Consideraciones

La Constitución Política de Colombia, en su artículo 15, reconoce el derecho de todas las personas a su intimidad personal y familiar, a su buen nombre, y a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bancos de datos y archivos de entidades públicas y privadas.

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución…”

En virtud de lo anterior, toda empresa que reciba o tenga acceso a datos personales de terceros debe contar con procedimientos internos enfocados a la protección de derechos cuando se recolecta, trata y circula este tipo de información.

La Ley 1581 de 2012, reglamentada parcialmente por la Ley 1377 de 2013, establece los requisitos mínimos para las políticas de tratamiento de datos personales, incluyendo procedimientos para la autorización, tratamiento, ejercicio de derechos, transferencias y transmisiones internacionales, y responsabilidades de los responsables y encargados del tratamiento.

Luisa Hairs S.A.S., consciente de que la confianza de sus clientes se soporta en la apropiada salvaguarda de su información y la estricta limitación de su uso, adopta las exigencias legales, integrándolas a sus procedimientos administrativos mediante:

• Adecuación de espacios físicos y digitales para la seguridad de la información.
• Esquemas permanentes de capacitación a colaboradores sobre derechos y deberes.
• Blindaje legal basado en la confidencialidad y en cláusulas contractuales específicas.

Parte 1: Obligatoriedad

Esta Política es de estricto cumplimiento por parte de todos los empleados, colaboradores y terceros que hagan parte de Luisa Hairs S.A.S. o actúen en su nombre.

Para garantizar su cumplimiento, todos los contratos con empleados, colaboradores y proveedores contienen cláusulas específicas sobre protección de datos personales, las cuales se refuerzan con requisitos de confidencialidad y cláusulas penales especiales.

La empresa cuenta con una estructura legal para actuar en caso de incumplimiento, incorporando sanciones laborales o responsabilidades contractuales, así como cláusulas orientadas a la indemnización por los daños y perjuicios causados a los titulares de datos o a la compañía.

Parte 2: Definiciones

Autorización

Consentimiento previo, expreso e informado del titular del dato para llevar a cabo el tratamiento.

Consulta

Solicitud del titular del dato o de las personas autorizadas por este o por la ley para conocer la información que reposa sobre él en bases de datos o archivos.

Dato personal

Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Pueden ser datos sensibles, públicos, privados o semiprivados.

Dato personal de naturaleza sensible

Información que afecta la intimidad de la persona o cuyo uso indebido puede generar discriminación, como datos sobre origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos u organizaciones sociales, datos de salud, vida sexual y datos biométricos.

Dato personal público

Datos calificados como públicos por la ley o la Constitución, como los relativos al estado civil, documentos públicos, sentencias judiciales ejecutoriadas no sometidas a reserva, y datos del registro mercantil. Estos datos pueden ser obtenidos y ofrecidos sin reserva alguna.

Dato personal privado

Dato que, por su naturaleza íntima o reservada, solo es relevante para el titular. Ejemplos: libros de los comerciantes, documentos privados, información obtenida de la inspección del domicilio.

Dato personal semiprivado

Dato que no es íntimo, reservado ni público, y cuyo conocimiento puede interesar al titular, a un grupo de personas o a la sociedad en general, como información sobre cumplimiento de obligaciones financieras o relaciones con entidades de seguridad social.

Encargado del tratamiento

Persona que realiza el tratamiento de datos por cuenta del responsable.

Responsable del tratamiento

Persona que decide sobre la recolección y fines del tratamiento. Por ejemplo, la empresa titular de la base de datos o del sistema de información.

Titular del dato

Persona natural a quien se refieren los datos.

Tratamiento

Cualquier operación u operaciones sobre datos personales, como recolección, almacenamiento, uso, circulación o supresión.

Transmisión

Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera de Colombia, para que el encargado realice tratamiento por cuenta del responsable.

Parte 3: Principios rectores para el tratamiento de datos personales

Principio de legalidad

El tratamiento de datos personales es una actividad reglada que debe sujetarse a la ley y demás disposiciones que la desarrollen.

Principio de finalidad

El tratamiento debe obedecer a una finalidad legítima, informada al titular, acorde con la Constitución y la ley.

