedad en general, como lo es el relativo al cumplimiento de las obligaciones consignado en las centrales de riesgo crediticio.

i) Datos Sensibles: Aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

j) Encargado Del Tratamiento: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, realiza el Tratamiento de datos personales por cuenta del Responsable del Tratamiento, y siguiendo sus instrucciones.

k) Habeas Data: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, realiza el Tratamiento de datos personales por cuenta del Responsable del Tratamiento, y siguiendo sus instrucciones.

l) Ley de Protección de Datos: Ley 1581 de 2012 y sus Decretos reglamentarios o las normas que los modifiquen, complementen o sustituyan.

m) Registro Nacional de Bases de Datos: Directorio público de las bases de datos sujetas a tratamiento en el territorio colombiano. Las bases de datos que se encuentren fuera del territorio colombiano, en caso de existir, serán objeto de registro cuando Sodexo o los Encargados del tratamiento les sea aplicable la legislación colombiana, en virtud de normas internas o tratados internacionales.

n) Responsable del Tratamiento: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, decide sobre la base de datos y/o Tratamiento de los datos.

o) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento

p) Transferencia: La transferencia de datos tiene lugar, cuando el Responsable y/o Encargado del tratamiento de datos personales, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.

q) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.

r) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como recolección, grabación, almacenamiento, conservación, uso, circulación, modificación o supresión.

3. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

En el desarrollo, interpretación y aplicación de la Ley 1581 de 2012 se dictan disposiciones generales para la protección de datos personales y las normas que la complementan, modifican o adicionan, se aplicarán de manera armónica e integral los siguientes principios rectores:

a) Principio de Legalidad: El tratamiento de datos es una actividad reglada que debe sujetarse a lo establecido en la ley y las demás disposiciones que la desarrollen.

b) Principio de Finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. En lo correspondiente a la recolección de datos personales, Sodexo se limitará a aquellos datos que sean pertinentes y adecuados para la finalidad con la cual fueron recolectados o requeridos; sus áreas o departamentos deberán informar al Titular las finalidades para las que se utilizará la información y el uso específico que se le dará a la misma.

c) Principio de Libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso, e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de Veracidad o Calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.

e) Principio de Transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del tratamiento o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de Acceso y Circulación Restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.

g) Principio de Seguridad: La información sujeta a tratamiento por Sodexo se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de Confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales dentro de lo procesos de Sodexo están obligada a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas por la ley.

4. AUTORIZACIONES Y CONSENTIMIENTO

La recolección, almacenamiento, uso circulación o supresión de datos personales por parte de Sodexo se hace, en caso de resultar obligatorio, contando con un previo consentimiento libre, expreso e informado del Titular de los mismos.

Para la protección de datos personales y el tratamiento de éstos como objetivo general de Sodexo está el asegurar la confidencialidad, integridad, libertad, veracidad, transparencia y disponibilidad de la información y bases de datos de sus clientes, usuarios de página web y app, accionistas, proveedores, postulantes, empleados exempleados, garantizando disponibilidad de la infraestructura tecnológica para el tratamiento de los datos personales recolectados para proceso legales, contractuales, y comerciales. Los Encargados de administración de Bases de Datos de Sodexo, deberán acogerse íntegramente a la presente Política de Protección de Datos.

4.1 Medios para otorgar la autorización

La autorización puede constar en un documento físico o electrónico, en un mensaje de datos, grabaciones de voz o en cualquier otro formato que permita garantizar su posterior consulta o mediante un mecanismo técnico o tecnológico idóneo que permita manifestar u obtener el consentimiento, u otro mediante el cual se pueda concluir de manera inequívoca que, de no haberse surtido una conducta del Titular, los datos nunca hubieran sido capturados y almacenados en la Base de Datos.

4.2 Prueba de la autorización

Sodexo utiliza los mecanismos con que cuenta actualmente para mantener registros o mecanismos físicos, técnicos o tecnológicos idóneos para la conservación y posterior consulta de la autorización otorgada por parte de los Titulares para el Tratamiento de la información.

4.3 Casos en los que no se requiere autorización

La autorización del Titular no será requerida en los siguientes casos:

a) Cuando la información sea requerida o deba ser entregada a una entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.

b) Cuando se trate de datos de naturaleza pública.

c) En casos de emergencia médica o sanitaria.

d) Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e) Cuando se trate de datos personales relacionados con el Registro Civil de las personas

En todo caso, el tratamiento de los datos personales que no requieran de una autorización previa se realizará en cumplimiento de todas las disposiciones contenidas en la presente ley.

5. TRATAMIENTO DE LA INFORMACIÓN PERSONAL

Sodexo realiza el Tratamiento de la información personal con el principal objetivo de cumplir con sus funciones, actuando siempre de acuerdo con la ley que regula su funcionamiento, con la presente Política y demás procesos internos, así como de acuerdo con las autorizaciones otorgadas de forma previa y expresa por los Titulares de la información. El tratamiento de los datos por parte de Sodexo podrá ser manual y/o automatizado.

