“Por la cual se adopta la política de Tratamiento de Datos Personales, Seguridad y Privacidad de la Información para el Instituto de Planificación y Promoción de Soluciones Energéticas para las Zonas no Interconectadas”

EL DIRECTOR GENERAL DEL INSTITUTO DE PLANIFICACIÓN Y PROMOCIÓN DE SOLUCIONES ENERGETICAS PARA LAS ZONAS NO INTERCONECTADAS – IPSE

En uso de sus atribuciones legales y en especial las conferidas por los Decretos 257 del 2004 y la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013 y el Decreto Único Reglamentario del Sector de Función Pública 1083 de 2015 y,

CONSIDERANDO: Que la protección de los datos personales está consagrada en el artículo 15 de la Constitución Política como el derecho fundamental que tienen todas las personas a conservar su intimidad personal y familiar y su buen nombre, lo mismo que conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellos en bancos de datos y en archivos de las entidades públicas y privadas. A su vez, el articulo 20 ibidem garantiza a toda persona el derecho fundamental de informar y recibir información veraz e imparcial.

Que en desarrollo de los preceptos constitucionales antes citados, el Congreso de la República expidió la Ley 1266 de 2008, con el objeto de desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos personales.

Que a su turno, el artículo 17 de la Ley Estatutaria 1581 de 2012, “Régimen General de Protección de Datos Personales, y el artículo 2.2.2.25.3.1. del Decreto 1074 de 2015, “Decreto Único Reglamentario del Sector Comercio Industria y Turismo”, consagraron la necesidad de garantizar de forma integral la protección y el ejercicio del derecho fundamental de Habeas Data y estableció dentro de los deberes de los responsables del tratamiento de datos personales, desarrollar políticas para este derecho.

Que la Ley 1712 de 2014, sobre transparencia y derecho de acceso a la información pública nacional, adiciona nuevos principios, conceptos y procedimientos para el ejercicio y garantía del referido derecho; junto con lo dispuesto en el Libro 2. Parte VIII, Título IV “Gestión de la información clasificada y reservada” del Decreto 1080 de 2015, “por medio del cual se expide el Decreto Reglamentario Único del Sector Cultura”, que establece disposiciones sobre el acceso a datos personales en posesión de los sujetos obligados. A través del Decreto 1083 de 2015, “Decreto Único Reglamentario del Sector Función Pública”, (modificado por el Decreto 1499 de 2017) se promueve el mejoramiento continuo de las entidades públicas del país, garantizando un adecuado ambiente de control mediante la definición de responsabilidades en relación con las líneas de defensa del Modelo Estándar de Control Interno.

Que la jurisprudencia a través de la Sentencia de la Corte Constitucional C-748 de 2011, señala que “el derecho al habeas data fue primero interpretado como una garantía del derecho a la intimidad, de allí que se hablara de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir”.

Que con el propósito de garantizar la seguridad y privacidad de la información, se deben establecer y adoptar los lineamientos de la política de tratamiento de datos personales, de manera que contenga los necesarios para el tratamiento de los datos personales recolectados directamente por el Instituto de Planificación y Promoción de Soluciones Energéticas para las Zonas no Interconectadas (en adelante IPSE) o trasladados por otras autoridades, en el actual contexto institucional.

Qué en virtud de lo expuesto,

RESUELVE ARTICULO PRIMERO:

Adoptar mediante la presente resolución la política de tratamiento de los datos personales para el IPSE

ARTICULO SEGUNDO: OBJETIVO. Establecer lineamientos necesarios, con el fin de garantizar el adecuado tratamiento de los datos personales y fortalecer la gestión de seguridad y privacidad de la Información del IPSE, enmarcados en la implementación de un Sistema de Gestión de Seguridad de la Información, basado en la identificación y valoración de los riesgos asociados a ella, propendiendo por la protección de su confidencialidad, integridad, disponibilidad, privacidad, continuidad y autenticidad.

De igual forma, la presente Política tiene como objeto dar la información necesaria y suficiente, así como establecer los lineamientos que garanticen la protección de los datos personales que son objeto de tratamiento de datos personales a través de los procedimientos del IPSE, para de esta forma, dar cumplimiento a la ley, políticas y procedimientos de atención de derechos de los titulares, criterios de recolección, almacenamiento, uso, circulación y supresión que se dará a los datos personales.

