Política de Tratamiento de Datos Personales
KFC COLOMBIA
INVERSIONES INT COLOMBIA S.A.S. (en adelante KFC o la Compañía), es una sociedad comercial identificada con NIT 900.439.301-2, domiciliada en la Calle 86a No.13 – 42, Piso 4 de Bogotá, que tiene como objeto social principal la prestación de servicios de restaurante y cafetería. La Compañía, desde su constitución, ha sido la franquiciada de “KFC” en Colombia. Asimismo, desarrolla de manera permanente negocios con otras franquiciadas de KFC en Latinoamérica, especialmente, en Ecuador.
Para KFC es importante que nuestros clientes, consumidores, usuarios, proveedores y trabajadores, y en general, los Titulares de datos personales, conozcan para qué y cómo tratamos su información personal. En consecuencia, buscamos brindar claridad a cada uno de los grupos de interés en relación con nuestras políticas y procedimientos en la materia. La presente política se define de conformidad con la entrada en vigencia de la Ley Estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013, el Decreto 1074 de 2015, y demás normativa que tenga por objeto dictar disposiciones generales o especiales para la protección de datos personales y desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos así como el derecho a la información; por tanto, KFC teniendo en cuenta su condición de responsable del tratamiento de datos de carácter personal que le asiste, se permite formular el presente texto en aras de dar efectivo cumplimiento a dicha normatividad y en especial para la atención de consultas y reclamos acerca del tratamiento de los datos de carácter personal que recoja y maneje. El derecho al Habeas Data es aquel que tiene toda persona de conocer, actualizar, rectificar y/o suprimir la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y les garantiza a todos los ciudadanos poder de decisión y control sobre su información personal.
Por tanto, KFC se acoge a tales disposiciones teniendo en cuenta que, para el desarrollo de su objeto social, continuamente está recopilando y efectuando diversos tratamientos a bases de datos tanto de clientes, proveedores, empleados y terceros. En virtud de lo anterior, dentro del deber legal y corporativo de KFC de proteger el derecho a la privacidad de las personas, así como la facultad de conocer, actualizar o solicitar la información que sobre ellas se archive en bases de datos, KFC ha diseñado la presente política en la cual se describe y explica el tratamiento de la Información personal a la que tiene acceso a través del sitio insertar enlace correo electrónico, mensajes de texto, mensaje de voz, App, llamadas telefónicas, cara a cara, sistema de videovigilancia, sistemas biométricos, medios físicos o electrónicos, actuales o que en el futuro se desarrollen como otras comunicaciones enviadas así como por intermedio de terceros que participan en nuestra relación comercial o legal con todos los titulares de la información. La presente se irá ajustando en la medida en que se vaya reglamentando la normatividad aplicable a la materia y entren en vigencia nuevas disposiciones.
Así las cosas, KFC en su condición de Responsable del manejo de información personal y garantizando los derechos que a los Titulares de la información les asisten, se permite comunicar su “Política De Tratamiento De Datos Personales”:
ÍNDICE
DEFINICIONES
Aviso de privacidad (Circular Única de la SIC)
Documento o mensaje que el responsable debe entregar o disponer al titular al recolectar datos, con el fin de informarle sobre:
La presente Política tiene como objetivo definir los lineamientos generales para el cumplimento de la Ley 1581 de 2012, el Decreto 1377 de 2013 en Colombia y demás normativa vigente relacionada al tratamiento de datos personales. Orienta a colaboradores y terceros y en virtud de la misma se establecerán los criterios para la recolección, almacenamiento, uso, circulación y supresión de los datos personales tratados por KFC. Asimismo, a través de la expedición de la presente política se da cumplimiento a lo previsto en el literal K del artículo 17 de la referida ley.
Esta Política aplica para toda la información personal registrada en las bases de datos de KFC, quien actuará como responsable del Tratamiento de los datos personales.
A su vez, las políticas de manejo de información y datos personales contenidas en este documento son instrucciones generales, de obligatorio cumplimiento por todos los titulares de la información y terceros, que suministren su información a KFC.
La política de tratamiento de la información se aplicará obligatoriamente a todos los datos de carácter personal registrados en soportes físico o digitales que sean susceptibles de ser tratados por KFC como responsable de dichos datos. El régimen de protección de datos personales que se establece en el presente documento no será de aplicación a las bases de datos o archivos indicados en el artículo 2 de la Ley 1581 del 2012.
