Política de Tratamiento de Datos Personales
INTRODUCCIÓN
El Instituto Distrital de Turismo –en adelante IDT- está interesado en la protección de la información personal de los titulares, obtenida a través de los diferentes mecanismos de atención a la ciudadanía dispuestos, para lo cual adopta esta política de tratamiento de datos personales, de acuerdo con lo estipulado en la legislación vigente (Ley Estatutaria 1581 de 2012, Decreto Nacional 1377 de 2013 –integrado en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo 1074 de 2015-, la Circular 22 de 2019 de la Secretaría Jurídica Distrital, así como las Directivas 2 de 2018 y 5 de 2019 de la Secretaría Jurídica Distrital) y demás que complementen, deroguen o sustituyan las anteriormente nombradas.
El IDT podrá modificar sus políticas de tratamiento de datos personales y las mismas estarán vigentes, una vez se hayan publicado en el Portal Web del IDT, sin perjuicio de la obligación de darlas a conocer a los titulares de la información por los medios más adecuados.
El Titular podrá revisar el aviso de privacidad disponible en el Portal Web del IDT para estar informado de tales modificaciones y cada nuevo acceso del Titular a la página será considerado como una aceptación tácita de las nuevas políticas y condiciones allí publicadas.
El IDT garantiza la protección de los derechos fundamentales y constitucionales de todas las personas y en especial aquellos como el Habeas Data, la privacidad, la intimidad, el buen nombre y la imagen, con tal propósito, todas las actuaciones se regirán por principios de buena fe, legalidad, autodeterminación informática, libertad y transparencia.
Quien en ejercicio de un derecho o de cualquier actividad, incluyendo las formativas, consultoras, culturales, académicas, comerciales y laborales, sean estas permanentes u ocasionales, llegare a suministrar cualquier tipo de información o dato personal al IDT y en la cual ésta actúe como encargada del tratamiento o responsable del tratamiento, podrá conocerla, actualizarla y rectificarla.
1. OBJETIVO
Establecer los criterios para la recolección, almacenamiento, uso, circulación y supresión de los datos personales tratados por el IDT, que permitan garantizar a los titulares su derecho constitucional a conocer, actualizar y rectificar, previniendo la litigiosidad en contra de la entidad por el uso y tratamiento inadecuado de la información
2. ALCANCE Y OBLIGACIONES
El contenido de esta Política aplica a toda información que contenga datos personales registrados en bases de datos, archivos y/u otros medios del IDT, quien actúa en calidad de responsable del tratamiento de los datos personales.
Todos los funcionarios, contratistas y terceros que tengan relación con la Entidad y que ejerzan tratamiento sobre las bases de datos personales, deben cumplir con esta política y los procedimientos establecidos para el tratamiento de los datos personales (ver definición de “encargado de tratamiento”).
De igual forma, es de obligatorio y estricto cumplimiento de todas las dependencias del IDT que participan en cada uno de los procesos institucionales establecidos en el Sistema Integrado de Gestión.
La Política de Tratamiento de Datos Personales establece lineamientos del Instituto para el tratamiento de datos personales, los mecanismos para el ejercicio del derecho de habeas data, así como las finalidades y otros aspectos relacionados con la protección de la información personal.
3. MARCO LEGAL
La legislación que aplica como marco legal para la generación de este documento es la siguiente:
• Artículo 15 de la Constitución Política de Colombia, el cual indica: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.”
• Artículo 20 de la Constitución Política de Colombia, el cual indica: “Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura”.
• Ley Estatutaria 1266 de 2008, “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”
• Ley Estatutaria 1581 de 2012, “Por la cual se dictan las disposiciones generales para la protección de datos personales”.
• Ley Estatutaria 1712 de 2014, “Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones”
• Decreto Único Reglamentario del Sector Comercio, Industria y Turismo 1074 de 2015, Capítulo 25 del Título 2 de la Parte 2 del Libro 2.
• Decreto Nacional Único Reglamentario del Sector Presidencia de la República 1081 de 2015, Sección 1 del Capítulo 4 del Título 1 de la Parte 1 del Libro 2.
• Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones 1078 de 2015, Capítulo 5 del Título 17, Parte 2 del Libro 2.
• Acuerdo Distrital 822 de 2021 del Concejo de Bogotá, “Por medio del cual se dictan los lineamientos para la promoción del ciclo virtuoso de la seguridad, el uso y aprovechamiento de los datos en Bogotá”.
• Acuerdo Distrital 2 de 2023 de la Comisión Distrital de Transformación Digital, “Por el cual se adopta el lineamiento para el desarrollo de evaluaciones de impacto a la privacidad”.
• Circular Externa Conjunta 004 de 2019 de la Superintendencia de Industria y Comercio y la Agencia Nacional de Defensa Jurídica del Estado, sobre tratamiento de datos personales en sistemas de información interoperables.
