2.1. OBJETO 

La presente política se expide para determinar los parámetros bajo los cuales deben tratarse y administrarse todos los datos personales de personas naturales que suministran y constituyen las bases de datos personales de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL, así como las bases de datos de terceros y que son administradas por la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL en desarrollo de su objeto social.

Esta política permite, de cara al manual de políticas institucionales que la adopta, instrumentar los procedimientos de recolección y tratamiento de datos personales a las disposiciones de la ley. El manual pretende generar un esquema organizado para salvaguardar los datos privados, semiprivados, públicos y sensibles de sus titulares.

La presente política debe ser conocida y aplicada por todos los servidores públicos y dependencias de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL, así como por la ciudadanía en general y contratistas independientes de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL, especialmente por aquellos que sean encargados del tratamiento de los datos personales y administración de las bases de datos de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL.

Las políticas y procedimientos contenidos en el presente documento aplican a las bases de datos que maneja la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL y serán registradas de conformidad con lo dispuesto en la ley.

Esta política debe ser presentada y dispuesta en la sede electrónica de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL (www.hospitalmua.gov.co) y en sus sitios oficiales para su fácil consulta y acceso por parte del público en general. Lo anterior, sin perjuicio que otras entidades, filiales o subsidiarias publiquen la presente política previo consentimiento por parte de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL. 

El conjunto de normas que regula el tratamiento de datos personales es el siguiente: 

• Constitución Política, artículo 15.
• Ley 1266 de 2008.
• Ley 1581 de 2012.
• Ley 1712 de 2014.
• Decretos Reglamentario 1727 de 2009.
• Decretos Reglamentario 2952 de 2010.
• Decreto Reglamentario 1377 de 2013. 
• Sentencias C-1011 de 2008, C-748 del 2011 y C-131 de 2014 de la Corte Constitucional, entre otras.

Para efectos de la presente política, la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL será el responsable del tratamiento de los datos personales y las bases de datos. Cualquier tipo de solicitud producto del ejercicio de los deberes y derechos consagrados en esta política podrá comunicarse con nosotros presencialmente en la taquilla de archivo o al correo: protecciondedatos@hospitalmua.gov.co​.

El tratamiento de los datos personales se deberá hacer en los términos y alcances de la autorización entregada por el titular o en aplicación de las normas especiales cuando proceda alguna excepción legal para hacerlo.

Para efectos del presente manual, será designado como oficial de tratamiento de datos, el área de gestión de la información y en su nombre quien ocupe el cargo de Jefe de Oficina de Gestión de la Información. Las áreas y dependencias que supervisen o actúen en calidad de interventores de contratos que se suscriban con terceros que requieran del uso de las bases de datos de la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL para el cumplimiento de sus labores, serán denominados servidores públicos del tratamiento, y se obligan, junto con los terceros contratistas, a aceptar la política y las instrucciones y procedimientos que se impartan para su adecuado cumplimiento, garantizando como mínimo lo señalado en la Ley 1581 de 2012 y las normas complementarias o que la regulan. Se exigirá al personal vinculado a los terceros contratistas el conocimiento de los deberes que deben cumplir. 

Dentro de las funciones del oficial del tratamiento de los datos está el nombramiento de una persona al interior de la entidad que cumpla con las siguientes funciones:

• Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
• Coordinar la definición e implementación de controles del Modelo de Seguridad y Privacidad de la Información.
• Servir de enlace y coordinador con las demás áreas de la E.S.E. para asegurar una implementación transversal del Modelo de Seguridad y Privacidad de la información.
• Impulsar una cultura de protección de datos dentro de la E.S.E.
• Mantener un inventario de las bases de datos personales en poder de la E.S.E. y clasificarlas según su tipo.
• Registrar las bases de datos de la E.S.E. en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio (SIC).
• Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
• Revisar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con Encargados no residentes en Colombia.
• Analizar las responsabilidades de cada cargo de la E.S.E., de cara a los registros de activos de información, para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos.
• Realizar un entrenamiento general en protección de datos personales para todos los servidores públicos de la E.S.E.
• Realizar el entrenamiento necesario a los nuevos servidores públicos que tengan acceso, por las condiciones de su puesto de trabajo y/o manual de funciones, a datos gestionados por la E.S.E.
• Integrar la política de tratamiento y protección de datos dentro de las actividades de las demás áreas de la E.S.E. (talento humano, seguridad, call centers y gestión de proveedores, etc.).
• Medir la participación y calificar el desempeño en los entrenamientos de protección de datos.
• Requerir que, dentro de los análisis de desempeño de los servidores públicos, se encuentre haber completado satisfactoriamente el entrenamiento sobre protección de datos personales.
• Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de sus políticas de tratamiento y protección de la información personal.
• Acompañar y asistir a la E.S.E. en la atención de las visitas y los requerimientos que realice la Superintendencia de Industria y Comercio.
• Realizar seguimiento al Programa Integral de Gestión de Datos Personales.​