Principio de libertad

El tratamiento solo puede ejercerse con consentimiento previo, expreso e informado del titular, salvo mandato legal o judicial que releve dicho consentimiento.

Principio de veracidad o calidad

La información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos o que induzcan a error.

Principio de transparencia

El titular tiene derecho a obtener información en cualquier momento sobre la existencia de sus datos y el uso que se les da.

Principio de acceso y circulación restringida

El tratamiento está sujeto a límites derivados de la naturaleza de los datos, la ley y la Constitución. Salvo la información pública, los datos personales no podrán estar disponibles en internet o medios masivos sin controles que limiten su acceso a los titulares o terceros autorizados.

Principio de seguridad

La información debe manejarse con medidas técnicas, humanas y administrativas que eviten adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad

Quienes intervengan en el tratamiento de datos no públicos deben garantizar la reserva de la información, incluso después de finalizada su relación con la empresa.

Parte 4: Tratamiento de los datos personales y finalidad

El tratamiento de datos en Luisa Hairs S.A.S. se realizará de forma lícita y transparente, con las siguientes finalidades, entre otras:

• Cumplir requisitos previos para la etapa de diagnóstico mediante la “Ficha técnica” y permitir el acceso a productos o servicios.
• Cumplir requisitos previos para la etapa del servicio, a través del consentimiento informado, para acceso a servicios limitados ofrecidos por la empresa.
• Gestionar solicitudes, quejas o reclamos; realizar análisis posteriores del estado del cabello del cliente y encuestas de satisfacción.
• Suministrar información de contacto y documentos a empleados, colaboradores o terceros que realicen tareas comerciales, de distribución o telemercadeo.
• Dar a conocer, transferir y transmitir datos personales dentro y fuera del país, cuando proceda por contrato, ley o vínculo lícito, por ejemplo para servicios de computación en la nube.
• Crear bases de datos con registros históricos para recomendaciones sobre cuidado del cabello y registro de preexistencias, con el fin de limitar responsabilidad de la empresa sobre la prestación del servicio.
• Consultar información para establecer límites en la prestación del servicio, realizar cotizaciones y definir precios según solicitudes del cliente.
• Validar la identidad del titular de los servicios.

Parte 5: Derechos de los titulares de datos

Todas las personas vinculadas a Luisa Hairs S.A.S. deben respetar y garantizar los siguientes derechos de los titulares:

• Conocer, actualizar y rectificar sus datos personales, mediante procedimientos que eviten el acceso no autorizado de terceros.
• Obtener copia o evidencia de la autorización otorgada para el tratamiento de datos personales.
• Recibir información sobre el uso que se ha dado a sus datos personales.
• Solicitar la revocatoria de la autorización y la supresión del dato personal cuando se incumpla la normativa o la Constitución.
• Solicitar, en cualquier momento, la revocatoria de autorización y la supresión del dato, salvo información sobre preexistencias y consentimientos informados necesarios para limitar la responsabilidad de la empresa.
• Acceder de manera gratuita a sus datos personales, una vez verificada su identidad, por medios que permitan una lectura fácil y sin barreras técnicas.

Parte 6: Personas que pueden ejercer los derechos del titular

• El titular, a nombre propio, previa identificación.
• Sus causahabientes, quienes deben acreditar tal calidad.
• El representante o apoderado del titular, previa acreditación de la representación o apoderamiento.
• En el caso de niños, niñas o adolescentes, las personas que estén facultadas para representarlos, previa acreditación.

Parte 7: Deberes de Luisa Hairs S.A.S.

Cuando obra como responsable del tratamiento

Respecto al principio de acceso y circulación restringida

• Solicitar y conservar copia de la autorización otorgada por el titular en las condiciones previstas.
• Informar de manera clara y suficiente sobre la finalidad de la recolección y los derechos del titular.
• Garantizar el pleno y efectivo ejercicio del derecho de hábeas data.
• Informar, a solicitud del titular, sobre el uso dado a sus datos personales.
• Tramitar consultas y reclamos en los términos de la presente política.

Respecto a los principios de veracidad, calidad, seguridad y confidencialidad

• Observar dichos principios en todo tratamiento de datos personales.
• Conservar la información con las condiciones de seguridad necesarias.
• Actualizar la información cuando sea necesario.
• Rectificar los datos personales cuando proceda.