ARTICULO TERCERO: ALCANCE: Los lineamientos contenidos en la presente política son aplicables para todos los aspectos administrativos y de control que deben ser cumplidos por los servidores públicos, contratistas, visitantes y terceros que presten sus servicios o tengan algún tipo de relación con el IPSE a través de la recolección, procesamiento, almacenamiento, recuperación, intercambio y consulta de información, con personal interno o externo, en el desarrollo de la misión institucional y el cumplimiento de sus objetivos estratégicos.

ARTICULO CUARTO: DEFINICIONES DE LA POLITICA. Según el artículo 3 y 5 de la Ley 1581 de 2012 y demás normas aplicables, así como las que las modifiquen, adicionen y/o complementen, se tienen las siguientes definiciones:

  1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
  2. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
  3. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
  4. Dato público: Aquel que no es semiprivado, privado o Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión y oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  5. Dato semiprivado: Aquel que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales.
  6. Datos Sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
  7. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
  8. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  9. Titular: Persona natural cuyos datos personales sean objeto de
  10. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

PARAGRAFO.   Adicional a las definiciones anteriormente señaladas, se incorporan la siguientes:

  1. Archivos: Conjunto de Documentos conservados por la empresa en donde conste información personal regulada por la Ley.
  2. Activo: se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas) que tiene un valor para el Instituto.
  3. Activo crítico: Instalaciones, sistemas y equipos los cuales, si son destruidos, o es degradado su funcionamiento o por cualquier otro motivo no se encuentran disponibles, afectarán el cumplimiento de los objetivos estratégicos del IPSE.
  4. Administración de Riesgos: Se entiende por administración de riesgos, como el proceso de identificación, control, minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar la información o impactar de manera considerable la operación. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.
  5. Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la entidad.
  6. Análisis de Impacto al Negocio (BIA): Es una metodología que permite identificar los procesos críticos que apoyan los productos y servicios claves, las interdependencias entre procesos, los recursos requeridos para operar en un nivel mínimo aceptable y el efecto que una interrupción del negocio podría tener sobre ellos.
  7. Autenticidad: Busca asegurar la validez de la información en tiempo, forma y distribución. Así mismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
  8. Alta Dirección: Persona o grupo de personas que dirigen y controlan al más alto nivel una entidad (ministro, viceministros, secretaria general y direcciones).
  9. Centro de cableado: El centro de cableado es el lugar donde se ubican los recursos de comunicación de tecnologías de información, como (Switch, patch, panel, UPS, Router, Cableado de voz y de datos).
  10. Cifrado: Método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la persona que cuente con la clave de cifrado adecuada para descodificarlo.
  11. Control: Son todas aquellas políticas, procedimientos, prácticas y estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
  12. Confiabilidad de la Información: Es decir, que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.
  13. Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
  14. Código malicioso: Es un código informático que crea brechas de seguridad para dañar un sistema informático.
  15. Custodio: Es una parte designada de la entidad, un cargo o grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad que el propietario de la información haya definido, tales como copias de seguridad, asignación de privilegios de acceso, modificación y borrado.
  16. Dato personal: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).
  17. Dato personal público: Toda información personal que es de conocimiento libre y abierto para el público en general.
  18. Dato personal privado: Toda información personal que tiene un conocimiento restringido, y en principio privado para el público en general.
  19. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.
  20. Datos sensibles:Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así́ como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  21. Datacenter: Se denomina también Centro de Procesamiento de Datos (CPD) a aquella ubicación o espacio donde se concentran los recursos necesarios (TI) para el procesamiento de la información de una organización.
  22. Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
  23. Dispositivos móviles: Equipo celular smartphone, equipos portátiles, tablets, o cualquiera cuyo concepto principal sea la movilidad, el cual permite almacenamiento limitado, acceso a internet y cuenta con capacidad de procesamiento.
  24. Evento: Es el suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la información o fallo de las salvaguardas, o una situación anterior desconocida que podría ser relevante para la seguridad.
  25. Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o falla de salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad.
  26. Home Office: Oficina en casa o trabajo en casa.
  27. Incidente de Seguridad: Evento o serie de eventos de seguridad de la información no deseadas o inesperadas, que tienen probabilidad significativa comprometer las operaciones del negocio y amenazar la seguridad de la información.
  28. Información: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.
  29. Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
  30. Impacto: Resultado de un incidente de seguridad de la información.
  31. Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta la entidad.
  32. Mesa de Servicios: Constituye el único punto de contacto con los usuarios finales para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Es a través de la gestión proactiva de la Mesa de Servicios que Proceso TICs recolecta las necesidades que tienen dependencias en cuanto a los recursos tecnológicos.
  33. No repudio: El emisor no puede negar que envió porque el destinatario tiene pruebas del envío. El receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor pueda negar tal envío.
  34. No repudio: El emisor no puede negar que envió porque el destinatario tiene pruebas del envío. El receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor pueda negar tal envío.
  35. Plan de Continuidad de Negocio: Actividades documentadas que guían a la Entidad en la respuesta, recuperación reanudación y restauranción de las opreaciones a los niveles predefinidos después de un incidente que afecte la continuidad de las operaciones.
  36. Privacidad de la información: El derecho que tienen todos los titulares de la información, que involucre datos personales y la información clasificada que estos hayan entregado, o esté en poder de la entidad en el marco de las funciones que a ella le compete realizar y que generan en las entidades destinatarias del Manual de Gobierno Digital, la correlativa obligación de proteger dicha información en observancia del marco legal vigente.
  37. Propietario de la información (titular): Es la unidad organizacional o proceso donde se crean los activos de información.
  38. Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.
  39. Sistema de Información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales. Conjunto de aplicaciones que interactúan entre sí para apoyar un área o proceso del IPSE.
  40. Terceros: Personas naturales o jurídicas que tienen un contrato tercerizado y prestan un servicio a la entidad y hacen uso de la información y los medios tecnológicos dispuestos por la entidad.
  41. Test de penetración: Es un ataque dirigido y controlado hacia componentes de infraestructura tecnológica para revelar malas configuraciones y vulnerabilidades explotables.
  42. VPN: Red virtual privada por sus siglas en ingles Virtual Private Network.
  43. Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.