Para llevar a cabo dichas finalidades, Sodexo puede tratar, recolectar, usar, almacenar, proteger, entre otras actividades, la información personal de los Titulares de la cual disponga.

El tratamiento también podrá consistir en la realización de transmisiones y/o transferencias nacionales y/o internacionales de datos personales, las cuales se ajustarán siempre a las disposiciones legales vigentes y a las instrucciones impartidas por la Superintendencia de Industria y Comercio.

En caso de requerirse el consentimiento del titular por parte de Sodexo, en su calidad de Responsable del Tratamiento, informará al Titular las finalidades de la recolección de forma previa al otorgamiento de su autorización, las cuales estarán enmarcadas dentro de las siguientes:

5.1 Tratamiento de datos públicos

Es posible que Sodexo realice el Tratamiento de datos personales de naturaleza pública sin previa autorización del Titular, recopilados éstos de registros públicos, documentos públicos, gacetas, boletines oficiales y/o sentencias judiciales debidamente ejecutoriadas, lo anterior basado en la excepción contenida en el literal (b) del artículo 10 de la Ley 1581 de 2012

Lo anterior, no implica que no se adopten las medidas necesarias que garanticen el cumplimiento de los principios y obligaciones contempladas en la Ley 1581 de 2012 y sus decretos reglamentarios.

5.2 Tratamiento de datos personales relacionados con el Recurso Humano

Sodexo realizará el tratamiento de los datos personales asociados a sus colaboradores y demás personas que se postulen a sus vacantes, durante tres momentos: antes de la relación contractual, durante la relación contractual y una vez terminada la relación contractual.

Las finalidades para el tratamiento de los datos personales relacionados con el Recurso Humano son, entre otras, las siguientes:

a) Llevar a cabo procesos de promoción y selección.

b) Verificar los datos relativos a el nivel de estudio y experiencia laboral con las referencias laborales y personales entregadas por el mismo Titular de la información y/o mediante fuentes públicas y/o privadas.

c) Realizar pruebas psicotécnicas, pruebas de conocimiento, estudios de seguridad, visitas domiciliarias, exámenes médicos y demás actividades dirigidas a validar el perfil del candidato.

d) Llevar a cabo los procesos y las actividades relativas a la contratación y manejo de relaciones laborales.

e) Capacitar a los funcionarios.

f) Enviar comunicaciones propias de la relación laboral vía correo electrónico (personal o corporativo).

g) Realizar encuestas, análisis de datos y actividades de promoción de Sodexo.

h) Realizar investigaciones administrativas y/o disciplinarias cuando a ello haya lugar;

i) Cumplimiento de obligaciones legales en materia de afiliaciones al sistema de seguridad social y archivo de información.

j) Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación laboral, incluyendo los reportes, controles y actividades de administración del riesgo.

k) Realizar todas las actividades relacionadas con la infraestructura tecnológica (software, hardware, plataformas y redes) proporcionadas por Sodexo o por un tercero, para la ejecución de sus labores y las actividades relacionadas con entrenamiento, capacitación y bienestar.

l) Compartirlos, transferirlos y/o transmitirlos a terceros para el ejercicio de las mismas finalidades de tratamiento autorizadas por el Titular de la información.

Tratamiento de datos antes de la relación contractual

Sodexo informará, de manera anticipada, a las personas interesadas en participar en un proceso de selección, el tratamiento aplicable a los datos personales suministrados, y obtendrá la autorización correspondiente para el manejo de los mismos. La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de Sodexo y la información personal obtenida del proceso de selección se limita a la participación en el mismo.

Si Sodexo contrata a terceros para que adelanten o apoyen los procesos de selección, en los respectivos contratos establecerá que los datos personales recolectados deberán ser tratados dando cumplimiento a las obligaciones impuestas por la ley.

En todo caso, Sodexo garantizará que los datos personales y/o sensibles se usarán para las finalidades informadas y autorizadas por los titulares, y en caso que entregue estos datos a un tercero, en calidad de Encargado del tratamiento, asegurará que el tratamiento de datos se haga siguiendo las políticas de Sodexo y garantizará la confidencialidad y seguridad de dichos activos de información.

Tratamiento de datos durante la relación contractual

Sodexo almacenará los datos personales e información obtenida durante el proceso de selección realizado y la que se requiera durante el tiempo de servicio del Colaborador a la Compañía, en una carpeta identificada con el nombre e identificación del empleado (Hoja de Vida). Esta carpeta física o digital, así como la base de datos de empleados solo podrá ser accedida y tratada por el personal autorizado con la finalidad de administrar la relación contractual entre Sodexo y el empleado. Así mismo, se podrá dar acceso restringido a las Auditorías internas y externas, solo a nivel de consulta según el alcance definido. En ningún caso se podrá extraer o copias de ningún tipo de dato o documento personal, salvo autorización del Titular.