Cuando el tratamiento se realiza a través de un encargado

• Suministrar únicamente los datos personales cuya autorización esté debidamente obtenida.
• En transmisiones nacionales o internacionales, velar por la protección de los derechos del titular mediante cláusulas contractuales específicas.
• Comunicar oportunamente al encargado las novedades respecto de los datos suministrados.
• Informar rectificaciones para que el encargado realice los ajustes pertinentes.
• Exigir al encargado el respeto a los principios de seguridad y confidencialidad.
• Informar cuando la información esté en discusión por parte del titular.

Cuando obra como encargado del tratamiento

Cuando Luisa Hairs S.A.S. realiza tratamiento de datos en nombre de otra entidad (por ejemplo, en convenios o prácticas académicas), deberá:

• Garantizar el ejercicio del derecho de hábeas data.
• Conservar la información con condiciones de seguridad adecuadas.
• Realizar oportunamente actualización, rectificación o supresión de datos.
• Actualizar la información reportada por los responsables dentro de los términos establecidos.
• Tramitar consultas y reclamos de acuerdo con esta política.
• Registrar leyendas como “reclamo en trámite” o “información en discusión judicial” cuando corresponda.
• Abstenerse de circular información controvertida u ordenada en bloqueo.
• Permitir el acceso solo a personas autorizadas por el titular o por la ley.

Parte 8: De la autorización dada por el titular de la información

Luisa Hairs S.A.S. y cualquier persona que actúe en su nombre deberá obtener autorización previa, expresa e informada del titular para recolectar y tratar sus datos personales, salvo datos públicos, datos del registro civil o información no vinculada a una persona específica.

En el proceso de autorización se informará al titular:

• El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
• La finalidad de las respuestas a preguntas relacionadas con datos sensibles o de niños, niñas y adolescentes, y la facultad de aceptar o rechazar el suministro de dicha información.
• Los derechos que tiene como titular de la información.
• La identificación y datos de contacto de Luisa Hairs S.A.S.

La autorización puede obtenerse por cualquier medio que permita su consulta posterior. Como regla general, la asistencia del titular a la cita, debidamente informada, se considera conducta inequívoca de aceptación de la política.

Personas legitimadas para otorgar el consentimiento

• El titular, previa identificación.
• Sus causahabientes, con acreditación de su calidad.
• Su representante o apoderado, con acreditación de la representación o apoderamiento.

Recolección de datos sensibles

• La autorización debe ser explícita.
• Se debe informar que el titular no está obligado a autorizar el tratamiento de datos sensibles.
• Se debe informar de forma explícita qué datos son sensibles y su finalidad.

Recolección y tratamiento de datos de niños, niñas y adolescentes

• La autorización debe ser otorgada por personas facultadas para representarlos, garantizando el derecho de los menores a ser escuchados.
• Se debe señalar que el titular tiene la facultad de aceptar o rechazar la recolección de estos datos.
• El tratamiento debe respetar el interés superior del menor y sus derechos fundamentales, informando de forma explícita los datos a tratar y su finalidad.

Parte 9: Clasificación y tratamiento especial de ciertos datos personales

Luisa Hairs S.A.S. debe identificar los datos sensibles y los de niños, niñas y adolescentes que eventualmente recolecte o almacene, con el fin de:

• Reforzar los principios de acceso y circulación restringida, seguridad y confidencialidad.
• Cumplir los requisitos legales y los establecidos en esta política para su recolección y tratamiento.

Parte 10: Transferencia internacional de datos personales

Luisa Hairs S.A.S. cuenta con un proveedor de servicios en la nube ubicado en el exterior, que almacena la plataforma utilizada para la diligencia y suscripción digital de documentación legal, incluyendo copias de seguridad.

La empresa ha verificado, mediante asesores externos, que dicho proveedor cumpla con niveles adecuados de protección de datos, conforme a la normativa vigente.

Actualmente, Luisa Hairs S.A.S. no contempla otros procedimientos o proyecciones que impliquen transferencias o transmisiones internacionales de datos diferentes a las descritas.