ARTICULO QUINTO: PRINCIPIOS RECTORES. El IPSE, adopta los siguientes principios establecidos en el artículo 4 de la ley 1581 de 2012, para la política de seguridad y privacidad de la información y seguridad digital:

  1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad regulada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
  2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
  3. Principio de libertad. El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en ausencia de mandato legal o judicial que releve el consentimiento;
  4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
  5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
  6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente. Ley y la Constitución. En este sentido, el Tratamiento solo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente Ley; Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para bridnar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
  7. Principio de seguridad: La información estará sujeta al procedimiento ejecutado por el responsable o encargado del tratamiento, el cual deberá utlizar las medidas técnicas, huamnas y administrativas que sean necesarias para garantizar la seguridad de los registros y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, según lo descrito en la ley;
  8. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente Ley y en los términos de la misma.
  9. Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal y/o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de datos.
  10. Principio de necesidad: Los datos personales tratados deberán ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

ARTÍCULO SEXTO: POLÍTICA. La presente política obedece a un mandato constitucional y legal, en cuanto a la protección del derecho fundamental que tienen todas las personas a conocer, actualizar y ratificar la información que haya sido recogida sobre ellas en bases de datos o archivos, dando así la garantía de la protección de los demás derechos, libertades respecto del tema. El IPSE, en cumplimiento de sus funciones y entendiendo la importancia de una adecuada gestión de la información, se ha comprometido a proteger, preservar y administrar la confidencialidad, integridad, disponibilidad y no repudio de la información de la Entidad, mediante una gestión integral de riesgos, implementación de controles físicos y digitales, orientados a la mejora continua. Para asegurar la dirección estratégica del IPSE se establece la compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la información así:

  1. Implementar,
  2. Operar y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios.
  3. Minimizar el riesgo de vulnerabilidad en la seguridad de la información en la ejecución de los procesos misionales de la entidad.
  4. Cumplir con los principios (Disponibilidad, Integridad y Confidencialidad) de seguridad de la información.
  5. Mantener la confianza de los servidores públicos, colaboradores y terceros.
  6. Apoyar la innovación tecnológica.
  7. Proteger los activos de información.
  8. Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
  9. Fortalecer la cultura de seguridad de la información en los servidores públicos, colaboradores y terceros, que hacen parte del IPSE.
  10. Verificar de manera periódica el cumplimiento de las políticas de seguridad de la información.
  11. Proponer para que todos los servidos públicos, contratistas y terceros cumplan con las políticas, lineamientos, y buenas prácticas de seguridad de la información establecidas en la Política de Seguridad de la Información.