El tratamiento de datos personales debe realizarse respetando las normas generales y especiales sobre la materia y para actividades permitidas por la ley.
En el desarrollo, interpretación y aplicación de la presente política, se aplicarán de manera armónica e integral los siguientes principios:
V.I. Principios relacionados con la recolección de datos personales
Principio de libertad:
Salvo norma legal en contrario, la recolección de los datos sólo puede ejercerse con la autorización previa, expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin el previo consentimiento del titular, o en ausencia de mandato legal o judicial que releve el consentimiento.
Se deberá informar al titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y, por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos.
El principio de libertad debe observarse tanto para el caso de los datos que se recolectan a través de formatos como los que hacen parte de los anexos o documentos que entregan los titulares de los datos a KFC.
Principio de limitación de la recolección:
Sólo deben recolectarse los datos personales que sean estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo del tratamiento. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Es decir, los datos deberán ser: adecuados, pertinentes y acordes con las finalidades para las cuales fueron previstos.
V.II. Principios relacionados con el uso de datos personales
Principio de finalidad:
El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. Se deberá informar al titular de los datos de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y, por tanto, no podrán recopilarse datos sin una finalidad específica.
Principio de temporalidad:
Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir la finalidad del tratamiento y las exigencias legales o instrucciones de las autoridades de vigilancia y control u otras autoridades competentes. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Para determinar el término del tratamiento se considerarán las normas aplicables a cada finalidad y los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
V.III. Principios relacionados con la calidad de la información
Principio de veracidad o calidad:
La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Se deberán adoptar medidas razonables para asegurar que los datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando KFC lo determine, sean actualizados, rectificados o suprimidos cuando sea procedente.
V.IV. Principios relacionados con la protección, el acceso y circulación de datos personales
Principio de seguridad:
Cada persona vinculada con KFC deberá cumplir las medidas técnicas, humanas y administrativas que establezca la entidad para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de transparencia:
En el tratamiento debe garantizarse el derecho del titular a obtener en cualquier momento y sin restricciones información acerca de la existencia de datos que le conciernan.
Principio de acceso restringido:
Sólo se permitirá acceso a los datos personales a las siguientes personas:
Principio de circulación restringida:
Sólo se puede enviar o suministrar los datos personales a las siguientes personas:
Principio de confidencialidad:
Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
Para dar cumplimiento a la Ley 1581 del 2012 sobre protección de datos personales se deben tener presente las siguientes consideraciones:
1. KFC es el responsable del Tratamiento de bases de datos personales.
2. Los Terceros que tengan acceso a las bases de datos serán Encargados del Tratamiento y por tanto deberán dar cumplimiento a lo establecido por la Ley 1581 de 2012, el Decreto 1377 de 2013, las normas que las complementen, modifiquen y la presente Política.
3. La Ley es de obligatorio cumplimiento en todo el territorio colombiano y para transmitir datos personales a otros países, la legislación de estos debe contemplar medidas de seguridad, iguales o superiores a las contenidas en la Ley en mención.
4. Se consideran bases de datos personales en KFC todas las de personas naturales, sean proveedores, afiliados, clientes, consumidores, voluntarios o vinculados por cualquier medio, empleados, o cualquier otra persona natural cuya información sea objeto de Tratamiento por parte nuestra.
5. KFC inscribirá y actualizará sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) y reportará incidentes de seguridad que comprometan datos personales, así como las consultas y reclamos recibidos, cuando le sea exigible según criterios de la SIC.
No es necesaria la aplicación de la política, por excepción legal, cuando:
1. Las bases de datos y archivos tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
2. Las bases de datos tengan como fin y contengan información de inteligencia y contrainteligencia.
3. Las bases de datos y archivos sean de información periodística y otros contenidos editoriales.
VII. CONDICIONES ESPECÍFICAS
Se deben tener en consideración las siguientes condiciones específicas:
El responsable del tratamiento es INVERSIONES INT COLOMBIA S.A.S., sociedad comercial identificada con NIT. 900.439.301-2, domiciliada en la Calle 86a No.13 – 42 piso 4 en la ciudad de Bogotá D.C, disponible en el correo electrónico contactenos@kfc.co
La información la utilizará KFC para el desarrollo de su objeto social y para las finalidades que se indican en el siguiente numeral. Es posible que la información personal se comparta con la franquiciada de KFC en Ecuador así como, con el franquiciante de la marca “KFC” domiciliado en Estados Unidos, o con terceros aliados que permitan desarrollar una mejor experiencia para el cliente, el consumidor o el usuario en general.