El uso de la información de los empleados para fines diferentes a la administración de la relación contractual está prohibido en Sodexo. El uso diferente o cesión de los datos e información personal de los empleados por orden de una autoridad competente o por un Cliente o tercero deberá ser evaluada por el área legal, con el fin de prevenir una cesión no autorizada de datos personales y se deberá contar con la autorización expresa del empleado para poder realizar la transferencia.

Tratamiento de datos después de terminada la relación contractual

Terminada la relación laboral, Sodexo procederá a almacenar los datos personales e información obtenida del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas.

Los datos personales de los exempleados se conservan exclusivamente para el cumplimiento de las siguientes finalidades:

i. Dar cumplimiento a la ley colombiana o extranjera y las órdenes de autoridades judiciales, administrativas o entidades privadas en ejercicio de servicios públicos;

ii. Emitir certificaciones relativas a la relación del Titular del dato con la compañía.

iii. Fines estadísticos o históricos y reportes a empresas filiales, subsidiarias, vinculadas ubicadas en Colombia o cualquier otro país.

5.3. Tratamiento de datos personales de Accionistas o Representantes

Los datos e información personal de las personas naturales que llegaren a tener la condición de accionistas o Representantes Legales de Sodexo, se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal. No obstante, la información será revelada en los casos establecidos por las normas que regulan el mercado y la ley. En consecuencia, el acceso a tal información personal se realizará conforme a lo establecido en el Código de Comercio y demás normas que regulan la materia.

Las finalidades para las cuales serán utilizados los datos personales de los Accionistas o Representantes Legales, son las siguientes:

i. Permitir el ejercicio de los deberes y derechos derivados de la calidad de accionista o Representante Legal.

ii. Envío de invitaciones a eventos programados por la Compañía.

iii. Emisión de certificaciones relativas a la relación del Titular del dato con la Sociedad.

iv. Aseguramiento del Sistema de Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo.

v. Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación comercial, incluyendo los reportes, controles y actividades de administración del riesgo.

5.4 Tratamiento de datos personales de Clientes y/o Clientes Potenciales

Sodexo, como parte de su proceso de ventas, recolecta y almacena datos personales de los clientes y/o clientes potenciales que deseen conocer los servicios que presta la entidad y/o adquirirlos.

Esta información es entregada directamente por los Titulares de la información y/o por los representantes de ellos a Sodexo, y es tratada conforme con la presente política, y de conformidad con la legislación vigente.

En caso que los datos de clientes y/o clientes potenciales correspondan a personas jurídicas, no obstante estos no son considerados como datos personales bajo la legislación nacional, serán tratados por Sodexo bajo todas las medidas de seguridad y confidencialidad. Lo anterior sin perjuicio de los datos de personas naturales que puedan conocerse en virtud de la relación con la persona jurídica.

Sodexo solo recabará de sus clientes los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato o relación comercial a la que haya lugar. Cuando se le exija a Sodexo por su naturaleza jurídica, la divulgación de datos del cliente persona natural consecuencia de un proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en la ley, política y presente procedimiento y que prevengan a terceros sobre la finalidad de la información que se divulga.

Las finalidades para el tratamiento de los datos personales de los potenciales clientes / clientes son, entre otras, las siguientes:

a) Verificar la viabilidad financiera, jurídica y comercial de una eventual relación comercial;

b) Realizar el proceso de registro y almacenamiento en nuestras bases de datos de clientes potenciales y clientes;

c) Recepción de invitaciones a contratar y realización de gestiones para las etapas precontractual, contractual y post contractual;

d) Envío de invitaciones a eventos programados por la Compañía o sus vinculadas

e) Ejecutar las relaciones contractuales existentes con los clientes;

f) Gestionar y dar cumplimiento a las obligaciones pecuniarias y contractuales;

g) Atender requerimientos de las autoridades;

h) Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación comercial, incluyendo los reportes, controles y actividades de administración del riesgo.

i) Realizar todas las actividades relacionadas con la infraestructura tecnológica (software, hardware, plataformas y redes) proporcionadas por Sodexo o por un tercero, para el desarrollo de la relación comercial.

j) Compartirla con terceros, ubicados en nuestro mismo domicilio o en el extranjero, para los mismos fines aquí mencionados;

k) Cumplimiento de obligaciones legales en materia contable y de archivo de información.

l) Aseguramiento del Sistema de Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo;

m) Fines estadísticos o históricos.

n) Realizar consultas y reportes a Centrales de Riesgos y/u operadores de información, según los términos establecidos por la Ley 1266 de 2008.