• Circular Externa 20231300000585 de 2023 de la Superintendencia de Vigilancia y Seguridad Privada, sobre cumplimiento de normativa relacionada con protección de datos personales.
• Directiva 2 de 2018 de la Secretaría Jurídica Distrital, sobre tratamiento de datos personales.
• Directiva 5 de 2019 de la Secretaría Jurídica Distrital, sobre tratamiento de datos personales - autorizaciones, datos sensibles, datos de niños, niñas y adolescentes, cámaras y videos de seguridad, sanciones y recomendaciones.
• Circular 22 de 2019 de la Secretaría Jurídica Distrital, sobre suministro de información personal.
4. DEFINICIONES
A continuación, se presentan algunas definiciones que facilitan la lectura de este documento.
Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
Autorización: Consentimiento, previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
Dato personal: Cualquier información vinculada o que pueda asociarse a una persona determinada, como su nombre o número de identificación, o que puedan hacerla determinable. Los datos personales pueden ser públicos, semiprivados o privados.
Dato público: Dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la Ley 1266 de 2008.
Dato privado: Dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Dato sensible: Aquel que afecta la intimidad del titular o que puede generar a discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos, entre otros.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales, recibiendo instrucciones acerca de la forma en la que deberán ser administrados los datos.
Habeas Data: Derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política.
Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la finalidad de las bases de datos y/o el tratamiento de los datos.
Titular: Persona natural cuyos datos personales son objeto de tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia: Operación que realiza el responsable y/o encargado del tratamiento de datos personales, cuando envía la información o los datos personales a un receptor, que, a su vez, se convierte en responsable del tratamiento.
Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el encargado por cuenta del responsable.
5. PRINCIPIOS RECTORES
En el desarrollo, interpretación y aplicación de la Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales y las normas que la complementan, modifican o adicionan, se aplicarán de manera armónica e integral los siguientes principios rectores:
Principio de legalidad en materia de Tratamiento de datos: En el tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos reconocidos por la República de Colombia.
Principio de finalidad: El tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos por el IDT atenderán una finalidad legítima, enmarcada dentro de las competencias asignadas por la ley, la cual deberá ser informada al respectivo titular de los datos personales.
Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que revele el consentimiento.
Principio de veracidad o calidad: La información sujeta a tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia: En el tratamiento de datos personales debe garantizarse el derecho del titular a obtener del IDT, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal del que sea titular o le conciernan.
Principio de acceso y circulación restringida: El tratamiento de datos personales solo podrán hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
Principio de seguridad: Los datos personales e información sujeta a tratamiento por el IDT será objeto de protección, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos, evitando su adulteración, modificación, pérdida, consulta, y, en general, en contra de cualquier uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos se comprometen a garantizar la reserva de la información. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores y/o actividades que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales, cuando ellos corresponda al desarrollo de las actividades autorizadas en la Ley Estatutaria 1581 de 2012 y en los términos de la misma.
Principio de Temporalidad: Una vez agotada la finalidad para la cual fue recolectado y/o tratado el dato personal, cesará su uso y se adoptarán las medidas de seguridad pertinentes.
Principio de la divulgación proactiva de la información. Es deber de los sujetos obligados promover y generar una cultura de transparencia. Incluye la obligación de publicar y divulgar documentos y archivos que plasman la actividad estatal y de interés público, de forma rutinaria, proactiva, actualizada, accesible y comprensible, atendiendo a límites razonables del talento humano y recursos físicos y financieros.
6. INFORMACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL EN EL IDT
EL INSTITUTO DISTRITAL DE TURISMO, en adelante, el Instituto, establecimiento público del orden distrital, con personería jurídica, autonomía administrativa y financiera, patrimonio propio, adscrita a la Secretaría Distrital de Desarrollo Económico y creada por el Acuerdo No. 275 de 2007 del Concejo de Bogotá, con NIT 900.140.515-6, actuando como responsable de la información y en cumplimiento de la Ley 1581 de 2012 y sus decretos reglamentarios, se identifica a través de los siguientes datos:
Domicilio principal: Edificio Centro Internacional, Carrera 10 # 28-49 Torre A, piso 23 de Bogotá D.C., Colombia.
Teléfono: +57 (601) 2170711
Correo electrónico: info@idt.gov.co, correspondenciarecepcion@idt.gov.co Página web: www.idt.gov.co
7. TITULARES A QUIEN VA DIRIGIDA LA POLÍTICA
Se entiende por titulares las personas naturales cuyos datos personales son objeto de tratamiento en el Instituto. La presente Política de Tratamiento de Datos Personales está dirigida a cualquier titular de la información, ya sea actuando en su nombre o como representante legal que, con ocasión de las actividades para las cuales se encuentre vinculado con el Instituto, se requiera de su información personal para el desarrollo de las mismas.