Además, podrá compartir los datos con las autoridades judiciales o administrativas en cumplimiento de un deber legal.
Asimismo, es posible que algunos de los proveedores que prestan servicios para KFC, incluyendo entre otros, aquellos que le prestan servicios de almacenamiento y/o de plataformas de domicilios tengan acceso a los datos recolectados, únicamente en el marco de la prestación de los servicios para KFC y siempre bajo medidas adecuadas y suficientes de seguridad y confidencialidad.
En estos casos, KFC identificará los flujos de información, formalizará las transmisiones (a encargados) y transferencias (a otros responsables) conforme a la normativa aplicable, y mantendrá trazabilidad de dichas gestiones y de las verificaciones realizadas. La transmisión de datos personales se limitará a lo razonable y necesario y por el tiempo estrictamente necesario para cumplir la finalidad; la transferencia requerirá autorización del titular o que se configure una excepción legal. KFC exigirá a terceros contratos con garantías de confidencialidad, seguridad, sujeción a finalidades, subencargos autorizados, y retorno/supresión de los datos al finalizar el encargo.
La transmisión de datos personales se limitará a aquellos datos que sean razonables y necesarios y solo tendrá lugar durante el tiempo razonable y necesario para lograr la finalidad para la cual fueron recolectados. En los casos de transferencia solamente se podrá llevar a cabo cuando medie autorización del Titular o se encuentre en los supuestos de excepción de la ley.
KFC siempre velará porque los terceros a los que entreguen datos personales conozcan y cumplan con la normativa aplicable en Colombia, e incluirá en los contratos las previsiones necesarias para asegurar la sujeción a la finalidad, la confidencialidad y la seguridad de la información.
KFC recolecta los datos personales de los siguientes grupos de interés, con el fin de adelantar las finalidades mencionadas en esta Política:
El Tratamiento que llevará acabo KFC como responsable de las bases de datos se realizará conforme a lo establecido en la Ley 1581 de 2012, el Decreto 1377 de 2013 y las normas que lo adicionen o modifiquen, así como con lo establecido en la presente Política.
En desarrollo de su objeto social, KFC recolecta y usa datos personales de sus trabajadores, proveedores personas naturales, consumidores y usuarios, entre otros, para llevar a cabo las siguientes finalidades:
Grupo de interés
Finalidades
TRABAJADORES
• Dar cumplimiento a las obligaciones derivadas del contrato suscrito con el trabajador.
• Hacer seguimiento de la relación contractual.
• Facilitar el ejercicio de los derechos del trabajador.
• Enviar comunicaciones por correo físico, electrónico, dispositivo móvil, o a través de cualquier otro medio análogo y/o digital, con información relacionada con la relación contractual.
• Otorgar beneficios laborales o extralaborales a trabajadores, sus hijos y familiares.
• Gestionar préstamos y auxilios para los trabajadores cuando haya lugar a ellos.
• Construir y certificar el historial del trabajador frente a Autoridades o terceros que cuenten con autorización del Titular.
• Realizar el registro de videovigilancia o planilla de asistencia a KFC cuando el trabajador deba visitar las instalaciones de la compañía.
• Almacenar la información personal con proveedores de servicios de nube, que alojen la información en servidores ubicados en el exterior.
PROVEEDORES PERSONAS NATURALES
(contratistas y subcontratistas personas naturales y, en general, prestadores de servicios personas naturales)
• Permitir y adelantar el cumplimiento de las obligaciones derivadas del contrato, orden de servicio o similar, suscrito entre el proveedor y KFC.
• Hacer seguimiento de la relación contractual y/o comercial o de servicios establecida.
• Enviar comunicaciones por correo físico, electrónico, dispositivo móvil, o a través de cualquier otro medio análogo y/o digital, con información relacionada con la relación contractual.
• Almacenar la información personal con proveedores de servicios de nube, que alojen la información en servidores ubicados en el exterior.
