PROCEDIMIENTO DATOS SENSIBLES DE SALUD


  1. OBJETIVO
    Establecer los lineamientos para el tratamiento de los Datos Personales Sensibles de Salud recolectados de los colaboradores, clientes y/o terceros que tengan vínculos con la Organización Decameron SRL (en adelante “Decameron”), sus filiales, subsidiarias o empresas vinculadas, con el fin de adoptar medidas para prevenir, tratar, mitigar y/o controlar la exposición y contagio al SARS-COV-2 (COVID-19), de conformidad con la declaratoria de emergencia de salud pública y/o sanitaria, catalogada como pandemia por la Organización Mundial de la Salud.

  2. ALCANCE
    Este presente procedimiento aplica para la Organización Decameron y a sus empresas subsidiarias y/o integradas, siendo obligatorio su cumplimiento.

  3. DEFINICIONES
    3.1 ARCOP: Se refiere a los derechos de los titulares para solicitar el acceso, rectificación, cancelación, oposición y portabilidad sobre sus datos personales, ante el Sujeto Obligado o Responsable que esté en posesión de estos.
    3.1.1 Acceso: Aquel mediante el cual el titular tiene derecho a consultar y/o a obtener información sobre si se están tratando sus datos personales o no. En caso de que se estén tratando, tendrá derecho a acceder a la siguiente información: el origen de los datos, las finalidades del tratamiento, la categoría de datos personales recolectados, las cesiones o transferencias realizadas o que se pretendan realizar, así como a tener acceso al aviso de privacidad y/o a la autorización a la que está sujeta el tratamiento.
    3.1.2 Rectificación: Aquel mediante el cual el titular tendrá derecho a solicitar la rectificación, inclusión y/o actualización de sus datos personales cuando éstos sean parcial o totalmente inexactos, incompletos y/o inadecuados.
    3.1.3 Cancelación: Si el titular tiene conocimiento de que el tratamiento que se está dando a sus datos personales contraviene lo dispuesto por la Ley de Protección de Datos; cuando hayan dejado de ser necesarios y/o pertinentes para el cumplimiento de la finalidad(es) de la base de datos previstas en las disposiciones aplicables o en el aviso de privacidad o cuando haya vencido el plazo establecido para su tratamiento, puede solicitar la cancelación de sus datos.
    3.1.4 Oposición: Aquel derecho que tiene el titular a oponerse por razones fundadas y legítimas, al tratamiento de sus datos personales para una o varias finalidades, en el supuesto en que los datos se hubiesen recabado sin su consentimiento, cuando existan motivos fundados para ello y la ley no disponga lo contrario.
    3.1.5 Portabilidad: Derecho del titular a obtener los datos personales que le haya entregado al responsable del tratamiento, en un formato estructurado y de uso común, con el fin de transmitirlo a otros responsables.
    3.2 Base de Datos: Conjunto organizado de datos personales, automatizado o no, que será objeto de Tratamiento por la Compañía y que, en caso de que corresponda, tiene las características requeridas para ser registrada ante la autoridad en materia de protección de datos personales.
    3.3 Consentimiento: Manifestación de la voluntad libre, previa, expresa, inequívoca e informada del titular de los datos personales para llevar a cabo el tratamiento de datos personales. En los casos expresamente señalados en la Ley de Protección de datos personales, se podrán recolectar datos personales sin contar con el consentimiento del titular.
    3.4 COVID-19: Es una nueva enfermedad, causada por un nuevo coronavirus. Los coronavirus (CoV) son virus que surgen periódicamente en diferentes áreas del mundo y que causan Infección Respiratoria Aguda (IRA), es decir gripa, que pueden llegar a ser leve, moderada o grave. El nuevo Coronavirus (COVID-19) ha sido catalogado por la Organización Mundial de la Salud como una emergencia en salud pública de importancia internacional (ESPII).
    3.5 Dato Personal: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Son algunos ejemplos de datos personales los siguientes: nombre, cédula de ciudadanía, dirección, correo electrónico, número telefónico, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, etc.
