Política de Privacidad
Política de Privacidad
Última Actualización: 6/09/2024
Política de Tratamiento de datos personales
CONTENIDO
1. INTRODUCCIÓN.
2. DEFINICIONES.
3. MARCO LEGAL.
4. PRINCIPIOS FUNDAMENTALES.
- Principio 1.
- Principio 2.
Datos del Cliente.
Datos de Colaboradores y Terceros.
- Principio 3.
Solicitud de autorización..
Derogación o revocatoria de autorización de tratamiento de datos personales.
- Principio 4.
- Principio 5.
Uso de Datos personales.
Retención de datos personales.
- Principio 6.
- Principio 7.
- Principio 8.
Derechos de los Titulares de los datos.
Procedimientos para que los titulares puedan ejercer sus derechos.
Área responsable de la protección de datos personales.
Responsabilidad demostrada frente al tratamiento de datos personales.
5. OBLIGACIÓN DE CUMPLIMIENTO.
6. NORMAS CORPORATIVAS VINCULANTES DE KPMG
7. FECHA DE ENTRADA EN VIGENCIA DE LA PRESENTE POLÍTICA Y PERIÓDO DE VIGENCIA DE LA BASE DE DATOS.
1. Introducción
KPMG toma seriamente la protección de datos personales y la confidencialidad de la información de sus clientes, clientes prospectivos, empleados, ex colaboradores, terceros o individuos que buscan trabajar con ella y ha desarrollado y adoptado esta Política de Tratamiento de datos personales para definir claramente su compromiso de proteger y respetar los derechos de los Titulares de los datos que se encuentran en su posesión y control. Esta política refleja requerimientos de la legislación colombiana y las responsabilidades profesionales en la manera en que realiza el tratamiento de los datos personales que requiere.
Las reglas de esta política aplican al tratamiento de cualquier información de carácter personal sobre la cual KPMG tenga posesión y control, ya sea en sus aplicativos de IT o almacenada en bases de datos u otros sistemas, inclusive archivos físicos.
Estas políticas son de obligatorio y estricto cumplimiento por parte de todos los colaboradores de KPMG, los terceros y terceros que obran en nombre de KPMG.
Todos los coboradores de KPMG deben observar y respetar estas políticas en el cumplimiento de sus funciones. En los casos en que no exista vínculo laboral, se deberá incluir una cláusula contractual para que quienes obren en nombre de KPMG se obliguen a cumplir estas políticas.
El incumplimiento de ésta originará sanciones de tipo laboral o responsabilidad contractual según sea el caso. Lo anterior sin perjuicio del deber de responder patrimonialmente por los daños y perjuicios que cause a los titulares de los datos o a KPMG por el incumplimiento de estas políticas o el indebido tratamiento de los datos personales.
Para todos los efectos, este documento hará las veces del manual interno de políticas y procedimientos así como las políticas de tratamiento de información a que se refiere los artículos 17 (literal k), 18 (literal f) y 25 (párrafo 2) de la ley 1581 de 2012.
Esta versión se ha hecho según la regulación colombiana de privacidad, según los requerimientos de la política Global de privacidad de KPMG, las instrucciones recibidas para la adopción internacional del IFDTA (sigla formada por las palabras del idioma inglés Inter Firm Data Transfer Agreement) y la aplicación en Colombia del Data Privacy Rider de KPMG International.
2. Definiciones
- KPMG: “Firma” para referirse a KPMG S.A.S. Identificada con el Nit. 860.000.846-4, KPMG ADVISORY, TAX & LEGAL S.A.S. Identificada con el Nit. 860.522.381-1., y KPMG SHARED SERVICES S.A.S. (Identificada con el Nit. 830.112.413-0), con domicilio principal en la Calle 90 No. 19C -74, de la ciudad de Bogotá D.C., Colombia, con número de teléfono +57 (1) 6188000 y correo electrónico CO-FMPrivacy@kpmg.com.
- KPMG Internacional: identifica conjuntamente a las siguientes entidades independientes incorporadas bajo las leyes de Inglaterra: KPMG International Limited y KPMG International Services Limited; junto con la entidad independiente incorporada bajo las leyes de Suiza denominada KPMG International Cooperative.