Junto con lo anterior, el tratamiento de datos personales de clientes potenciales / clientes, comprende toda actividad encaminada a la presentación de ofertas comerciales de las diferentes líneas de negocio que ofrece Sodexo y en general, información de productos y servicios que puedan ser de interés de los clientes con los que actualmente se tiene relación y con los clientes potenciales.

Sodexo podrá recolectar datos personales de los empleados, directivos o representantes legales de sus clientes cuando por motivos de seguridad deba analizar y evaluar la idoneidad de determinadas personas, atendiendo las características de los servicios que se contraten con el proveedor o que sean contratados por el cliente, para ello deberá contar con autorización del respectivo Titular. Esta recolección de datos personales tendrá como finalidad verificar la idoneidad moral y competencia de los empleados, accionistas o representantes legales del proveedor, la cual se podrá hacer a través de consultas de base de datos de terceros.

5.5 Tratamiento de datos personales de Proveedores y/o Proveedores Potenciales

Sodexo, como parte de su proceso de compra de bienes y servicios, recolecta y almacena datos personales de los proveedores y/o proveedores potenciales que deseen vender bienes o servicios que requiere la entidad.

Esta información es entregada directamente por los Titulares de la información, y es tratada conforme la presente Política, y de conformidad con la legislación vigente.

En caso que los datos de proveedores/ proveedores potenciales correspondan a personas jurídicas, no obstante, estos no son considerados como datos personales bajo la legislación nacional, serán tratados por Sodexo bajo todas las medidas de seguridad y confidencialidad.

Sodexo solo recabará de sus proveedores/ proveedores potenciales los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato o relación comercial a la que haya lugar. Cuando se le exija a Sodexo por su naturaleza jurídica, la divulgación de datos del proveedor persona natural consecuencia de un proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en la ley, política y presente procedimiento y que prevengan a terceros sobre la finalidad de la información que se divulga.

Las finalidades para el tratamiento de los datos personales de los proveedores son, entre otras, las siguientes:

a) Realizar todas las actividades relativas a la selección, contratación y evaluación de proveedores;

b) Ingresar su información a la base de datos de proveedores de Sodexo;

c) Verificar la viabilidad financiera, jurídica y comercial de una eventual relación comercial;

d) Verificar la información suministrada por los proveedores, potenciales y/o contratados, ante centrales de riesgo, fuentes privadas y/o públicas, y demás listas que se considere pertinente para comprobar su idoneidad; así como, reportar información ante dichas centrales de riesgo, fuentes privadas y/o públicas, y demás listas que se considere pertinente;

e) Ejecutar y/o dar cumplimiento a obligaciones contractuales.

f) Realizar todas las actividades financieras, contables y tributarias requeridas relacionadas con la relación comercial, incluyendo los reportes, controles y actividades de administración del riesgo.

g) Realizar todas las actividades relacionadas con la infraestructura tecnológica (software, hardware, plataformas y redes) proporcionadas por Sodexo o por un tercero, para el desarrollo de la relación comercial.

h) Cumplimiento de obligaciones legales en materia contable y de archivo de información;

i) Pago de obligaciones contractuales;

j) Reporte a entidades gubernamentales, y entrega de información a entidades gubernamentales o judiciales que la requieran;

k) Soporte en procesos de auditoría externa e interna;

l) Cualquier otra finalidad que resulte en el desarrollo del contrato;

m) Compartirlos con terceros para el ejercicio de las mismas finalidades de tratamiento autorizadas por el Titular de la información;

n) Envío de invitaciones a eventos programados por la Compañía o sus vinculadas;

o) Envío de informaciones relacionadas a la relación contractual entre las partes;

p) Aseguramiento del Sistema de Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo;

q) Fines estadísticos o históricos.

Sodexo podrá recolectar datos personales de los empleados, directivos o representantes legales de sus proveedores cuando por motivos de seguridad deba analizar y evaluar la idoneidad de determinadas personas, atendiendo las características de los servicios que se contraten con el proveedor o que sean contratados por el cliente, para ello deberá contar con autorización del respectivo Titular. Esta recolección de datos personales tendrá como finalidad verificar la idoneidad moral y competencia de los empleados, accionistas o representantes legales del proveedor.

5.6 Tratamiento de información personal para fines de atención al cliente

Sodexo mediante los diferentes canales dispuestos para la atención al cliente/usuario, y radicación de peticiones, quejas o reclamos, recopila los datos personales necesarios para dar una debida y completa atención.

La información recopilada por medio de estos canales es entregada directamente por los Titulares de la información, y es tratada conforme a la presente Política, y de conformidad con la legislación vigente.

5.7 Tratamiento de información personal de usuarios de la página web

Sodexo mediante su página web https://co.sodexo.com/home.html recopila datos personales de quienes se encuentran interesados en trabajar en la empresa y/o contactarse con el fin de conocer los servicios que prestamos. Para ello ha dispuesto los canales de “Trabaja con nosotros” y de “Contacto”.