• Realizar el registro de videovigilancia o planilla de asistencia a KFC cuando el proveedor deba visitar las instalaciones de la compañía.
CLIENTES PERSONAS NATURALES
(comerciantes persona natural, consumidores y usuarios)
• Enviar comunicaciones por correo físico, electrónico, dispositivo móvil, o cualquier otro medio análogo y/o digital con:
– Información cultural, comercial, publicitaria o promocional sobre los productos y/o servicios, eventos, promociones y/o actividades comerciales por parte de KFC.
– Información relacionada con la relación contractual existente entre KFC y el cliente, incluyendo posibles cobros de la misma.
• Como herramienta para el inicio de cualquier cobro prejurídico o judicial.
• Contratar el almacenamiento de la información personal con proveedores de servicios de nube, que alojen la información en servidores ubicados en el exterior.
• Enviar invitaciones a eventos.
• Realizar encuestas y solicitar la opinión del Titular sobre productos y/o servicios.
• Realizar pauta en relación con las preferencias y gustos del cliente o usuario.
• Adelantar investigaciones de mercado, comerciales, y/o estadísticas, que permitan impactar a un mayor número de clientes, así como diseñar nuevos productos e identificar las tendencias del mercado.
• Como elemento de análisis para establecer y mantener una relación contractual o comercial, cualquiera que sea su naturaleza.
• Como herramienta para el ofrecimiento de productos o servicios propios o de terceros.
• Realizar seguimiento de actividades promocionales.
• Gestionar, acreditar y verificar la entrega de premios o elementos publicitarios.
• Atender solicitudes, quejas, peticiones y reclamos.
• Permitir el ejercicio de los derechos de los consumidores y usuarios y de los Titulares de los Datos Personales.
• Realizar el registro de videovigilancia o planilla de asistencia a KFC cuando el cliente, consumidor o usuario deba visitar las instalaciones de la compañía.
CANDIDATOS A PROCESOS DE SELECCIÓN
• Mantener informados a los candidatos sobre el desarrollo del proceso, información que se conservarán hasta por 1 año después de la culminación del proceso de selección, para el contacto futuro en relación con posiciones laborales que se ajusten a su perfil.
• Realizar el registro de videovigilancia o planilla de asistencia a KFC cuando el candidato deba visitar las instalaciones de la compañía.
FUNCIONARIOS DE CLIENTES Y/O PROVEEDORES QUE SON PERSONAS JURÍDICAS
• Permitir y adelantar el cumplimiento de las obligaciones derivadas del contrato, orden de servicio o similar, suscrito entre el cliente o proveedor y KFC.
• Hacer seguimiento de la relación contractual y/o comercial o de servicios establecida.
• Enviar comunicaciones o realizar el contacto con el cliente o proveedor por teléfono celular o fijo, por correo físico, electrónico, dispositivo móvil, o a través de cualquier otro medio análogo y/o digital, con información relacionada con la relación contractual.
• Almacenar la información personal con proveedores de servicios de nube, que alojen la información en servidores ubicados en el exterior.
• Realizar el registro de videovigilancia o planilla de asistencia a KFC cuando el proveedor deba visitar las instalaciones de la compañía.
Asimismo, KFC informa a los Titulares que sus datos personales podrán ser utilizados para el cumplimiento de deberes legales de KFC como: i) adelantar trámites y cumplir con obligaciones y reportes de ley ante autoridades públicas o personas privadas respecto de los cuales la información resulte pertinente; ii) soportar procesos de auditoría interna o externa y verificar el cumplimiento de sus políticas internas; iii) consultar la información en bases de datos públicas, incluyendo entre otras, listas restrictivas; iv) realizar reportes a centrales de riesgo cuando haya lugar a ello siempre y cuando exista autorización y se cumpla con los deberes establecidos en la ley 1266 de 2008; v) construir y presentar reportes de información tributaria y contable, o adelantar procesos de facturación; vi) para fines estadísticos, e históricos; y, vii) realizar afiliaciones al sistema de seguridad social de los trabajadores entre otros.
Cuando el tratamiento involucre datos sensibles o biometría, KFC garantizará que su suministro sea facultativo, con autorización explícita, finalidades concretas y necesarias, y controles reforzados de seguridad y acceso.