ARTÍCULO   SÉPTIMO:   RESPONSABLE   DEL   TRATAMIENTO. El IPSE, será responsable del tratamiento de los datos personales y Política de Seguridad y Privacidad de la información y Seguridad Digital, hará uso de los mismos únicamente para las finalidades para las que se encuentra facultado de conformidad con lo establecido en la Constitución y la normatividad vigente.

Datos de identificación del responsable del tratamiento:

ARTÍCULO OCTAVO: DERECHOS DE LOS TITULARES DE LOS DATOS. El IPSE, garantiza al titular de datos personales, el pleno ejercicio de los derechos que se enuncia a continuación de conformidad con lo establecido en la Ley 1581 de 2012 y demás normas aplicables:

  1. Acceder, conocer, actualizar y rectificar. Sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado; Solicitar prueba de la existencia de la autorización otorgada al responsable del Tratamiento salvo cuando expresamente se exceptúe la autorización;
  2. Recibir información por el responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
  3. Acudir ante las autoridades legalmente constituidas, en especial ante la Superintendencia de Industria y Comercio -SIC y presentar quejas por infracciones a lo dispuesto en la normatividad vigente, previo trámite de consulta o requerimiento ante el responsable del tratamiento.
  4. Modificar y revocar la autorización y/o solicitar la supresión de los datos personales cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales vigentes.
  5. Tener conocimiento y acceder en forma gratuita a sus datos personales, que hayan sido objeto de tratamiento.

ARTÍCULO NOVENO: PERSONAS LEGITIMADAS PARA EL EJERCICIO DE LOS DERECHOS DE TITULARES DE DATOS PERSONALES. Los derechos establecidos en el artículo 7 del presente documento, podrán ser ejercidos por las siguientes personas:

  1. Por el titular, quien deberá acreditar su identidad en forma suficiente por los medios que el IPSE le ponga a disposición.
  2. Por sus causahabientes, quienes deberán acreditar tal calidad.
  3. Por el representante o apoderado del titular, previa acreditación de la representación o apoderamiento.
  4. Por estipulación a favor de otro o para otro.

ARTÍCULO DÉCIMO: TRATAMIENTO AL CUAL SON SOMETIDOS LOS DATOS PERSONALES Y SU FINALIDAD. El IPSE, como responsable del tratamiento de los datos personales contenidos en las bases de datos u/o archivos que gestiona, realizará la recolección a través de medios físicos o digitales, almacenamiento en infraestructura tecnológica o archivos físicos, uso para las finalidades específicas en diferentes medios, de circulación permitida en el marco normativo y administración de los mismos de acuerdo a las políticas de operación, sin permitir en ningún caso el acceso a la información por terceros salvo en casos expresamente previstos en la Ley, ni la violación de derechos de los titulares, con el fin de:

  1. Permitir el desarrollo del objeto del IPSE, en los términos de los artículos 4 del Decreto 257 de 2004, o las normas que los modifiquen, subroguen o deroguen.
  2. Desarrollar los estudios previos y procesos de selección para la contratación oficial del IPSE destinada a garantizar el funcionamiento de la entidad y la ejecución de
  3. Realizar la selección, contratación y/o vinculación de servidores públicos y contratistas de prestación de servicios de la entidad.
  4. Mantener actualizada la historia laboral y registros de nómina de funcionarios del
  5. Atender y resolver peticiones, quejas, reclamos, sugerencias y
  6. Conservar evidencia de los eventos realizados, audiencias de adjudicación de contratos, reuniones internas y externas.
  7. Atender requerimientos de información de entes de control tanto internos como
  8. Efectuar la convocatoria y generar evidencia de la realización de sesiones de rendición de cuentas y participación ciudadana.
  9. Medir y realizar seguimiento a los niveles de satisfacción de los usuarios de los servicios IPSE, a través de encuestas.
  10. Registrar y/o autorizar el ingreso a las instalaciones
  11. Realizar análisis de seguridad para garantizar la protección de las personas y los bienes materiales que se encuentren en las instalaciones del IPSE.
  12. Realizar monitoreo a través de sistemas de video vigilancia para mitigar riesgos de seguridad física y del entorno en el perímetro e instalaciones del IPSE.