- Firmas KPMG: se refiere a KPMG Internacional y a cualquier firma miembro o sublicenciada de KPMG Internacional que esté debidamente autorizada para utilizar el nombre “KPMG” en el mundo.
- Datos personales o Información personal: identifica cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o que se puedan determinar, a partir de dicha información. Esto incluye datos personales de identificación, contacto, ubicación, socioeconómicos, académicos, historia laboral, de salud, entre otros, que pueden estar en medios impresos y electrónicos, como archivos, fotografías, videos, audios u otros formatos.
- Personal KPMG: Significa todos los socios, directores, funcionarios, empleados, contratista individuales y otro personal de una empresa de KPMG.
- Datos sensibles: hace referencia a aquellos datos privados y sensibles del Titular cuyo uso indebido puede generarle afectación a su intimidad o discriminación (tales como aquellos que revelen su origen racial o étnico, su orientación política, sus convicciones religiosas o filosóficas, su pertenencia a sindicatos, organizaciones sociales, de derechos humanos, su promoción de intereses de cualquier partido político, su promoción de derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y datos biométricos del Titular).
- Bases de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, bien sea que tales se realizan a través de medios automatizados o no, tales como recolección, grabación, organización, procesamiento, almacenamiento, adaptación, alteración, mantenimiento, recuperación, acceso, consulta, uso, circulación, actualización, transmisión y/o transferencia, diseminación, combinación, bloqueo o supresión.
- Titular: Individuo o persona natural cuyos datos personales sean objeto del tratamiento.
- Individuo: identifica cualquier persona natural identificada o identificable; una persona natural identificable es una persona que pueda ser identificada, directa o indirectamente, mediante datos tales como un número de identificación o uno o más factores específicos a la persona tales como su identidad física, fisiológica, mental, económica, cultural o social.
- Encargado del Tratamiento (Processor): Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento, quien instruye la forma en que deben tratarse los datos personales. Por lo general, las Firmas KPMG son Encargados sobre datos personales de clientes, en casos en que estas sólo se encuentren facultadas para usar tales datos personales para ejecutar los servicios.
- Responsable del Tratamiento (Controller): Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre los propósitos y medios a través de los cuales los datos personales (incluyendo bases de datos) son tratados. Las Firmas KPMG tienden a ser Responsables en relación con todos los datos de sus empleados.
- Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
- Acuerdo de transferencia de datos entre Firmas KPMG (IFDTA) hace referencia a los acuerdos aplicables celebrados entre las empresas de KPMG que establecen los términos en los que se realizarán las transferencias internacionales de datos personales dentro de la red de empresas de KPMG.
- Data Privacy Rider (DPR): Son términos contractuales diseñados por KPMGI para incluirse en los acuerdos con proveedores donde se transfieran datos personales internacionalmente.
3. Marco legal
- Constitución Política de la República de Colombia, artículo 15
- Ley 1581 de 2012
- Decreto reglamentario 1377 de 2013
- Decreto reglamentario 886 de 2014
- Decreto reglamentario 1074 de 2015
4. Principios Fundamentales
Para dar cumplimiento a lo previsto en la Ley 1581 de 2012 y el Decreto reglamentario 1377 de 2013, KPMG ha definido los siguientes principios fundamentales para el tratamiento de datos Personales:
Principio 1
KPMG es responsable por los datos personales que estén en su poder.
KPMG es responsable por todos los datos personales que estén en su poder o control, esto incluye cualquier dato personal que reciba directamente como “Responsable del Tratamiento”, por ejemplo de clientes individuales, clientes prospectivos individuales, colaboradores, terceros o personas que busquen trabajar con ella y como “Encargado del Tratamiento” de los datos personales que pueda recibir de manera indirecta, por ejemplo, a través de clientes corporativos o del sector gobierno. Teniendo en cuenta lo anterior, se establecieron políticas, manuales y procedimientos orientados a proteger los datos personales y se designó un responsable de estos temas. KPMG realiza entrenamientos a sus colaboradores y terceros sobre su política de tratamiento de datos personales, manual de tratamiento de datos personales y su rol en la protección de datos personales. Si usted tiene preguntas de las prácticas de protección de datos personales de KPMG, por favor contáctenos en CO-FMPrivacy@kpmg.com.
