SSH S.A. se identifica como responsable en el tratamiento de datos siguiendo los lineamientos de la Ley 1581 de 2012, cuando estos son entregados por parte de alguna parte interesada como parte de alguna actividad, negocio o proceso. SSH S.A decide definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados con la misión, visión y funciones de la compañía. SSH S.A. se compromete a salvaguardar la información que genera en la ejecución de sus funciones o la que le es entregada en custodia por usuarios dentro de la ejecución de los trámites de la compañía, identificando y mitigando los riesgos asociados mediante la definición de lineamientos y directrices a las dependencias, funcionarios, contratistas, practicantes y todo aquel que tenga interacción con esta información y la utilización físicamente o a través de equipos, plataformas o sistemas de información dispuestos para su gestión y resguardo. Toda la información que es generada por los funcionarios, contratistas y practicantes de SSH S.A. en beneficio y desarrollo de las actividades propias de la compañía es propiedad de SSH S.A., a menos que se acuerde lo contrario en los contratos escritos y autorizados. Esto también incluye la información que pueda ser adquirida o cedida a la compañía de parte de entidades o fuentes externas de información que sean contratadas o que tengan alguna relación con la compañía. SSH S.A. protege la información creada, procesada, transmitida o resguardada por los procesos de su competencia, su infraestructura tecnológica y activos, del riesgo que se genera con los accesos otorgados a terceros (ej.: contratistas, proveedores o clientes), o como resultado de servicios internos en outsourcing. Las responsabilidades frente a la seguridad de la información de la compañía son definidas, compartidas, publicadas y deberán ser aceptadas por cada uno de los funcionarios, contratistas o practicantes de la compañía. Como parte de esta política SSH S.A, establece las siguientes directrices frente al tratamiento de los datos personales: • Cumplir con toda la normatividad legal vigente colombiana que dicte disposiciones para la protección de datos personales. • A través de los colaboradores que hacen parte de la Gerencia General, Gerencia de Proyectos, Gerencia Comercial, Gerencia de Talento Humano, o a través de contratistas o mandatarios encargados, realizar el tratamiento apropiado de datos personales de: empleados, clientes, contratistas y subcontratistas, empleados de sus contratistas y subcontratistas, proveedores entre otros. • SSH S.A, en calidad de responsable del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales.
La Ley 1581 de 2012 establece que los Titulares de los datos personales tendrán los siguientes derechos: • Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. • Solicitar prueba de la autorización otorgada al responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la citada ley. • Ser informado por el responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que se les ha dado a sus datos personales. • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la citada ley y las demás normas que la modifiquen, adicionen o complementen. • Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución. • Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. • Adicionalmente, el Decreto reglamentario 1377 de 2013 define que los responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.