Finalmente, KFC solo recolectará, almacenará, usará o circulará los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, KFC procederá a la supresión de los datos personales en su posesión. No obstante, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
Así, la información que corresponde a los trabajadores o a los proveedores, se conservará por el tiempo necesario para cumplir con las obligaciones y deberes de KFC de acuerdo con los parámetros legales y contractuales aplicables y la referente a los candidatos a procesos de selección, se conservará hasta por 1 año después de la culminación del proceso de selección, para el contacto futuro en relación con posiciones laborales que se ajusten a su perfil.
A su vez, los datos recolectados por KFC en relación con clientes consumidores y usuarios se conservarán: i) por el tiempo acordado por la vía contractual con el cliente; ii) con base en la autorización otorgada (salvo en los casos en los que por la naturaleza pública de la información esta no se requiere); iii) por el tiempo necesario para el cumplimiento de las obligaciones legales o contractuales de KFC; o, iv) por el tiempo razonable para el desarrollo de las finalidades que se buscan con los datos personales y a su expiración, por un término adicional de seis (6) meses con el fin de mantenerlo informado y poder volver a obtener el consentimiento para seguir manteniendo el contacto con éstos y, en todo caso, únicamente mientras exista una autorización vigente o una base legal que habilite dicho tratamiento, tras lo cual se procederá a la supresión o anonimización de la información.
Entre los datos recolectados por KFC se encuentran datos públicos, semi privados, o privados.
De manera regular se recolectan:
Datos especiales que podrían ser objeto de recolección:
KFC limitará la recolección a lo estrictamente necesario, evitará condicionamientos injustificados y documentará la prueba de autorización y su revocatoria por el mismo canal.
Por lo demás, KFC no busca recolectar datos de menores de edad, por lo cual se advierte a quienes tienen contacto con KFC a través de los canales de atención señalados en esta política, que si son menores de edad deben contar con el consentimiento expreso de sus padres para poder participar en actividades, concursos, o cualquier tipo de contacto con KFC.
KFC recolecta datos personales a través de los siguientes canales: i) su Call Center ii) su aplicación; iii) su página web y; iv) formatos físicos y digitales; v) su plataforma de WhatsApp; vi) redes sociales (Solo cuando el titular interactúa voluntariamente con ellas). y vii) kioscos. A través de los canales mencionados, KFC recolecta datos personales de su recurso humano, de consumidores, usuarios y proveedores que son personas naturales y datos de contacto de funcionarios de los clientes o proveedores que son personas jurídicas.
Adicionalmente, KFC puede obtener información de fuentes como comercios vinculados, entidades financieras, entidades participantes del sistema de pago, proveedores de servicios de telecomunicaciones y fuentes propias, entre otros. Es importante informar que solo se recolecta la información que se considera necesaria y razonable para el desarrollo de las actividades de KFC y de conformidad con la autorización suministrada por sus Titulares y de los deberes legales que le competen. También es natural que en el marco de la relación directa de KFC con personas naturales (empleados, proveedores, etc.), estos entreguen información personal necesaria para el desarrollo de la relación contractual
De conformidad con lo establecido en la Ley 1581 de 2012 los Titulares de los datos almacenados en las diferentes bases de datos de KFC, tienen los siguientes derechos:
Tenga presente que KFC siempre estará atento a recibir sus inquietudes, quejas y reclamos, así que si llega a presentar dificultad en alguno de los canales establecidos le agradecemos nos lo haga saber por cualquiera de los demás canales habilitados, nos ocuparemos de darle una respuesta pronta y de fondo. En particular, los canales habilitados son: i) el correo electrónico contactenos@kfc.co; ii) la dirección física Calle 86a No.13 – 42, piso 4 de la ciudad de Bogotá D.C.
Todos los obligados a cumplir esta Política deben tener presente que KFC está obligado a cumplir deberes impuestos por la ley. Por ende, deben obrar de tal forma que cumplan las siguientes obligaciones:
Deberes de KFC respecto del titular del dato
a. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir, conocer, actualizar o rectificar sus datos personales.
b. Solicitar y conservar, en las condiciones previstas en esta Política, copia de la respectiva autorización otorgada por el titular.
c. Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d. Informar a solicitud del titular sobre el uso dado a sus datos personales.
e. Tramitar las consultas y reclamos formulados en los términos señalados en la presente Política.