Para efectos de identificar a KPMG como Responsable de la información, se relacionan los datos de contacto:
Razón Social y NIT: KPMG S.A.S. (Identificada con el Nit. 860.000.846-4), KPMG ADVISORY, TAX & LEGAL S.A.S. (Identificada con el Nit. 860.522.381-1.), y KPMG SHARED SERVICES S.A.S. (Identificada con el Nit. 830.112.413-0).
Dirección y Domicilio: calle 90 # 19C -74, Oficina Principal, Bogotá D.C.
Correo electrónico: CO-FMPrivacy@kpmg.com
Teléfono: +57 (1) 6188000 ext 1417 Bogotá.
Principio 2
KPMG informará de manera previa y expresa la finalidad de la recolección de sus datos personales
Cuando KPMG recolecta datos personales, debe informar la razón por la cual son requeridos dichos datos, cuál será el objeto de tratamiento y con quién serán compartidos. La recolección podrá ocurrir sin conocimiento o consentimiento únicamente si es permitido por la ley, como se menciona en el Principio 5 del presente documento.
Datos del Cliente
KPMG podrá realizar el tratamiento de datos personales acerca de sus clientes, solo para los propósitos de prestación de servicios profesionales. Cada contrato establecido con nuestro clientes incluye una explicación del motivo por el cual KPMG requiere los datos personales, qué uso les dará, por cuánto tiempo serán retenidos y con quién podrán ser compartidos, para proveer sus servicios profesionales.
Los datos personales de los clientes también pueden ser compartidos internamente y con otras Firmas KPMG con el propósito de determinar el cumplimiento de los estándares profesionales aplicables, políticas internas de KPMG o en el desarrollo de revisiones de calidad., los datos personales podrán ser compartidos con los otros colaboradores de KPMG para que puedan ser utilizados en la ejecución de los respectivos servicios.
KPMG también puede realizar tratamiento de los datos personales de sus clientes actuales, clientes prospectivos o clientes con los cuales haya finalizado su relación contractual, con el objetivo de enviarles información comercial como noticias, actualizaciones o invitaciones a eventos realizados o patrocinados por KPMG.
Los datos personales también pueden ser compartidos internamente con otras firmas miembro de KPMG internacional con el fin de ofrecer servicios o productos que pueden ser del interés de sus clientes.
Cuando KPMG deja de actuar en nombre de un cliente, (a opción del cliente) devolverá, destruirá o continuará protegiendo adecuadamente todos los datos personales que haya recibido de ese cliente
Datos de Colaboradores y Terceros
KPMG realiza el tratamiento de datos personales de sus colaboradores y terceros con el objetivo de realizar pagos de nómina, adquirir productos o servicios, cumplir con la ley, proveerles beneficios, evaluar su desempeño, mejorar los programas de entrenamiento, relacionarse con los colaboradores, disponer de la información para los fines que requiera la gestión del negocio, hacer mejoras en políticas, así como también para establecer, gestionar o terminar las relaciones contractuales. En ciertos casos, KPMG también puede consolidar los datos personales de sus colaboradores y terceros con el objetivo de proveer las métricas de negocio y evaluar la efectividad de los programas de People, Performance & Culture (Proceso de gestión del recurso humano); en estos casos, la información consolidada no debe permitir la identificación de ningún individuo. Adicionalmente, KPMG podrá recolectar datos personales de individuos que busquen trabajar para ella y deberán ser informados del propósito por el cual sus datos personales están siento recolectados.
KPMG también puede transmitir o transferir datos personales de sus colaboradores o terceros en el curso de una investigación, una negociación, financiación, venta o cualquier otra transacción que involucre la totalidad o parte de su negocio.
Principio 3
KPMG podrá recolectar, utilizar o compartir sus datos personales únicamente con su consentimiento previo, expreso e informado.
En general, es nuestra intención recolectar únicamente los datos personales entregados voluntariamente por nuestros clientes, colaboradores, terceros o personas que buscan trabajar con nosotros, de tal manera que sea posible ofrecerles información y/o servicios a estos individuos u ofrecer información acerca de oportunidades laborales.