    Estos datos se clasifican en:
    3.5.1 Dato Público: Se refiere a aquellos datos que se encuentran en fuentes accesibles al público. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
    3.5.2 Dato personal privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para la persona titular del dato. Ejemplo: correo electrónico, número de teléfono celular, dirección de domicilio, etc.
    3.5.3 Dato personal semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino también a cierto sector o grupo de personas o a la sociedad en general, por ejemplo, los referentes al cumplimiento e incumplimiento de las obligaciones financieras o los datos relativos a las relaciones con las entidades de la seguridad social.
    3.5.4 Dato personal sensible: Información que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, ingresos económicos, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc. Estos datos son facultativos, por lo tanto, el titular puede abstenerse a contestar las preguntas que versen sobre este tipo de datos, de conformidad con la definición legal vigente.
    3.6 Datos personales de niños, niñas y/o adolescentes: Se podrá llevar a cabo el tratamiento de los datos personales de menores de edad, siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, las niñas y adolescentes y se asegure sin excepción alguna el respeto de sus derechos prevalentes. El titular puede abstenerse de contestar las preguntas donde se recolecte datos de Niños, Niñas y Adolescentes.
    3.7 Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento.
    3.8 Forms: Es una herramienta de Microsoft por medio del cual se pueden crear encuestas y/o formularios. A través de esta herramienta, las compañías responsables recolectarán la información de antecedentes de salud y estado de salud en general de colaboradores y/o de los terceros vinculados a la Organización.
    3.9 Formulario: Se refiere a los formularios elaborados por los responsables por medio de los cuales el titular de los datos deberá realizar los siguientes reportes: (i) tratándose de colaboradores y/o de terceros vinculados, reporte de antecedentes de salud y condiciones de salud como titulares y de los miembros del entorno familiar con el que conviven a través de Microsoft Forms; (ii) en el caso de clientes y/o huéspedes, información de su estado de salud a través de una URL o de un formulario físico. En ambos casos la información se utilizará para la prevención, control y mitigación del COVID – 19.
    3.10 Link: Enlace o vínculo que forma parte de los elementos de un documento electrónico en donde se hace referencia a otro recurso. En el caso particular, el Link hace referencia al enlace enviado al correo electrónico que crea una conexión al Formulario de Auto -reporte de salud por medio de una dirección URL.
    3.11 Protocolo de Bioseguridad para la Prevención, Contención y Mitigación del Covid – 19: Es un documento propio de la Organización Decameron que incluye las recomendaciones generales para los líderes y las medidas específicas en las diferentes líneas de acción con los colaboradores, servicios tercerizados, proveedores, flujos, procesos, áreas y demás aspectos logísticos. Este protocolo es de obligatorio cumplimiento al interior de todos los establecimientos de la Organización, incluyendo Hoteles, Restaurantes, Agencias de Venta, Agencias Explorer, Salas de Ventas, Oficinas Administrativas, Comerciales y terceros. Las medidas de este protocolo reúnen los lineamientos que han emitido las entidades de salud, ministerios de trabajo y demás normas de tipo nacional e internacional frente a la pandemia del Covid -19, por esta razón a medida que se generen nuevas recomendaciones el protocolo será actualizado.
    3.12 Responsables del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el Tratamiento de los datos. Al respecto estas son: Aparta Hotel Don Blas S.A.S. con domicilio en Colombia; Hoteles Decameron Colombia S.A.S. con domicilio en Colombia; Servincluidos Ltda. con domicilio en Colombia; Decameron Cinco Herraduras S.A.S. con domicilio en Colombia; El Dorado Investments, sucursal Colombiana; Blue Marlin Beach Club S.A. con domicilio en Perú; Operador Nacional de Hoteles del Perú S.A.C con domicilio en Perú; Club de Playas Salinitas S.A. de C.V con domicilio en El Salvador; Hoteles Decameron Jamaica Ltd. con domicilio en Jamaica; Decameron S.A. de C.V con domicilio en México; Hoteles Decameron Ecuador S.A con domicilio en Ecuador; Agente Comercial de Hoteles Decameron Colombia S.A.S con domicilio en Ecuador; Hoteles Decameron S.R.L. con domicilio en Panamá; Multivacaciones Decameron S.R.L con domicilio en Panamá; Hoteles Decameron Haití S.A con domicilio en Haití; y demás sociedades integradas o subsidiarias.