La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL solicitará a los titulares su autorización para el tratamiento de sus datos personales, con excepción de los casos normativos dispuestos en la Ley 1581 de 2012 (o la norma que modifique, sustituya o derogue). Para ello se tendrá en cuenta, que:

• El titular tiene la potestad de autorizar su tratamiento.
• Su autorización debe ser previa, expresa y libre de vicios en el consentimiento.
• La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL informará al titular de los datos el uso o finalidad y este será el uso que la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL como responsable del Tratamiento podrá hacer de los datos personales, y en el mismo sentido los Encargados de aquel.

La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL aplicará las mejores prácticas para la confiabilidad, discreción y confidencialidad de los datos personales de los titulares. Verificará cuando corresponda, la procedencia de las excepciones legales para entregar los datos personales a las autoridades y en los casos pertinentes.​

La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL obtendrá la autorización mediante diferentes medios, entre ellos el documento físico, electrónico, mensaje de datos, Internet, historia clínica, sitios Web, o en cualquier otro formato que en todo caso permita la obtención del consentimiento mediante conductas inequívocas. La autorización será solicitada por la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL de manera previa al tratamiento de los datos personales.

El tratamiento de los datos de los titulares con los cuales la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL tuviere establecida o estableciera una relación, permanente u ocasional, lo realizará en el marco legal que regula la materia y serán todos los necesarios para el cumplimiento de su objeto social. En todo caso, los datos personales podrán ser recolectados y tratados para: 

En el tratamiento de datos personales se asegurará el respeto a los derechos prevalentes de los menores (niños, niñas, púberes, impúberes y adolescentes). En caso de recaudarlos debe darse cumplimiento a lo señalado en el artículo 7 de la Ley 1581 de 2012 (o la norma que la reglamente, modifique, sustituya o derogue). Queda proscrito el tratamiento de datos personales de menores, salvo aquellos datos que sean de naturaleza pública, y en este caso el tratamiento deberá cumplir con los siguientes parámetros:

• Responder y respetar el interés superior de los menores.
• Asegurar el respeto de los derechos fundamentales de los menores.
• Tratar los datos que comporten una naturaleza efímera incipiente y que no tengan una naturaleza privada, semiprivada o sensible.

La presente política rige a partir de la fecha de su publicación y deja sin efectos las demás disposiciones institucionales que le sean contrarias. Lo no previsto en el presente manual se reglamentará de acuerdo al Régimen General de Protección de Datos Personales vigente en Colombia.

El titular de los datos personales, deberá mantener actualizada su información y garantizar, en todo momento a la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL, la veracidad de la misma. La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL no se hará responsable, en ningún caso, por cualquier tipo de responsabilidad derivada por la inexactitud de la información entregada por el titular.

La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL no transmite ni transfiere datos de manera internacionalmente.

La E.S.E. HOSPITAL MANUEL URIBE ÁNGEL podrá realizar transmisiones nacionales de sus datos con los respectivos encargados del tratamiento siempre y cuando haya suscrito un acuerdo de transmisión y protección de datos con esta entidad.

Los procedimientos que se describen a continuación sólo pueden ser ejercidos por el titular, sus causahabientes, representantes o agentes oficiosos siempre que se acredite previamente la identidad o la representación.

En todos los procedimientos el titular o sus representantes deberán indicar por lo menos, su nombre completo, su cédula de ciudadanía, sus datos de contacto los cuales deben incluir: una dirección de correo electrónico, una dirección para envío de la correspondencia, un teléfono o celular de contacto y la indicación de estar obrando en nombre propio o la acreditación de estar obrando en representación de otro, cuando sea el caso, mediante poder debidamente otorgado. A su vez, deben indicar los datos personales sobre los que versa la solicitud y deben aportar los documentos o demás elementos que responden o apoyen la misma. Por último, en cualquiera de las solicitudes el titular o su representante deberán indicar el medio, el evento o cualquier otra información que permita establecer la base de datos que contiene los datos objeto de la solicitud.

Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL, quien suministrará toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Con respecto a la atención de solicitudesde consulta de datos personales la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL garantiza:

• Habilitar medios de comunicación electrónica u otros que considere pertinentes.
• Establecer formularios, sistemas y otros métodos simplificados, los cuales deberán ser informados en el aviso de privacidad.
• Utilizar los servicios de atención al cliente o de reclamaciones que tiene en operación.
• En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.​

El titular de los datos personales o sus representantes pueden elevar solicitud a la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL y/o al encargado del tratamiento de datos para que le permita conocer los datos personales que la entidad ha recolectado, almacenado o usado.

El titular debe enviar solicitud escrita a los datos de contacto previamente señalados en la política, indicando puntualmente el objeto de su solicitud y un breve motivo de la misma. A su vez, debe indicar su nombre completo, su cédula de ciudadanía, sus datos de contacto los cuales deben incluir, por lo menos, una dirección de correo electrónico, una dirección para envío de correspondencia, un teléfono o celular de contacto y la indicación de estar obrando en nombre o la acreditación de estar obrando en representación de otro, cuando sea el caso, mediante poder debidamente otorgado.

Si no se cumplen con los requisitos enunciados para solicitar el reclamo, el responsable o encargado requerirá al interesado, dentro de los cinco (5) días siguientes a la fecha de recepción del reclamo, para que dicho interesado subsane los requisitos. Si transcurre dos (2) mes calendario contados a partir de la fecha en que se le solicita al interesado que cumpla los requisitos establecidos, sin que éste los subsane, dicha actitud se asimilará al desistimiento de la solicitud o reclamo.

La entidad la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL, a través de la persona encargada para ello, remitirá la solicitud al Responsable y/o encargado del tratamiento para que en un término máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de la solicitud, la misma sea atendida.

Si el responsable y/o encargado del tratamiento no puede atender la solicitud dentro de los quince (15) días hábiles, se le notificará al titular de los datos la razón por la cual la solicitud no puede ser atendida dentro de ese término y la fecha en la que será atendida su solicitud, que en ningún caso podrá ser superior a un término de 8 (ocho) días hábiles contados a partir del vencimiento del primer término.

El titular de los datos personales o sus representantes pueden elevar solicitud a la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL y/o al encargado del tratamiento de datos para que sus datos personales tratados por la institución, sean corregidos, actualizados o suprimidos si lo desean o si consideran que existe un incumplimiento a cualquiera de los deberes contenidos en el Régimen General de Protección de Datos Personales o en la presente política, efectuando el siguiente procedimiento:El titular o su representante, deberá elevar su solicitud dirigida al responsable o encargado del tratamiento indicando:

El titular de los datos personales o su representante, pueden revocar la autorización dada a la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL para el tratamiento de sus datos personales, elevando una solicitud dirigida al responsable del tratamiento o al encargado del mismo, en la que puntualice el objeto de su solicitud. Para dar trámite a la misma se seguirá el procedimiento consagrado en el procedimiento para corregir, actualizar, rectificar o suprimir los datos personales tratados por la E.S.E. HOSPITAL MANUEL URIBE ÁNGEL permitir al titular la posibilidad de conocerlos y actualizarlos en línea.

Los datos permanecerán dentro de la custodia de la entidad por el tiempo mínimo legal establecido. En ningún caso se eliminará datos cuando exista una relación contractual o una ley imperativa que exija su permanencia por parte de la entidad. En el evento de contar con la facultad o potestad para la supresión definitiva de datos, se podrá continuar con este procedimiento siempre que medie la solicitud o autorización expresa por parte del titular. Lo anterior, salvo que la base de datos tenga una finalidad transitoria y en cuyo caso se pueda prescindir de su conservación en el tiempo.

Para eventos de eliminación de datos, la entidad empleará todas las medidas de seguridad para que no se presenten fugas de información. La eliminación será definitiva y no se realizarán copias de respaldo o seguridad.​

Cualquier campaña de mailing que realice la entidad para efectos de dar a conocer productos o servicios, se realizará ocultando los destinatarios a quienes se les envían los correos, precaviendo la privacidad de los datos de estos. Por ninguna razón se realizarán campañas de mailing abiertas.