KPMG obtiene los datos personales sobre clientes, colaboradores, terceros o personas que buscan trabajar con nosotros si ellos autorizan proveerla por ejemplo, enviándola a buzones de correo o registrándose para ciertos servicios. En algunos casos, ellos pueden haber entregado sus datos personales previamente a la expedición del decreto reglamentario 1377 de 2013 a KPMG. Al entregarnos o enviarnos cualquier dato personal, los Titulares aceptan que utilicemos esta información de acuerdo a lo establecido en esta Política de Tratamiento de datos personales. Los datos personales no serán utilizados para otros propósitos, a menos que obtengamos el consentimiento previo, expreso e informado del Titular, o a menos que sea requerido o esté permitido por la ley o por los estándares profesionales.
KPMG no vende datos personales a terceras partes, así mismo, KPMG no transferirá a terceras partes los datos personales que usted le entrega para que sean usados en propósitos directos de mercadeo.
Solicitud de autorización
Datos personales de clientes
Los términos y condiciones con los cuales KPMG brinda sus servicios profesionales se encuentran documentados en cada uno de los contratos que tenemos con nuestros clientes. Estos términos y condiciones incluyen una descripción de cómo KPMG podrá dar tratamiento a sus datos personales. Cuando el cliente firma este contrato, estará dando su consentimiento previo, expreso e informado para que KPMG realice el tratamiento de dichos datos.
Datos personales de colaboradores y terceros
Los formularios y solicitudes utilizados para proveer servicios relacionados con People, Performance & Culture (Proceso de gestión del recurso humano) a terceros y colaboradores, deben describir el propósito por el cual los datos personales son requeridos, con quien podrán ser compartidos y por cuánto tiempo serán retenidos.
Los candidatos potenciales para trabajar con KPMG deberán ser informados del motivo por el cual sus datos personales son requeridos, con quién podrán ser compartidos y por cuánto tiempo serán retenidos.
Video vigilancia
- KPMG utiliza diversos medios de video vigilancia instalados en diferentes sitios internos y externos de nuestras instalaciones u oficinas.
- KPMG informa sobre la existencia de estos mecanismos mediante la difusión en sitios visibles de anuncios de video vigilancia.
- La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autorizad y organización.
Derogación o revocatoria de autorización de tratamiento de datos personales
Los clientes de KPMG siempre tienen la opción de no proveer su autorización para el tratamiento de datos personales, o de retirar su autorización posteriormente. Cuando un cliente decide no autorizarnos para realizar el tratamiento de sus datos personales, puede que no contemos con la información suficiente para seguir prestando nuestros servicios a ese cliente.
Cuando un socio, empleado o individuo que busque vincularse laboralmente con KPMG, decide no darnos su autorización para realizar el tratamiento de sus datos personales, puede que no podamos emplearlo, continuar con la relación contractual o proveerle beneficios.
Principio 4
Límites a la cantidad y tipo de datos personales que KPMG en Colombia puede recolectar
KPMG limitará la recolección y el manejo de datos de carácter personal al mínimo razonablemente requerido para proveer sus servicios y operar su negocio.
En los casos en los cuales se requiera información adicional, usted será notificado de esta situación al momento de su recolección.
KPMG entiende la importancia de la protección de datos personales de los niños, niñas y adolescentes. No se recolecta o mantiene información acerca de cualquier persona menor de 18 años, excepto cuando sea parte de un contrato para proveer servicios profesionales o se tenga la autorización previa, expresa e informada por parte del representante legal o tutor.
KPMG evitará el tratamiento de datos sensibles realizándolo únicamente cuando sea absolutamente necesario y cuando los individuos involucrados nos den su autorización explícita e informada y nos provean voluntariamente los datos o cuando dichos datos sean requeridos o permitidos para ser tratados por ley o estándares profesionales.
Por favor, utilice su discreción cuando entregue datos sensibles a KPMG, y en ninguna circunstancia, provea datos sensibles a KPMG, a menos que usted dé su consentimiento para el uso que KPMG puede dar a estos datos para sus propósitos legítimos de negocio y acepte la transferencia y/o transmisión y almacenamiento de este tipo de información en las bases datos de KPMG. Si usted tiene alguna duda respecto a si la entrega de datos “sensibles” a KPMG es, o puede ser, necesaria o apropiada para algún propósito específico, por favor contacte a KPMG en la dirección de correo electrónico CO-FMPrivacy@kpmg.com.