    3.13 Titular del dato: Persona natural cuyos datos personales sean objeto de tratamiento. Se entenderá también como titular la persona que esté habilitada para solicitar información respecto de los datos personales como lo son los causahabiente o representantes, debidamente facultados para ello.
    3.14 Transferencia: La transferencia de datos tiene lugar cuando el Responsable del tratamiento de datos personales, ubicado en cualquiera de los países en los cuales se establece la operación, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país del cual se remitió. En ciertas situaciones podría ser necesario realizar transferencias nacionales e internacionales de los datos del formulario, exclusivamente para cumplir con las finalidades del tratamiento detalladas en este documento.
    3.15 Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del país en los cuales se establece la operación, cuando tenga por objeto la realización de un tratamiento del Encargado por cuenta del responsable. En ciertas situaciones podría ser necesario realizar transmisiones nacionales e internacionales de los datos del formulario, exclusivamente para cumplir con las finalidades del tratamiento detalladas en este documento.
    3.16 Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, supresión, entre otros.
    3.17 URL: Es un localizador uniforme de recursos que permite localizar y recuperar una información determinada en internet. En el caso particular, la URL remitida al correo electrónico permite que los titulares visualicen y puedan diligenciar el Auto -reporte de salud en línea, las respuestas a este formulario serán almacenadas en los servidores de la Organización con altos estándares de confidencialidad y seguridad.

  4. LINEAMIENTOS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES
    4.1 Recolección de los Datos
    La recolección de los datos se realizará por medio de un formulario creado a través de diferentes herramientas:
    A. Para colaboradores y/o terceros vinculados a la Organización: Los datos se recolectarán por medio de un formulario creado a través la herramienta Microsoft Forms, en la cual se solicitarán los antecedentes y estado de salud del titular que la diligencia y de los miembros de su núcleo familiar. Esta información quedará almacenada en los servidores de la Organización y se custodiará con altos estándares de seguridad y confidencialidad.
    B. Para clientes y/o huéspedes: Los datos se recolectarán de dos formas:
    • Para los clientes y/o huéspedes que realicen el registro de ingreso al hotel en línea: Se remitirá un correo electrónico con un link para que el titular de la reserva y los pasajeros acompañantes, cada uno de forma individual, realicen a través de un formulario en una URL un auto-reporte de salud. Esta información quedará almacenada en los servidores de los responsables y se custodiará con altos estándares de seguridad y confidencialidad.
    • Para los clientes y/o huéspedes que realicen check in físico en el hotel: Se entregará en físico el formulario de auto-reporte de salud que deberá diligenciar tanto el titular de la reserva como los pasajeros acompañantes de forma individual. En caso de contar con teléfonos inteligentes, podrán ingresar a la URL a realizar el auto-reporte de salud.
    La información de los formularios físicos se almacenará en un espacio destinado para ello, bajo llave, con altos estándares de seguridad y confidencialidad.
    Adicionalmente, se podrá realizar recolección de datos personales de colaboradores, clientes y/o terceros vinculados que se encuentren en las instalaciones de la Organización, en desarrollo de lo dispuesto en el Protocolo de Bioseguridad para la Prevención, Contención y Mitigación del Covid -19. Para la recolección de dicha información la Organización podrá utilizar colaboradores u otros terceros vinculados, quienes cumplirán estrictos estándares de confidencialidad y seguridad; la información recolectada en estos casos será tratada y custodiada por la Organización en calidad de responsable.
    Los datos personales recolectados serán tratados en cumplimiento de las disposiciones de la legislación nacional e internacional en materia de datos personales, las políticas de protección de datos personales de la Organización y los lineamientos señalados en el presente Procedimiento.
    4.1.1 Datos de Niños/as y Adolescentes
    El suministro de los datos personales de menores de edad es facultativo y debe realizarse con la autorización previa, expresa e informada de los padres de familia y/o de los representantes legales del menor quienes garantizan que están actuando en respeto a los Derechos Fundamentales del mismo. El tratamiento de los datos de niños/as y adolescentes responderá a los intereses superiores del menor y se realizará asegurando el respeto a sus Derechos Fundamentales.