La información recopilada por medio de estos canales es entregada directamente por los Titulares de la información, y es tratada conforme a la presente Política, dentro del marco contextual de la Ley 1581 de 2012 y normas reglamentarias, y de acuerdo con las finalidades consagradas en las autorizaciones otorgadas siendo estas, entre otras, las siguientes:

a) Enviar información relacionada con Sodexo, así como con sus servicios actuales o futuros, vía correo electrónico.

b) Atender y dar respuesta a la solicitud que presentan por medio del canal de “Contacto”, y/o de “Trabaja con nosotros”.

c) Compartirlos con terceros para el ejercicio de las mismas finalidades de tratamiento autorizadas por el Titular de la información.

Adicionalmente, al igual que otros sitios web, Sodexo utiliza tecnologías, tales como cookies, que permiten hacer la visita a nuestro sitio más fácil y eficiente, suministrando un servicio personalizado y reconociendo a los usuarios cuando éstos vuelvan al sitio web.

Para estos efectos las "cookies" se identifican como los archivos de texto de información que un sitio web trasfiere al disco duro de la computadora de los usuarios con el objeto de almacenar ciertos registros y preferencias.

a) Los sitios web pueden permitir publicidad o funciones de terceros que envíen "cookies" a las computadoras de los Titulares.

b) Las cookies se asocian únicamente con un usuario anónimo y su ordenador, y no proporcionan por sí el nombre y apellidos de este.

c) Por ello, es posible que el sitio web de Sodexo reconozca a los usuarios después de que éstos se hayan registrado por primera vez, sin que se tengan que registrar en cada visita para acceder a los servicios.

d) Las cookies utilizadas no pueden leer los archivos cookie creados por otros proveedores. Sodexo cifra los datos identificativos del usuario para mayor seguridad.

El sitio web de Sodexo puede contener enlaces a otros sitios que sean de su interés. Una vez el usuario haga clic en estos enlaces y abandone la página web de Sodexo, la entidad no tendrá control sobre el sitio al que es redirigido y por lo tanto no será Responsable de los términos o privacidad ni de la protección de los datos personales que sean entregados en esos otros sitios terceros.

Adicionalmente, podrá consultarse la Política de Cookies en la página web de Sodexo https://co.sodexo.com/home.html.

5.8 Tratamiento de datos sensibles:

Conforme a la legislación nacional, se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Sodexo en el normal desarrollo de sus operaciones, realiza el Tratamiento de datos sensibles relativos a la salud de sus funcionarios, imagen y biometría, previo consentimiento expreso de su Titular y únicamente para las finalidades para las cuales su tratamiento ha sido autorizado.

Para el tratamiento de estos datos se deben cumplir los siguientes requisitos:

a) La autorización debe ser explícita;

b) Se debe informar al Titular que no está obligado a autorizar el tratamiento de dicha información;

c) Se debe informar de forma explícita y previa al Titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo;

d) Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

Adicionalmente, en cumplimiento de los protocolos de bioseguridad adoptados con el fin de controlar y evitar la propagación del Covid - 19, Sodexo recopila la información requerida por las autoridades locales y nacionales al ingreso de sus instalaciones, tanto de sus funcionarios como de visitantes o terceros en general. Esta información será mantenida dentro de los archivos de Sodexo durante la vigencia de la emergencia sanitaría que sea decretada por el Gobierno Nacional y/o mientras que la obligatoriedad de mantener un protocolo de bioseguridad y un reporte de casos de contagio a las autoridades locales y de salud persista.

5.9 Tratamiento de datos personales de niños, niñas y adolescentes:

Sodexo a pesar de no tener entre sus funciones la captura o trata de datos de menores de edad, en el desarrollo de sus funciones como empleador, puede llegar a realizar el tratamiento de datos de niñas, niños y adolescentes cuando esto sea necesario para fines de vinculación / afiliación a los sistemas de seguridad social como beneficiario de uno de sus funcionarios, y/o para realizar actividades de bienestar.

De esta forma, en caso que se deba obtener información que verse sobre niños o niñas menores de edad, su suministro por parte del representante legal o acudiente de dicho menor de edad será facultativo, y este otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado conforme a la razonable determinación de su nivel de madurez, autonomía y capacidad para entender el asunto. Así mismo, Sodexo se reserva la posibilidad de poner en conocimiento de las autoridades situaciones que en su concepto puedan poner o pongan en peligro la integridad de un menor de edad.

En el Tratamiento se asegurará por parte de Sodexo el interés superior del menor, el respeto a los derechos prevalentes de los niños, niñas y adolescentes y a sus derechos fundamentales.