Principio 5
KPMG podrá utilizar y compartir sus datos personales únicamente para los propósitos para los cuales tiene su autorización.
KPMG informará a sus clientes, clientes prospectivos, empleados, ex colaboradores, terceros o individuos que buscan trabajar con ella, los propósitos para los cuales se está recopilando y tratando los datos personales, manteniéndola solo por el periodo de tiempo definido para cumplir dichos propósitos.
KPMG no distribuye ni comparte datos personales con terceras partes no relacionadas con KPMG, excepto cuando sea legítimamente necesario por nuestros requerimientos profesionales o de negocio, para poder atender sus requerimientos, y/o cuando sea requerido, permitido por la ley o por los estándares profesionales.
En algunos casos, KPMG también puede compartir datos personales sobre usted con algunas compañías externas, proveedores de servicios o terceros que trabajan en nuestro nombre para ayudarnos a cumplir con sus requerimientos.
Adicionalmente, KPMG puede transferir o trasmitir datos personales a través de fronteras geográficas a otras Firmas KPMG, a compañías extranjeras que estén trabajando con nosotros o en nuestro nombre. Por consiguiente, KPMG puede almacenar datos personales en una jurisdicción diferente en la cual usted se encuentre ubicado. Cuando usted entrega sus datos personales a KPMG, usted está dando su consentimiento a esta transferencia y/o transmisión y almacenamiento de sus datos fuera de las fronteras del país, dentro de los límites de las finalidades autorizadas por usted, la Ley y los fines legítimos del negocio.
KPMG cuenta con sistemas y aplicaciones que son parte de los entornos compartidos de comunicaciones electrónicas, gestión del conocimiento y tecnología de la información de las firmas miembro de KPMG y se utilizan para compartir datos personales entre firmas miembro de KPMG en la medida permitida por la ley y los estándares profesionales aplicables.
Uso de Datos personales
Si KPMG requiere utilizar sus datos personales para cualquier propósito diferente al que usted ha autorizado inicialmente, deberá obtener su consentimiento previo, expreso e inequívoco antes de realizar dicho tratamiento.
Sin embargo, de acuerdo al artículo 10 de la ley 1581 de 2012, KPMG podrá utilizar su información personal sin su consentimiento cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por origen judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las personas.
Retención de datos personales
En cumplimiento de los estándares profesionales, KPMG conserva documentación del trabajo realizado por colaboradores y terceros. Estos documentos, o “papeles de trabajo”, pueden incluir datos personales y serán retenidos por un tiempo razonable hasta que dichos papeles no sean requeridos para propósitos legales, administrativos, de auditoría o regulatorios. Los papeles de trabajo se encuentran protegidos contra acceso inapropiado, tal como se detalla en el Principio 7 del presente documento.
KPMG en cumplimiento con la ley y los estándares de contratación, retiene datos personales sobre terceros y colaboradores durante y después de terminar la relación contractual. KPMG destruirá los archivos que conserva People, Performance & Culture (Proceso de gestión del recurso humano) y cualquier otro archivo que contenga datos personales de terceros o colaboradores cuando dicha información no sea razonablemente requerida para dar cumplimiento a requerimientos legales, administrativos, de auditoría o regulatorios. KPMG también retiene información de contacto de los individuos con el objeto de enviar noticias, actualizaciones de información, encuestas, estudios, invitaciones a eventos realizados y/o actividades relacionadas con eventos patrocinados por KPMG después de terminada su relación contractual; a no ser que dicho individuo, en cualquier momento, manifieste lo contrario de manera directa, expresa, inequívoca y escrita enviando un correo electrónico a CO-FMPrivacy@kpmg.com.
Los datos personales recolectados por medios físicos o electrónicos sobre individuos que buscan trabajar con KPMG serán retenidos por KPMG durante un periodo de dos (2) años para que la Firma pueda contactarlos sobre cargos que puedan ser de su interés. Si el candidato es contratado, los datos personales recolectados en el proceso de selección serán retenidos con el fin de establecer, manejar o terminar la relación contractual.