Deberes de KFC respecto de la calidad, seguridad y confidencialidad de los datos personales
a. Observar los principios de veracidad o calidad, seguridad y confidencialidad en los términos establecidos en esta Política.
b. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c. Garantizar el uso de medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales y demás información sujeta a tratamiento, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
d. Actualizar la información cuando sea necesario.
e. Rectificar los datos personales cuando ello sea procedente.
Deberes de KFC cuando realiza el tratamiento a través de un encargado
a. Suministrar al encargado del tratamiento únicamente los datos personales cuyo tratamiento esté previamente autorizado.
b. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
c. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
d. Informar de manera oportuna al encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que este proceda a realizar los ajustes pertinentes.
e. Exigir al encargado del tratamiento en todo momento el respeto a las condiciones de seguridad y privacidad de la información del titular.
f. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
Deberes de KFC respecto de la Superintendencia de Industria y Comercio
a. Informarle cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
b. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
XVI. DEBERES DE KFC CUANDO OBRA COMO ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES
Si KFC realiza el tratamiento de datos en nombre de otra entidad u organización (Responsable del Tratamiento) deberá cumplir los siguientes deberes:
a. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c. Realizar oportunamente la actualización, rectificación o supresión de los datos.
d. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
e. Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente Política.
f. Registrar en la base de datos el “reclamo en trámite” en la forma en que se establece en la presente Política.
g. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
h. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
i. Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto.
j. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
k. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
XVII. ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS
Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. La empresa que trata sus datos (KFC en su calidad de Responsable del Tratamiento) o la empresa que realice algún Tratamiento por cuenta del Responsable a título de “Encargado del Tratamiento”, deberán suministrar a los Titulares de los Datos Personales, cuando éstos lo soliciten, toda la información que se haya incluido en sus registros.
La consulta, queja o reclamo elevado por un Titular deberá remitirse a: i) el correo electrónico contactenos@kfc.co; o, ii) la dirección física Calle 86a #13 – 42, piso 4 de la ciudad de Bogotá D.C., indicando como mínimo, los siguientes puntos:
1. Identificación completa (nombre, dirección de notificación, documento de identificación).
2. Descripción de los hechos que dan objeto a la consulta/reclamo.
3. Documentos soporte de los hechos.
4. Medio por la cual quiere recibirla respuesta a su consulta/reclamo.
5. La consulta será atendida en un término máximo de quince (15) días hábiles contados a partir de la fecha de recibo de esta.
6. Cuando no fuere posible atenderla consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Reclamos:
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:
El reclamo se formulará mediante solicitud remitida a: i) el correo electrónico contactenos@kfc.co; o, ii) la dirección física Calle 86a No. 13 – 42, piso 4 de la ciudad de Bogotá D.C.
Al momento de ser formulado el reclamo deberá incluirse la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y se deberán acompañar los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurrido un (1) mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
Una vez recibido el reclamo completo, se incluirá, en un término no mayor a diez (10) días hábiles, en la base de datos una leyenda que diga "reclamo en trámite" y el motivo de este. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Petición de actualización y/o rectificación:
Se rectificará y actualizará, a solicitud del Titular, la información que sea inexacta o se encuentre incompleta, atendiendo al procedimiento y los términos antes señalados para la formulación de un reclamo, para lo cual el Titular deberá allegar la solicitud según los canales dispuestos, indicando la actualización y/o rectificación deseada del dato y a su vez deberá aportar la documentación que soporte tal petición.
Revocatoria de la autorización y/o supresión del dato:
El Titular podrá revocar en cualquier momento el consentimiento autorización dada para el tratamiento de sus datos personales, siempre y cuando no se encuentre un impedimento consagrado en una disposición legal o contractual, cuando:
1. Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente.
2. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron obtenidos.
3. Se haya cumplido el tiempo necesario para el cumplimiento de los fines para los que fueron obtenidos.
4. No desee que se sigan utilizando para una finalidad no indispensable.
Tal supresión implica la eliminación bien sea de manera total o parcial de la información personal, de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o tratamientos realizados.
El derecho de supresión no es absoluto y, por lo tanto, se podrá negarla revocatoria de autorización o eliminación de los datos personales cuando exista un deber legal o contractual de permanecer en la base de datos.
KFC utiliza diversos medios de video vigilancia instalados en diferentes sitios internos y externos de sus instalaciones u oficinas.