5.10 Finalidades del tratamiento comunes a todos los Titulares de la información

Sodexo en general realizará el siguiente tratamiento sobre los datos de todos los Titulares de la información:

a) Enviar información relacionada con Sodexo, con sus servicios actuales y futuros;

b) Atender y dar trámite a las peticiones, quejas y reclamos formulados por los Titulares de la información;

c) Atender requerimientos de autoridades judiciales y/o administrativas en ejercicio de sus funciones;

d) Conservar la información para fines estadísticos e históricos y/o para cumplir con obligaciones legales en lo que a conservación de información y archivos se refiere.

e) Cumplir con las obligaciones constitucionales y legales, incluyendo la prevención de lavado de activos y antiterrorismo.

Toda la información será almacenada en la(s) base(s) de datos generada(s) para los fines que su recopilación requiera, y su tratamiento se mantendrá mientras que las finalidades de su recolección y conocimiento se mantengan y/o mientras que se mantenga vigente la relación contractual con el Titular. En consecuencia el periodo de vigencia de la base de datos corresponde al tiempo razonable y necesario para cumplir las finalidades del tratamiento.

En caso de ser necesario, para dar cumplimiento a obligaciones legales en materia contable y de archivo o manutención de información o documentación de funcionarios, el tratamiento se mantendrá por parte de Sodexo mientras que dichas obligaciones se mantengan.

Sodexo puede contactar a los Titulares de datos personales vía correo electrónico, redes sociales, mensaje de texto, vía telefónica, mensajería instantánea o correo para las finalidades previstas en la presente política y las que se incluyan de forma particular en cada una de las autorizaciones.

Sodexo podrá compartir, transmitir y/o transferir nacional y/o internacionalmente a terceros los datos personales que maneje, para que los traten de acuerdo con las finalidades que fueron autorizadas por el Titular de la información.

Sodexo respecto de la información almacenada en forma automatizada, podrá llevar a cabo el Tratamiento de los datos en sus propios servidores o en aquellos provistos por un tercero ubicados en Colombia o en el exterior, caso en el cual se velará por contar con acuerdos en los que se establezcan las obligaciones que deberán observar esos terceros, además de la exigencia del cumplimiento de la presente Política.

Así mismo, respecto de la información almacenada en forma física, podrá llevar a cabo el Tratamiento de los datos en sus propios archivos o en aquellos administrados por un tercero, ubicados en las instalaciones de Sodexo o fuera de ellas, caso en el cual se velará por contar con acuerdos en los que se establezcan las obligaciones que deberán observar esos terceros, además de la exigencia del cumplimiento de la presente Política de privacidad.

5.11 Tratamiento por parte de Sodexo como Encargado del Tratamiento

Sodexo durante la prestación de sus servicios podrá actuar como Encargado del tratamiento de datos personales de funcionarios, clientes, proveedores y terceros en general respecto de los cuales sus entidades cliente actúan como Responsable del Tratamiento.

En virtud de lo anterior, Sodexo se asegurará de que sus clientes, a la firma del contrato de prestación de servicios y transmisión de datos, declaren que cuentan con todas las autorizaciones necesarias para poder acceder, analizar y en general tratar los datos personales de dichos terceros, así como la posibilidad de compartirlos con terceros que actúan bajo la calidad de Encargados.

Siguiendo las instrucciones entregadas por las entidades Responsables de los datos, Sodexo realizará el tratamiento en pro de la adecuada prestación de sus servicios.

Dicho tratamiento comprende gestionar y desarrollar la correcta operación de los servicios de gastronómicos, de catering, administración de máquinas dispensadoras, facilities management, servicios de outsourcing especialmente relacionados con servicios de aseo, limpieza y mantenimiento industrial, hotelería, lavandería, servicios de apoyo administrativo y entrega de correspondencia, así como el cargue y descargue de mercancías, y logística de eventos, entre otros conforme a lo establecido en el objeto social de Sodexo y en general, toda actividad indispensable para cumplir con el contrato firmado entre Sodexo y la empresa cliente, la regulación y la normatividad vigente aplicable.

Eventualmente los clientes podrán establecer otras finalidades para el tratamiento de los datos personales, y para ello, deberán contar con la autorización previa, expresa, consentida e informada del Titular para su correspondiente tratamiento, esta autorización se dará a través de las firmas que se den entre usuario final y cliente.

Actuando bajo la calidad de Encargado del tratamiento, Sodexo realizará el tratamiento de acuerdo con las indicaciones de sus clientes, y únicamente para las finalidades para las cuales estos se encuentren autorizados como Responsables del tratamiento.

Esta información será almacenada en la(s) base(s) de datos generada(s) para los fines que su recopilación requiera, y su tratamiento se mantendrá mientras que la relación contractual con la entidad cliente se mantenga y/o durante el tiempo que la entidad cliente solicite su almacenamiento.

5.12 Tratamiento por parte de Encargados del Tratamiento

Sodexo en ejercicio de su objeto social puede apoyarse en terceros que colaboran con el desarrollo de sus actividades, y en esa medida puede instruirlos para que la recolección y tratamiento de la información personal, cualquiera que esta sea, esté siempre precedida de todas las autorizaciones pertinentes y cuente con todas las medidas de seguridad y confidencialidad necesarias de acuerdo con su naturaleza.