KPMG solo retendrá información personal durante dos años después de la terminación de la relación con el cliente, excepto si los datos personales son sujetos a cualquier requisito para retener información para cumplir con cualquier ley, regulación, requisito profesional o estándar industrial aplicable y según los tiempos definidos en las tablas de retención de documentos de los procesos internos y de las líneas de negocio de KPMG.
Principio 6
KPMG realizará su mejor esfuerzo para mantener actualizados los datos personales en su posesión o control
Con el objetivo de proveer a nuestros clientes con niveles adecuados de servicios profesionales y a nuestros terceros y colaboradores con los beneficios apropiados, los datos personales que recopila KPMG deben ser exactos, completos y actualizados. En consecuencia, KPMG podrá solicitar a sus clientes, teceros y colaboradores que actualicen sus datos personales.
Para modificaciones o actualizaciones de datos personales, los clientes pueden contactar al socio a cargo del encargo o Estrategia, Clientes & Mercados; de igual forma, los colaboradores, o los individuos que busquen trabajar con KPMG, pueden contactar al área de People, Performance & Culture (Proceso de gestión del recurso humano); o los titulares de datos también pueden enviar sus requerimientos al correo electrónico CO-FMPrivacy@kpmg.com.
Principio 7
KPMG en Colombia protege sus datos personales con medidas de protección apropiadas a la sensibilidad de la información
KPMG protege los datos personales usando instalaciones físicas seguras, herramientas y prácticas de seguridad estándares en la industria, así como políticas y prácticas internas claramente definidas que pueden incluir procesos automáticos de tratamiento de información personal. KPMG ha implementado medidas de seguridad técnicas, físicas y organizativas con el fin de proteger los datos personales bajo su responsabilidad y control, contra pérdida, mal uso o alteración. KPMG implementan la protección de datos tomando medidas apropiadas, incluido el diseño de tecnología para proteger los datos personales contra destrucción accidental o ilegal, es decir: pérdida, alteración, divulgación o acceso no autorizado. Los datos personales están almacenados en ambientes seguros que no están disponibles al público (ejemplo: áreas con acceso restringido, oficinas cerradas y archivadores). Para prevenir el acceso electrónico no autorizado a datos personales, cualquier información que es almacenada de forma electrónica se encuentra protegida en un ambiente electrónico y físico seguro.
KPMG es Responsable por todos los datos personales transmitidos a terceros Encargados de su tratamiento y requiere que cada uno de estos terceros firme un contrato en el cual acepta respetar la confidencialidad de los datos personales, cumplir con los requerimientos definidos por la legislación colombiana, los requerimientos derivados de las políticas de privacidad y seguridad de la información de la Firma.
Se prohíbe a los Encargados del tratamiento de la información utilizar los datos personales entregados por KPMG para propósitos diferentes a los especificados en su contrato con la Firma.
En algunas circunstancias, los datos personales pueden ser procesados fuera de Colombia por una de las Firmas KPMG o por un tercero. Por lo tanto, dichos datos personales pueden estar sujetos a revelación, de acuerdo con la legislación aplicable del país en la cual la información es procesada o almacenada. Puede que en ciertas ocasiones estas leyes no tengan los mismos niveles de protección que las leyes de protección de datos personales existentes en Colombia. En ese evento, KPMG obtendrá previa autorización de su Titular para el tratamiento de sus datos personales bajo este supuesto, y mantendrá mecanismos idóneos que permitan resguardar la seguridad, privacidad y confidencialidad de los datos personales.
Principio 8
KPMG será transparente respecto a los procesos que utiliza para manejar sus datos personales
Los titulares de los datos personales tienen el derecho de conocer, en cualquier momento y sin restricciones, información acerca de la existencia de datos personales sobre los cuales KPMG esté realizando tratamiento.
Para obtener esta información, los clientes deberán contactar al socio a cargo de su contrato, los terceros y colaboradores deberán contactar al Departamento de People, Performance & Culture (Proceso de gestión del recurso humano) de la Firma, copiando al buzón CO-FMPrivacy@kpmg.com. En cualquier otro caso, el Titular podrá solicitar dicha información de manera directa, expresa, inequívoca y por escrito enviado un correo electrónico al buzón CO-FMPrivacy@kpmg.com.