KFC informa sobre la existencia de estos mecanismos mediante la difusión en sitios visibles de anuncios de video vigilancia.
La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización.
Las imágenes se conservarán por un plazo razonable acorde con la finalidad de seguridad o mientras subsista una obligación legal o requerimiento de autoridad; luego se suprimirán de forma segura.
XIX. TRANSFERENCIA O TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES
KFC podrá realizar la transferencia y transmisión, incluso internacional, de los datos personales que tenga en sus bases de datos, siempre y cuando se cumplan los requerimientos legales aplicables; y en consecuencia los titulares de los datos personales autoricen expresamente la transferencia y transmisión, incluso a nivel internacional, siempre y cuando se cumplan los requisitos legales aplicables, incluyendo la autorización del titular cuando esta sea exigible o la configuración de alguna de las excepciones previstas en el artículo 26 de la Ley 1581 de 2012. Para la transferencia de datos personales de los titulares, KFC tomará las medidas necesarias para que los terceros conozcan y se comprometan a observar la presente política, bajo el entendido que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente relacionados con KFC o los fines autorizados por el titular de manera expresa, y solamente mientras ésta autorización esté vigente. No podrá ser usada o destinada para propósito o fin diferente.
Adicionalmente, KFC verificará previamente si el país de destino cuenta con nivel adecuado de protección; de no existir, evaluará si la operación encaja en una excepción del artículo 26 de la Ley 1581 (p. ej., consentimiento expreso, ejecución de contrato, entre otras). Cuando no proceda excepción, KFC aplicará los estándares del Título V de la Circular Única de la SIC o gestionará la declaración de conformidad, según corresponda. Toda transmisión a encargados se formalizará mediante contrato que incorpore garantías de seguridad, confidencialidad y retorno/supresión.
Cuando la transferencia involucre procesos de transferencia de tecnología o el intercambio de datasets con datos personales, KFC realizará verificación preliminar de cumplimiento, aplicará responsabilidad demostrada y privacidad desde el diseño y por defecto, e incorporará garantías contractuales coherentes de conformidad con la normativa aplicable.
XX. MEDIDAS DE SEGURIDAD
KFC cuenta con medidas suficientes para garantizar la integridad, disponibilidad, confidencialidad y seguridad de la información personal recolectada y almacenada. De la mano con lo anterior, KFC vela porque las herramientas y los canales de almacenamiento, tratamiento, envío y uso de la información sean seguros. Por lo anterior, KFC se compromete al uso y tratamiento correcto de los datos personales, adoptando los controles que eviten el acceso no autorizado de terceros que permita conocer o vulnerar, modificar, divulgar y/o destruir la información que reposa en sus bases de datos.
KFC es consciente de la importancia de mantener la confidencialidad de los datos personales objeto de Tratamiento, por lo cual ha tomado y tomará las medidas necesarias para impedir su revelación, uso o acceso no autorizado o fraudulento y solo permite el acceso a los mismos a los colaboradores que en razón de sus funciones deben conocerlos, a quien autorice de manera expresa y documentada Titular o sus causahabientes, a las entidades de vigilancia y control, a las autoridades competentes o a los terceros que se contraten para realizar alguna de las actividades propias del Tratamiento y sujetas a las finalidades autorizadas.
Adicionalmente, KFC adopta medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean los que resulten necesarios y razonables, para llevar a cabo las finalidades informadas.
KFC mantendrá un procedimiento de gestión de incidentes con registro, análisis de causa raíz, medidas correctivas y notificación a la SIC y, cuando corresponda, a los titulares, conforme a la regulación aplicable.
XXI. AUTORIZACIÓN
Autorización para tratamiento de datos
Los obligados a cumplir esta Política deberán obtener de parte del titular su autorización previa, expresa e informada para recolectar y tratar sus datos personales. Esta obligación no es necesaria cuando se trate de datos de naturaleza pública.
Para obtener la autorización se deberán seguir las siguientes instrucciones:
En primer lugar, antes de que la persona autorice es necesario informarle de forma clara y expresa lo siguiente:
a. El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
b. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
c. Los derechos que le asisten como titular previstos en el artículo 8 de la Ley 1581 de 2012.
d. La identificación, dirección física o electrónica de KFC.