Lo anterior, sin perjuicio de las obligaciones legales de los Responsables y Encargados del tratamiento.

6. BASES DE DATOS

Sodexo almacena los datos personales que recopila para las funciones mencionadas en esta Política, en bases de datos físicas y/o digitales, las cuales se encuentran identificadas dentro de un inventario interno generado en cumplimiento del Principio de Responsabilidad Demostrada.

En caso de ser un sujeto obligado bajo lo dispuesto por la Superintendencia de Industria y Comercio, Sodexo realizará el registro de las bases de datos sobre las cuales actúa como Responsable del Tratamiento ante el Registro Nacional de Bases de Datos, así como los reportes mensuales, semestrales o anuales que sean requeridos.

Las bases de datos, al igual que la información contenida en estas, estará disponible de acuerdo con la ejecución de las actividades para la cual fueron recopiladas, y en atención a los parámetros de tratamiento y almacenamiento informado en el aparte anterior.

7. DERECHOS DE LOS TITULARES DE LOS DATOS

Los Titulares de los datos de carácter personal contenidos en bases de datos que reposen en los sistemas de información de Sodexo, tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en el Constitución Política y la Ley. El ejercicio de estos derechos será gratuito e ilimitado por parte del Titular del dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos.

El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidos por el Titular del dato de manera exclusiva, salvo las excepciones de ley.

7.1. Derecho de Acceso y conocimiento

Este derecho comprende la facultad del Titular del dato de acceder de forma gratuita a toda la información respecto de sus propios datos personales, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus datos personales, y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no.

Así mismo, tiene derecho a ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.

7.2. Derecho de Actualización

Este derecho comprende la facultad del Titular del dato de actualizar sus datos personales cuando éstos hayan tenido alguna variación.

7.3. Derecho de Rectificación

Este derecho comprende la facultad del Titular del dato de solicitar la modificación de los datos que resulten ser inexactos, incompletos o inexistentes.

Los derechos de acceso, actualización y rectificación se podrán ejercer entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

7.4. Derecho de Cancelación o Supresión

Este derecho comprende la facultad del Titular del dato de cancelar o suprimir sus datos personales o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, o por la mera voluntad, salvo en aquellos casos contemplados como excepciones por la ley.

7.5. Derecho a la Revocatoria del Consentimiento

El Titular de los datos personales tiene el derecho de revocar el consentimiento o la autorización que habilitaba a Sodexo para un tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepciones por la ley y/o que sea necesario en un marco contractual específico.

7.6. Derecho a presentar quejas y reclamos o a ejercer Acciones

El Titular del dato personal tiene derecho a presentar ante Sodexo Consultas y Reclamos de conformidad con las leyes que los reglamentan y queja ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente. Sodexo dará respuesta a los requerimientos que realicen las autoridades competentes en relación con estos derechos de los Titulares de los datos personales.

7.7. Derecho a otorgar autorización para el tratamiento de datos

En desarrollo del principio del Consentimiento Informado, el Titular del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en Sodexo.

De manera excepcional, esta autorización no será requerida en los siguientes casos:

• Cuando la información sea requerida o deba ser entregada a una entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.

• Cuando se trate de datos de naturaleza pública.

• En casos de emergencia médica o sanitaria.

• Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

• Cuando se trate de datos personales relacionados con el Registro Civil de las personas.

• En estos casos, si bien no se requiere de la autorización del Titular, si tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales.

7.8. Derecho a solicitar prueba de la autorización

El Titular cuenta con el derecho a solicitar prueba de la autorización que fue otorgada. Este derecho no procederá cuando la autorización este expresamente exceptuada como requisito para el tratamiento.

8. DEBERES DE SODEXO ANTE EL TRATAMIENTO DE LOS DATOS PERSONALES.

Sodexo como Responsable del Tratamiento, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y/o en otras normas que rijan su actividad, cumple con las siguientes obligaciones:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular;

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de terceros;

e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley;

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

j) Tramitar las consultas y reclamos formulados en los términos señalados en la ley;

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos;

l) Informar al Encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

m) Informar a solicitud del Titular sobre el uso dado a sus datos.

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

De igual forma, Sodexo como Encargado del Tratamiento, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y/o en otras normas que rijan su actividad, cumple con las siguientes obligaciones:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley;

d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley;

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley;

h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

9. MEDIDAS DE SEGURIDAD

En el tratamiento de los datos personales, Sodexo adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los Datos Personales tratados. Implementaremos medidas técnicas y organizativas apropiadas para proteger los Datos personales contra la alteración o pérdida accidental o ilegal, o contra el uso, la divulgación o el acceso no autorizados, de acuerdo con nuestra Política de seguridad de sistemas e información del Grupo. En desarrollo del principio de Seguridad de los Datos Personales, Sodexo adoptará una directriz general sobre estas medidas, que serán de obligatorio acatamiento por parte de los destinatarios de esta Política.