Los titulares de los datos personales podrán ejercer sus derechos para acceder, conocer, modificar, actualizar, rectificar o suprimir su información, así como para revocar su autorización para el tratamiento de la misma. Estos derechos podrán ser ejercidos, conforme a las disposiciones legales y de acuerdo a la Política de Privacidad de KPMG, enviando un correo electrónico a CO-FMPrivacy@kpmg.com en el cual se informe demanera directa, expresa e inequívoca el requerimiento del Titular.
KPMG puede modificar estas políticas para reflejar sus prácticas actuales de manejo de protección de datos personales. Cuando realicemos cambios a esta declaración, se actualizará el campo de fecha “última actualización” al inicio de este documento. KPMG lo invita a revisar periódicamente esta declaración de privacidad para mantenerse informado de la manera en que KPMG está protegiendo sus datos personales.
KPMG está comprometido con proteger la privacidad de sus datos personales. Si usted tiene alguna duda o comentarios sobre la forma en que administramos sus datos personales, por favor contáctenos en CO- MPrivacy@kpmg.com. También puede utilizar esta dirección para informarnos de cualquier preocupación que pueda tener con respecto al cumplimiento de nuestra Política de Privacidad.
Derechos de los Titulares de los datos
Las personas obligadas a cumplir estas políticas deben respetar y garantizar los siguientes derechos de los titulares de los datos:
- Conocer, actualizar y rectificar los datos personales. Para el efecto es necesario establecer preventivamente la identificación de la persona para evitar que terceros no autorizados acceder a los datos del titular del dato.
- Obtener copia de la autorización.
- Informar sobre el uso que KPMG ha dado o está dando a los datos personales del titular.
- Dar trámite a las consultas y reclamos siguiendo las pautas establecidas en la ley y en la presente política.
- Acceder a la solicitud de revocatoria de la autorización y/o supresión del dato personal cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento por parte de KPMG se ha incurrido en conductas contrarias a la ley 1581 de 2012 o a la Constitución.
- El Titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber Legal o contractual que le imponga el deber de permanecer en la base de datos o archivo del Responsable o Encargado. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de pertenecer en la base de datos del Responsable o Encargado.
- Acceder de forma gratuita a sus datos personales, la información solicitada por el titular podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo aquella que repose la base de datos.
Procedimientos para que los titulares puedan ejercer sus derechos
A continuación, se detallan los procedimientos para que los titulares de los datos puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información o revocar la autorización.
Para efectos de consulta y reclamos en conformidad con el artículo 20 del decreto 1377 del 2013, el titular del dato debe acreditar sus datos de identificación como:
a. Nombres completos y apellidos
b. Tipo y número de identificación
c. Teléfono de contacto
d. Correo electrónico
e. Brindar la información necesaria para tramitar su solicitud. En caso de que sea un reclamo, debe adjuntar los documentos que desea valer, soportar o probar dicha solicitud.
f. Acompañamiento de los documentos que el titular o causahabiente quiere hacer valer.
Los derechos de los niños, niñas y adolescentes se ejercerán por las personas que estén facultadas para representarlos.
Canales habilitados para el ejercicio de los Derechos de Habeas Data
Todas las consultas y reclamos se canalizarán a través del correo electrónico co-fmprivacy@kpmg.com
Estas son las pautas para atender consultas y reclamos:
- Consultas
Todas las consultas que realicen las personas legitimadas para conocer los datos personales que reposen en KPMG se canalizarán a través de los canales que tiene KPMG para el efecto. En todo caso es necesario dejar prueba de lo siguiente
- Fecha de recibo de la consulta
- Identidad del solicitante
Una vez identificada la identidad del Titular, se le suministrarán los datos personales requeridos. La respuesta a la consulta deberá comunicarse al solicitante en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.
Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
- Reclamos
Los reclamos tienen por objeto corregir, actualizar, o suprimir datos o elevar una queja por el presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2012 y en esta política.