    4.2 Finalidades del Tratamiento
    Los datos personales serán utilizados con la finalidad de adoptar medidas para prevenir, tratar y controlar la exposición y contagio al COVID-19 y mitigar su impacto al interior de la Organización Decameron, lo cual incluye las siguientes actividades:
    • Gestión integral del riesgo por contagio de SARS-CoV-2 (COVID-19) dentro de la Organización;
    • Definición y control del cumplimiento de requisitos para acceder a las instalaciones;
    • Elaboración de estudios, estadísticas y análisis de necesidad de medidas de control sanitario y seguridad;
    • Adopción de medidas que puedan ser necesarias para garantizar los fines propuestos;
    • Envío de información relativa a salud, autocuidado, limpieza y desinfección, entre otros dirigidos a la prevención del contagio de SARS-CoV-2 (COVID-19);
    • Contacto para otorgar información sobre la gestión de la reserva hotelera, así como sobre modificaciones y/o cancelaciones, según el estado de salud registrado en el formulario de auto – reporte de salud;
    • Cumplimiento de los requerimientos formulados por las entidades de inspección, vigilancia y control del sector salud;
    • Una finalidad histórica, estadística o científica, en cuyo caso se adoptarán las medidas conducentes para anonimizar la información.
    Los clientes, colaboradores y/o terceros vinculados realizan las siguientes declaraciones:
    – La información otorgada es completa, veraz y se encuentra actualizada. Adicionalmente, declaran que se les ha informado que los datos que entregarán son sensibles por lo que es facultativo otorgar las respuestas; en consecuencia, estos asumen toda la responsabilidad ante la falta de veracidad o exactitud de estos.
    – Se presume de buena fe que quien registra los datos en los diferentes formularios es el titular de los mismos, empero, en caso de suministrar información de terceras personas certifican que cuentan con la autorización expresa de estas para entregar sus datos personales.
    Los datos personales obtenidos por medio del formulario, por su carácter sensible, se recolectarán, almacenarán, circularán y custodiaran con altos estándares de confidencialidad y de seguridad, de conformidad con los principios para la protección de datos personales que se han definido a nivel Nacional e Internacional
    4.3 Principios para la Protección de los Datos
    El tratamiento de los datos personales se realizará bajo los principios consagrados a nivel Nacional e Internacional en materia de protección de datos personales, algunos de los cuáles se relacionan a continuación:
    4.3.1 Legalidad: El Tratamiento de datos personales deberá realizarse conforme a las disposiciones legales aplicables vigentes en cada país.
    4.3.2 Finalidad: Los datos personales recolectados deben ser utilizados para un propósito específico y explicito permitido por la normativa aplicable en el país, según corresponda, el cual debe ser informado al titular. El titular debe ser informado de manera clara, suficiente y previa acerca de la finalidad del tratamiento de la información que suministra.
    4.3.3 Libertad: La recolección de los Datos Personales solo podrá ejercerse con el consentimiento, previo, expreso e informado del titular.
    4.3.4 Veracidad o Calidad: La información sujeta al tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
    4.3.5 Transparencia: En el tratamiento de datos personales se debe garantizar en todo momento el derecho que tiene el Titular a obtener de la Organización Decameron, en cualquier momento y sin restricción alguna, información sobre la existencia de cualquier tipo de información personal que sea de su interés o titularidad.
    4.3.6 Acceso y circulación restringida: Los datos personales, salvo aquellos que sean categorizados como datos públicos, en especial los Datos Personales Sensibles, no podrán estar disponibles en internet o medios de divulgación o comunicación masiva, y en todos los casos el tratamiento deberá realizarse conforme a las disposiciones legales aplicables.
    4.3.7 Seguridad: Los datos personales sujetos a tratamiento se deberán manejar adoptando todas las medidas de seguridad que sean necesarias para evitar su perdida, adulteración, consulta, uso o acceso no autorizado o fraudulento.
