POLÍTICA DE PRIVACIDAD

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN

TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S identificada con NIT N° 830514544-2 ubicada en la Cra 17A # 137 – 58 Bogotá, D.C., Barrio cedritos contador, 3907149 – 7944003, por medio de la presente política de tratamiento de la información y de protección de datos personales establece los lineamientos que regulan la recolección, almacenamiento, uso, circulación, tratamiento, administración, transferencia, transmisión, actualización, rectificación, supresión y protección de los datos personales de pacientes, empleados, médicos adscritos, contratistas, proveedores, entre otros, a través de los diferentes canales de recolección (sitio web, aplicaciones, de manera presencial, entre otros) de información que tiene TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S.

Lo anterior conforme a lo dispuesto en el Artículo 15 y 20 de la Constitución Política y en especial por lo dispuesto en la Ley Estatutaria 1581 de 2012 y en el Capítulo 25 parte 2 título 2 libro 2 del Decreto 1074 de 2015 y/o sus decretos complementarios o modificatorios, y demás normas aplicables sobre la materia.

PRINCIPIOS

Para el Tratamiento de los Datos Personales, TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S aplicará los principios que se mencionan a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, de datos personales:

  • Principio de legalidad: El Tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 de 2012 y en las demás disposiciones que la desarrollen, modifiquen o sustituyan.
  • Principio de finalidad: El Tratamiento de los datos personales deberá obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, previamente informada al Titular.
  • Principio de libertad: El Tratamiento sólo puede realizarse con la autorización previa, expresa e informada del Titular. Ningún dato personal podrá ser obtenido ni divulgado sin esta autorización, salvo disposición legal o judicial que releve el consentimiento del Titular.
  • Principio de veracidad o calidad: La información relacionada en el Tratamiento deberá ser completa, exacta, veraz, actualizada, comprobable y comprensible. No deberá haber datos parciales, incompletos o fraccionados o que induzcan a error.
  • Principio de transparencia: En el Tratamiento se debe garantizar al Titular el derecho a obtener del responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de los datos que le conciernen.
  • Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley.
  • Principio de seguridad: Los datos personales sujetos a Tratamiento por el responsable o el Encargado del Tratamiento, se deben manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando corresponda al desarrollo de las actividades autorizadas por la Ley y en los términos dispuestos por ésta.

RESPONSABLE DEL TRATAMIENTO

El responsable del Tratamiento de los Datos es TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S identificada con NIT N° 830514544-2. se ha designado a un Oficial de Protección de Datos Personales, quien tiene la función de proteger los datos personales de los titulares y dar trámite a sus solicitudes, a través de los siguientes medios de contacto:
● Carrera 17A # 137 – 58 Bogotá, D.C., Barrio cedritos contador
● Teléfono 3907149 – 7944003
● Correo electrónico: terapiasctj@hotmail.com

 

Los deberes de TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S, como responsable del Tratamiento de los Datos Personales son:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar copia de la respectiva autorización otorgada por el Titular.
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Garantizar que la información que se suministre a los encargados del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Actualizar la información, comunicando de forma oportuna a los encargados del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
  • Rectificar la información cuando sea incorrecta y comunicar lo pertinente a los Encargados del Tratamiento.
  • Suministrar a los encargados del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.
  • Exigir a los encargados del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados en la Ley y en el presente documento.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley, especialmente para la atención de consultas y reclamos.
  • Informar a los encargados del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
  • Tramitar las consultas y reclamos formulados en los términos señalados en la Ley y en el presente documento.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley, especialmente para la atención de consultas y reclamos.
  • Informar a los encargados del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
  • Informar a solicitud del Titular sobre el uso dado a sus datos.
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

SEGURIDAD DE LA INFORMACION

TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S cuenta con procedimientos de seguridad y confidencialidad de la información, para garantizar el correcto uso de la información y el tratamiento de los datos personales, y evitar el acceso a terceros no autorizados que puedan conocer, vulnerar, modificar divulgar y/o destruir la información que reposa en nuestras bases de datos. Así mismo, para los eventos en los que se deba transferir o transmitir bases de datos y/o datos personales a encargados y/o responsables del tratamiento para cumplir con actividades específicas, TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S garantizará que éstos cuenten con los mismos o mejores estándares y protocolos de seguridad que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento por cualquier sujeto. Análogamente, los Titulares de los Datos Personales, en aras de proteger la información, se comprometen a:

  • Abstenerse de realizar actividades que pongan en peligro o afecten la
    seguridad de la información, en particular, aquellas ejecutadas a través de las redes informáticas, dispositivos electrónicos, aplicaciones, softwares y correos electrónicos del Responsable;
  • Reportar al Responsable del Tratamiento aquellas conductas o eventos que puedan afectar o afecten la integridad, disponibilidad y confidencialidad de la información;
  • Cumplir con las demás obligaciones establecidas en la Política y en la Ley .

POLÍTICA DE SEGURIDAD DIGITAL - CONPES

MARCO TEÓRICO Y JURÍDICO

Durante el proceso de gestión de riesgos de seguridad digital, es importante conocer y entender los siguientes instrumentos normativos que soportan la presente guía: Ley 1581 de 2012, Decreto 1499 de 2017, CONPES 3701 y 3854, Guía No. 7 Gestión de riesgos de (MinTIC, 2016), Guía para la administración del riesgo y el diseño de controles en entidades públicas (DAFP, 2018) y el Modelo de Gestión de Riesgos de Seguridad Digital (MinTIC, 2017).
De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013 (Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015), ISO-IEC 27000:2018, ISO-IEC 27005:2018, ISO 31000:2018 (Icontec, 2018), Magerit V3 (Ministerio de Hacienda y Administraciones Públicas de España, 2012), NIST-800-30 (Stoneburner, Goguen, & Feringa, 2002) y NIST-800-39 (Locke & Gallagher, 2011).

DESARROLLO DE LA METODOLOGÍA

TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S propone la metodología para ser implementada en la Alta Consejería con el fin de una adecuada gestión de los riesgos de seguridad digital.
Corresponde a un proceso estructurado y alineado con la gestión de riesgos de los
referentes señalados en el marco teórico y jurídico.
Para lograr el éxito de la gestión de riesgos eficaz en seguridad digital, la IPS debe garantizar la definición e implementación de los siguientes prerrequisitos:

COMPROMISO

El liderazgo y compromiso de TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S se establece como actividad previa a la gestión de riesgos de seguridad digital, de esta forma la entidad garantiza que la gestión del riesgo sea pertinente, implementada y mantenida en el tiempo, logrando una mejora continua.
TERAPIAS CATHERIN TATIANA JIMENEZ S.A.S debe comprometerse para apoyar y brindar los recursos de modo que se facilite el cumplimiento de los objetivos alineados a la gestión del riesgo, a través del establecimiento de políticas, guías, proceso, roles y responsabilidades, que aporten los recursos (financieros, de personal, herramientas) necesarios para que el proceso sea exitoso y adecuado para la entidad.

IDENTIFICACIÓN DE ROLES Y RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS EN SEGURIDAD DIGITAL

El proceso de identificación de roles, responsabilidades y responsables debe estar liderado y comunicado por la alta dirección de la IPS, esto para el entendimiento eficaz de la gestión de riesgos en la misma.

VALORACIÓN DE RIESGOS:

Durante la valoración se describe de forma cualitativa y/o cuantitativa el riesgo, se determina el nivel de exposición de los activos de información, se identifican los causales de riesgo que existen (o que podrían existir), se identifica el impacto que podría generar la materialización de cada riesgo, luego se determinan las consecuencias potenciales, y finalmente se priorizan para determinar o proponer el tratamiento de riesgos y su clasificación según los criterios de evaluación determinados por la IPS.

DESCRIPCIÓN DEL RIESGO:

Consiste en la identificación y descripción del riesgo a raíz de la combinación entre una o varias amenazas y vulnerabilidades. Se realiza una descripción puntual del riesgo asociado a los activos de información.