El reclamo debe presentarse mediante solicitud dirigida a KPMG, la cual debe contener la siguiente información:
a. Nombre e identificación del titular del dato o la persona legitimada.
b. Descripción precisa y completa de los hechos que dan lugar al reclamo.
c. Dirección física o electrónica para remitir la respuesta e informar sobre el estado del trámite.
d. Documentos y demás pruebas pertinentes que quiera hacer valer.
Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
Si el reclamo está completo, se incluirá en la base de datos o sistema de información una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Ésta deberá mantenerse hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Área responsable de la protección de datos personales
El área de Privacidad de Datos Personales, adscrita al Departamento de Administración de Calidad y Riesgos, es la dependencia encargada de la función de protección de datos la cual se puede contactar a través del correo electrónico co-fmprivacy@kpmg.com, al domicilio principal en la calle 90 # 19C -74, piso 7, de Bogotá D.C. o al número telefónico 57 (1) 6188000, Ext. 1417, en Bogotá.
Responsabilidad demostrada frente al tratamiento de datos personales
KPMG adopta las medidas necesarias para, de ser necesario, demostrar ante la Superintendencia de Industria y Comercio (SIC) que ha implementado medidas apropiadas y efectivas para cumplir con sus obligaciones legales en todo lo relacionado con el tratamiento de datos personales. Dichas medidas serán consistentes con las instrucciones de la SIC y los mandatos de los artículos 26 y 27 del decreto 1377 de 2013.
5. Obligación de Cumplimiento
Las políticas de privacidad de la información son de obligatorio cumplimiento para todos los colaboradores y terceros de KPMG en Colombia, sin importar su función o línea de negocio. Cualquier incumplimiento de esta Política o uso no autorizado de los datos personales puede generar una acción disciplinaria por parte de la Firma al infractor y puede llegar incluso a la terminación de su contrato, y a las penalidades civiles, penales y administrativas a que haya lugar. Todos los colaboradores y terceros están obligados a continuar protegiendo la información de KPMG después de terminar su relación contractual con la Firma.
Cada área funcional dentro la Firma deberá adoptar las medidas necesarias para cumplir con los principios y obligaciones establecidos en el presente documento e implementar los mecanismos necesarios para evidenciar dicho cumplimiento, tanto ante los interesados como ante las autoridades de supervisión.
En especial los colaboradores y terceros de KPMG en Colombia siempre deben:
- Realizar esfuerzos razonables para limitar el manejo de datos de carácter personal al mínimo necesario.
- Orientarse por el respeto a los derechos y libertades de las personas, sin mostrar discriminación.
- Tomar precauciones razonables para proteger la información personal contra su uso para fines erróneos y revelación inadvertida.
6. Normas corporativas vinculantes de KPMG
KPMG ha asegurado el cumplimiento de algunas de sus obligaciones legales en relación con su información personal en algunos países mediante la creación de un conjunto de compromisos legalmente conocidos como "normas corporativas vinculantes". Varios reguladores nacionales de privacidad han aprobado estas "normas corporativas vinculantes". A pesar de que KPMG no es un solo grupo corporativo, utilizamos el término "normas corporativas vinculantes", ya que este es el término establecido en la legislación europea para describir estos compromisos de las obligaciones legales. KPMG y sus Firmas Miembro firman un acuerdo que los obliga a cumplir con las normas corporativas vinculantes y ciertos elementos relacionados. KPMG ha elegido esta ruta voluntariamente y, al hacerlo, ha creado un conjunto de derechos exigibles para individuos, clientes y reguladores. Puede encontrar más información revisando nuestro aviso BCR que está disponible en este enlace
7. Fecha de entrada en vigencia de la presente política y período de vigencia de la base de datos
Esta política fue aprobada luego de la expedición de la ley 1581 de 2012 y modificada para incorporar algunos aspectos que se establecieron en los decretos 1377 de 2013, 886 de 2014 y 1074 de 2015, razón por la cual la versión 12 entra en vigencia desde el 06 de septiembre de 2024.
La vigencia de la base de datos será el tiempo razonable y necesario para cumplir las finalidades del tratamiento, según lo dispuesto en el artículo 11 del decreto 1377 de 2013.