En segundo lugar, obtendrá el consentimiento del titular a través de cualquier medio que pueda ser objeto de consulta posterior, tal como la página web, formularios, formatos, actividades, concursos, presenciales o en redes sociales, PQR, mensajes de datos o Apps. Sobre el particular, KFC aclara que cuando la compra se hace por canales digitales en la parte inferior aparece un mensaje que indica que, al continuar con la compra acepta el tratamiento de política de datos personales y, en el call center antes de continuar el IVR, le indica al usuario que al continuar con la llamada acepta el tratamiento de datos personales. Así pues, en estos dos medios, la autorización ocurre inmediatamente al continuar con la compra en el canal digital o la llamada en los teléfonos de atención al cliente.
Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento. La autorización también podrá obtenerse a partir de conductas inequívocas del titular del dato que permitan concluir de manera razonable que éste otorgó su consentimiento para el tratamiento de su información. Dicha(s) conducta(s) debe(n) ser muy clara(s) de manera que no admita(n) duda o equivocación sobre la voluntad de autorizar el tratamiento.
Autorización para tratamiento de datos sensibles
Cuando se trate de la recolección de datos sensibles se deben cumplir los siguientes requisitos:
a) La autorización debe ser explícita.
b) Se debe informar al titular que no está obligado a autorizar el tratamiento de dicha información.
c) Se debe informar de forma explícita y previa al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.
d) Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
Los datos sensibles serán recolectados y tratados para las finalidades listadas en esta Política.
KFC se compromete a proteger la privacidad durante el procesamiento de sus datos personales identificables y sensibles. Cuando los titulares de la información autoricen de manera expresa el uso de datos sensibles, KFC hará uso de estos con especial cuidado y de conformidad con las reglas establecidas en la legislación de protección de datos y sus decretos reglamentarios.
Autorización de tratamiento de datos de niños, niñas y adolescentes (en adelante “NNA”)
Conforme con la normativa de protección de datos personales, la información personal de los niños, niñas y adolescentes se encuentra sujeta a una especial protección por parte de KFC. Esta información podrá ser tratada en el desarrollo de actividades sociales, promocionales, de investigación y de beneficios a los hijos de los colaboradores. La autorización del tratamiento debe ser otorgada previamente por el representante legal del menor, previo ejercicio del menor de su derecho a ser escuchado conforme a la razonable determinación de su nivel de madurez, autonomía y capacidad para entender el asunto. Cuando se trate de la recolección y tratamiento de datos de niños, niñas y adolescentes se deben cumplir los siguientes requisitos:
a) La autorización debe ser otorgada por personas que estén facultadas para representar los NNA. El representante de los NNA deberá garantizarles el derecho a ser escuchados y valorar su opinión del tratamiento teniendo en cuenta la madurez, autonomía y capacidad de los NNA para entender el asunto.
b) Se debe informar que es facultativo responder preguntas sobre datos de los NNA.
El tratamiento de este tipo especial de datos está supeditado al cumplimiento de las condiciones fijadas por la normativa de protección de datos personales, como las siguientes:
I. Asegurar que el tratamiento respete el interés superior, los derechos prevalentes y los derechos fundamentales de los niños, niñas y adolescentes.
II. Tratar exclusivamente datos que sean de naturaleza pública o que si se tratan datos privados o semiprivados se haga en los términos de la sentencia C-748 de 2011 de la Corte Constitucional.
III. Informar al menor y a su representante legal sobre los términos y condiciones de la respectiva actividad.
Para efectos de la autorización, el representante legal del niño, niña o adolescente podrá darla garantizando que en la medida de lo posible se escuchará al menor y su opinión será valorada teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto.
Finalmente, KFC conservará en un repositorio de evidencias la prueba de la autorización y su revocatoria; el titular podrá revocar por el mismo canal en que otorgó su consentimiento.
XXII. VIGENCIA
Esta Política fue elaborada en el año 2016, actualizada en el mes de diciembre de 2021 y nuevamente actualizada en poner fecha. Estará publicada en la página web: poner enlace y, entrará en vigencia a partir de poner fecha
Cualquier cambio en la situación de Tratamiento de los datos que implique un mayor alcance que el actualmente descrito se informará a través de la página web y/o de otros medios de contacto que resulten razonables. KFC llevará una trazabilidad de las fechas en las que se han realizado cambios de su alcance y de la fecha de su publicación.