IDENTIFICACIÓN TIPO DE IMPACTO:

A continuación, se presentan los tipos de impactos de acuerdo con los requerimientos de la IPS:

  • Financiero: corresponde a un efecto positivo o negativo que genera un gasto adicional o retribución no esperada.
  • Continuidad operativa: corresponde a la afectación de la continuidad en los procesos operativos de la IPS.
  • Imagen: corresponde a la afectación positiva o negativa que puede tener ante las partes interesadas el bueno nombre de la IPS.
  • Legal: corresponde a las posibles afectaciones en términos jurídicos que puede tener la IPS.

ANÁLISIS DE RIESGOS:

El análisis de riesgos es el proceso de comprender la naturaleza del riesgo y determina el nivel de riesgo. (ISO/IEC 27000:2018). Esta etapa busca obtener el valor de probabilidad de ocurrencia del riesgo y el impacto de sus consecuencias, calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones a implementar.

Al determinar los valores cuantitativos y/o cualitativos del impacto y la probabilidad de ocurrencia del riesgo se determina el nivel de riesgo sobre el o los activos de información analizados. Los rangos y los valores cualitativos son establecidos por la entidad de acuerdo con las necesidades del negocio.

Se realizan las siguientes estimaciones para el riesgo:

  • Estimación de riesgo actual: Se evalúa el valor del impacto y la probabilidad de ocurrencia del riesgo actual, es decir, durante el momento de realizar el análisis con la presencia o no de los controles establecidas por la entidad.
  • Identificación de controles: Se realiza la identificación de los controles implementados en la entidad para tratar los riesgos. Puede que no existan controles para el tratamiento del riesgo.

Valoración del nivel de impacto: La siguiente tabla, corresponde a la propuesta de los niveles de impacto, alineados con el MSPI y el MGRSD de MinTIC:

ANÁLISIS DE RIESGOS:

El análisis de riesgos es el proceso de comprender la naturaleza del riesgo y determina el nivel de riesgo. (ISO/IEC 27000:2018). Esta etapa busca obtener el valor de probabilidad de ocurrencia del riesgo y el impacto de sus consecuencias, calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones a implementar.

Al determinar los valores cuantitativos y/o cualitativos del impacto y la probabilidad de ocurrencia del riesgo se determina el nivel de riesgo sobre el o los activos de información analizados. Los rangos y los valores cualitativos son establecidos por la entidad de acuerdo con las necesidades del negocio.

Se realizan las siguientes estimaciones para el riesgo:

  • Estimación de riesgo actual: Se evalúa el valor del impacto y la probabilidad de ocurrencia del riesgo actual, es decir, durante el momento de realizar el análisis con la presencia o no de los controles establecidas por la entidad.
  • Identificación de controles: Se realiza la identificación de los controles implementados en la entidad para tratar los riesgos. Puede que no existan controles para el tratamiento del riesgo.

Valoración del nivel de impacto: La siguiente tabla, corresponde a la propuesta de los niveles de impacto, alineados con el MSPI y el MGRSD de MinTIC:

TRATAMIENTO DE RIESGOS:

Corresponde al proceso de modificar el riesgo. (ISO/IEC 27000:2018). Durante esta etapa se define que acciones se deben tomar para afectar el nivel de riesgo, bien sea atacando la probabilidad, el impacto o en su defecto las dos variables.

Lo primero es determinar cuáles son los niveles de riesgo en que la entidad aplicará el tratamiento. Para ello, en el presente documento se definen los dos niveles de mayor probabilidad, impacto y valor de riesgo.

Durante el tratamiento se identifican los controles aplicables para llevarlos a los niveles aceptables definidos por la entidad.
Las opciones para el tratamiento de los riesgos después de su evaluación son:
• Reducir el riesgo aplicando controles eficaces de manera que el riesgo residual pueda ser reevaluado como aceptable.
• Asumir el riesgo (Retención) por parte de la alta dirección quien debe conocer y entender la responsabilidad. Se aplica siempre que cumplan con la política de seguridad previamente establecida por la IPS.
• Evitar el riesgo con la acción que da origen al riesgo.
• Compartir o transferir el riesgo a organizaciones (aseguradoras, proveedores, etc.) que gestionan eficazmente el nivel de riesgo, siempre que no resulte un costo superior al del riesgo mismo.