Parte 11: Transmisiones nacionales de datos a encargados

El acceso, administración y ejecución del servicio en la nube contratado se realiza a través de un tercero, que tiene acceso a la información almacenada. Mediante cláusulas contractuales, Luisa Hairs S.A.S. establece con dicho encargado:

• Alcance del tratamiento y actividades realizadas en nombre de la empresa.
• Obligaciones frente al titular de los datos y frente a Luisa Hairs S.A.S.
• Obligación de cumplir las obligaciones de la empresa en relación con protección de datos.
• Deber de tratar los datos según la finalidad autorizada, cumpliendo principios de la legislación colombiana y esta política.
• Obligación de proteger adecuadamente los datos y mantener la confidencialidad.

Parte 12: Procedimientos para que los titulares puedan ejercer sus derechos

Los titulares pueden ejercer sus derechos a conocer, actualizar, rectificar y suprimir información o revocar la autorización, por medio de las siguientes personas legitimadas:

• El titular, previa identificación.
• Sus causahabientes, acreditando dicha calidad.
• El representante o apoderado del titular, acreditando su representación o apoderamiento.
• En el caso de niños, niñas o adolescentes, las personas facultadas para representarlos, de conformidad con la normativa vigente.

Parte 13: Medios disponibles para que los titulares ejerzan sus derechos

Cualquier medio de comunicación ofrecido por Luisa Hairs S.A.S. es idóneo y se encuentra habilitado para canalizar consultas y reclamos relacionados con datos personales.

Si la respuesta a una consulta, queja o reclamo requiere la intervención de un tercero, se informará al titular de manera pertinente, garantizando siempre el cumplimiento de las exigencias frente a la protección de datos descritas en esta política.

Parte 14: Consultas

Las consultas que realicen las personas legitimadas se canalizarán a través de cualquiera de los medios de comunicación ofrecidos por Luisa Hairs S.A.S. En todos los casos se dejará constancia de:

• Fecha de recibo de la consulta.
• Identidad del solicitante.

La respuesta deberá comunicarse en un término máximo de diez (10) días hábiles, contados desde la fecha de recibo. Si no es posible atenderla dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, que no podrá superar cinco (5) días hábiles adicionales.

Si se requiere información adicional al interesado para continuar con el trámite y este no responde, se entenderá satisfecho el motivo de la consulta y se cerrará el proceso.

Parte 15: Reclamos

Los reclamos tienen por objeto corregir, actualizar o suprimir datos, o elevar quejas por presunto incumplimiento de los deberes contenidos en la regulación vigente y en esta política.

El reclamo debe presentarse por escrito y contener, como mínimo:

• Nombre e identificación del titular (o legitimado), conforme a los procedimientos establecidos.
• Descripción precisa y completa de los hechos que dan lugar al reclamo.
• Dirección física o electrónica para recibir notificaciones.
• Documentos y pruebas que el reclamante considere pertinentes.

Si el reclamo está incompleto, se requerirá al interesado para que subsane las fallas dentro de los cinco (5) días siguientes a la recepción. Si transcurren dos (2) meses desde el requerimiento sin respuesta, se entenderá que ha desistido del reclamo.

Una vez recibido un reclamo completo, se registrará en la base de datos la leyenda “reclamo en trámite” y una descripción del motivo, en un término no mayor a dos (2) días hábiles.

El término máximo para atender el reclamo es de quince (15) días hábiles desde el día siguiente a su recepción. Cuando no sea posible atenderlo en ese plazo, se informará al interesado los motivos de la demora y la nueva fecha de respuesta, que no podrá superar ocho (8) días hábiles adicionales.

La falta de identificación suficiente del solicitante y la negativa a suministrar dicha información dará lugar al cierre del reclamo.

Parte 16: Video vigilancia

Luisa Hairs S.A.S. utiliza sistemas de video vigilancia en sus instalaciones, tanto en zonas internas como externas. Mediante avisos visibles se informa a las personas sobre la existencia de estos dispositivos.

En cumplimiento del principio de finalidad, se informa que las imágenes recolectadas se utilizan únicamente para fines de seguridad de las personas, los bienes y las instalaciones, salvo excepciones previstas por la ley.

Si es requerido, el material obtenido podrá emplearse como prueba en cualquier tipo de proceso ante cualquier autoridad u organización competente.