Es obligación de los destinatarios de esta Política informar a Sodexo cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la entidad para proteger los datos personales confiados a ella, así como cualquier tratamiento que Sodexo de a los mismos, una vez tengan conocimiento de esta situación.

Cuando Sodexo tenga conocimiento de una violación de seguridad, entendida como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de manera accidental, en cualquier fase del tratamiento y que represente un riesgo para la protección de los datos personales, notificará de inmediato dicho incidente a la autoridad de control, a los titulares y al Grupo Corporativo al cual pertenece de conformidad con lo establecido en la Ley, decreto reglamentario y demás normas que complementen y/o sustituyan, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.

10. ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCION DE DATOS PERSONALES.

La responsabilidad en el adecuado tratamiento de datos personales al interior de Sodexo está en cabeza de todos sus empleados y administradores societarios. En consecuencia, al interior de cada área que maneje los procesos de negocios que involucren tratamiento de Datos Personales, se deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la presente Política, dada su condición de custodios de la información personal contenida en los sistemas de información de Sodexo.

En caso de duda respecto del tratamiento de los Datos Personales, se acudirá al área Responsable de la seguridad de la información al interior de Sodexo y/o a la Dirección Legal para que indiquen la directriz a seguir, según el caso.

11. ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS

Sodexo a través del área de atención de peticiones, quejas y reclamos atenderá todas las peticiones, consultas, quejas y/o reclamos del Titular de la información, relacionadas con los derechos establecidos en la ley para conocer, actualizar, rectificar, suprimir sus datos personales y revocar la autorización.

11.1. Atención de consultas

De conformidad con el artículo 14 de la Ley 1581 de 2012 las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá la consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Cuando la información personal sea requerida por una entidad pública o administrativa en el ejercicio de sus funciones, Sodexo tiene la obligación de entregarla sin que medie autorización del usuario para el efecto.

11.2. Atención de reclamos

De conformidad con el artículo 15 de la Ley 1581 de 2012 cuando el Titular o sus causahabientes consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante el Responsable o Encargado del Tratamiento.

El reclamo se formulará mediante solicitud dirigida a Sodexo con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que Sodexo no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al titular interesado.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda se mantendrá hasta que el reclamo sea decidido.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Si la solicitud de retiro se hace con posterioridad a finalizada la relación legal o contractual y ya no resulta necesario para Sodexo mantener la información con el fin de cumplir sus obligaciones, la eliminación de los datos significará que los mismos no podrán ser accesibles para el desarrollo de las operaciones normales de Sodexo. Sin embargo, podrán mantenerse en sus archivos con fines estadísticos, históricos, cumplimiento de obligaciones legales o atención de requerimiento de autoridades en ejercicio de sus funciones.

En caso de que la solicitud que realice el Titular de los datos o sus causahabientes esté relacionada con las autorizaciones para el Tratamiento que sean recopiladas por terceros, Sodexo hará sus mejores esfuerzos por atender la solicitud de manera adecuada y, en caso de no poder hacerlo, realizará el traslado de la solicitud a los terceros Encargados de la recolección de la información, sin embargo, en tales casos no se hará responsable por el contenido de las respuestas que se otorguen a las solicitudes. Lo anterior sin perjuicio del cumplimiento de las obligaciones legales de los Responsables y Encargados.

Canales para el ejercicio de los derechos

Los Titulares de la información podrán realizar peticiones, consultas y/o reclamos respecto de sus datos personales a través de los siguientes canales de atención:

En las oficinas físicas de atención al usuario ubicadas en la Avenida Carrera 19 No. 95 – 20 Oficina 2601 Edificio Torre SIGMA, Bogotá D.C., Teléfono: (+57 1) 7421460, o a través del Correo electrónico: protecciondatospersonales.fms.co@Sodexo.com

12. DESARROLLO Y COMUNICACIÓN

Sodexo como Responsable y/o Encargado del tratamiento de la información desarrollara medidas para garantizar el cumplimiento de la normatividad vigente, las cuales serán incluidas dentro del Procedimiento para la privacidad de Datos- Habeas Data.

Tanto esta política como sus documentos asociados serán comunicados a cada uno de los terceros involucrados y se realizarán capacitaciones a los colaboradores de Sodexo que manejen información sensible para garantizar el cumplimiento de esta política.

13. VIGENCIA

La presente política entra en vigencia a partir de su expedición y se actualizara cada vez que sea necesario.

Los datos que sean recolectados por Sodexo serán tratados de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a cada activo de información y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal y/o contractual.

Control de Edición

Versión: 3 – Fecha de Emisión: 21 de Marzo de 2023.