    4.3.8 Confidencialidad: Todas las personas que administren manejen, actualicen o tengan acceso a información de tipo personal, se comprometen a conservar y mantener de manera confidencial y no revelar a terceros, la información de tipo personal, comercial, contable, financiera, crediticia o de cualquier otro tipo, que fuese conocida en el ejercicio de sus funciones. Este es un deber que se hace extensivo a terceros aliados o colaboradores que se relacionen con La Organización por cualquier vínculo convencional o contractual.

  5. LINEAMIENTOS PARA LA SUPRESIÓN DE LOS DATOS
    Los datos personales se podrán mantener por el tiempo en que se continúe utilizando la información para las finalidades descritas en este documento. Una vez finalice la necesidad para la cual fueron recolectados, la información que no requiera conservarse para fines históricos, científicos o estadísticos, la cual se conservará de forma anonimizada, será suprimida, siempre y cuando no exista un deber legal, judicial y/o contractual para conservarla, de conformidad con los procedimientos de eliminación de documentos establecidos por la Organización.

  6. PROCEDIMIENTOS PARA ACCEDER, CONSULTAR, RECTIFICAR Y ACTUALIZAR SUS DATOS
    Los titulares de datos personales tratados por la Organización tienen derecho a acceder a los mismos, a conocer los detalles de su tratamiento, así como a rectificarlos y actualizarlos en caso de ser inexactos, o a solicitar su eliminación cuando considere que resulten ser excesivos o innecesarios para las finalidades que justificaron su obtención, u oponerse al tratamiento de estos.
    6.1 Ejercicio del Derecho de Acceso y Solicitud de Información
    Estos derechos se deberán ejercer a través de los canales habilitados y siguiendo el procedimiento que se describe a continuación:
    • En cualquier momento y de forma gratuita el titular o su representante podrán realizar solicitudes respecto de los datos personales que son objeto de tratamiento por parte de la Organización. En todos los casos se deberá acreditar la identidad y la facultad para ello.
    • Cuando la solicitud sea realizada por una persona diferente al titular de la información personal, se debe soportar con la siguiente información: nombre del titular y dirección física o de correo en la cual se pueda recibir la respuesta y los documentos que acrediten la identificación y vínculo con el titular.
    • Descripción de los datos sobre los cuales se ejerce el derecho de acceso y/o de solicitud de información.
    • Descripción clara y detallada de la consulta
    La consulta será atendida por la Organización en los términos previstos para cada reglamentación local de acuerdo con el país de origen.
    6.2 Reclamos
    Los titulares podrán solicitar la modificación y/o actualización de la información personal, la supresión del dato y la oposición parcial o total de la autorización entregada a la Organización a través de la presentación de un reclamo que seguirá el siguiente procedimiento:
    • Se podrá presentar reclamo en cualquier momento, de forma gratuita, por el titular o su representante, previa acreditación de su identidad o mandato para actuar.
    • El reclamo debe contener como mínimo el nombre y documento de identificación, junto con los documentos que acrediten la idoneidad de la representación, deberá ser detallado con una descripción clara y precisa haciendo referencia a los hechos que dan lugar al mismo.
    • En el evento en que sea necesario, se deberá aportar documentación que soporte el reclamo.
    • El reclamo será atendido por la Organización en los términos previstos para cada reglamentación local de acuerdo con el país de origen.

  7. CANALES DE ATENCIÓN
    Los canales que se han implementado para garantizar el ejercicio de dichos derechos a través de la presentación de la solicitud respectiva son:
    • Para Colombia – Ecuador – Panamá – El Salvador – Jamaica – Haití, el correo electrónico habeasdata@decameron.com
    • Para Perú, el correo electrónico atencion.lpdp@decameron.com
    • Finalmente, para México, el correo electrónico privacidad@decameron.com
    Estos canales podrán ser utilizados por los titulares de datos personales, o terceros autorizados por la Ley para actuar en su nombre, con el objeto de ejercer sus derechos. Las solicitudes serán atendidas por la Vicepresidencia de Control Interno y Cumplimiento, a través del Oficial de Datos Personales.

  8. DOCUMENTOS RELACIONADOS
    • Política de protección de Datos Personales
    • Formularios de auto-reporte de salud