ARTÍCULO DÉCIMO PRIMERO: PROCEDIMIENTO PARA EL EJERCICIO DE LA POLÍTICA. El IPSE, garantizará el derecho de acceso a los datos personales, una vez se haya verificado la identidad del titular, sus causahabientes o sus representantes legales dejando a disposición de estos, los respectivos datos personales.

Para tal efecto el IPSE dejará a disposición los medios electrónicos existentes en la entidad. Con el fin de garantizar este derecho, que serán los mismos utilizados para la recepción y atención de peticiones, quejas y reclamos, sugerencias y denuncias, administrado por el grupo de atención al ciudadano y los canales de atención destinado para ello.

Los demás lineamientos alrededor de la Política de Seguridad y Privacidad de la Información y Seguridad Digital, están desarrollados en el documento publicado por el IPSE – Política de Seguridad y Privacidad de la Información y Seguridad Digital.

ARTÍCULO  DÉCIMO  SEGUNDO:  CONSULTAS  Y  RECLAMOS. El Instituto de Planificación y Promoción de Soluciones Energéticas para las Zonas no Interconectadas – IPSE, adoptará el procedimiento establecido en el artículo 14 y 15 de la Ley 1581 de 2012 por el cual se dictan disposiciones generales de protección de datos y documento de política de Seguridad y Privacidad de la Información y Seguridad Digital del IPSE así:

“Los Titulares o sus causahabientes podrán. Consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando. Se pueda mantener prueba de esta.

Independientemente del mecanismo que se implemente para la atención de solicitudes de consulta, estas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. En el evento en el que una solicitud de consulta no pueda ser atendida dentro del término señalado , se informará al interesado antes del vencimiento del plazo las razones por las cuales no se ha dado respuesta a su consulta , la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término”.

PARAGRAFO 1: El titutar o sus causahabientes en la medida en que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la normativa sobre Protección de Datos Personales, podrán presentar un reclamo ante el responsable del tratamiento.

PARAGRAFO 2: Las consultas que se efectúen respecto a datos personales y referente a la política de Seguridad y Privacidad de la Información y Seguridad Digital deberán ser remitidas  mediante  un  correo  electrónico  a la siguiente dirección sistemas@ipse.gov.co. En esa consulta, el titular deberá indicar si desea que sus datos sean actualizados, rectificados o suprimidos o bien si desea revocar la autorización que se había otorgado para el tratamiento de los datos personales, conforme con lo previsto en el artículo 15 de la Ley 1581 de 2012.

PARAGRAFO 3: El IPSE, adoptará para dar alcance a los reclamos, el procedimiento establecido en el artículo 15 de la Ley 1581 de 2012. ARTÍCULO DÉCIMO TERCERO: ACTUALIZACIÓN Y RECTIFICACIÓN DE DATOS. El IPSE, como responsable del tratamiento de los datos, deberá rectificar y actualizar a solicitud del titular toda la información que de esté, resulte ser incompleta o inexacta. Para estos efectos, el titular o su causahabiente o representante legal, señalará las actualizaciones y rectificaciones a que diere lugar, junto a la documentación que soporte la solicitud. ARTÍCULO  DÉCIMO  CUARTO:  REVOCATORIA  DE  LA  AUTORIZACIÓN  Y/O SUPRESIÓN DE DATOS. El titular de la información podrá en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de conformidad con lo establecido en el artículo 15 de la ley 1581 de 2012 y el artículo 9 del Decreto 1377 de 2013.

Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización. y/o la supresión de los datos personales. Parra estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.

ARTÍCULO DÉCIMO QUINTO: CONSIDERACIONES PARA EL TRATAMIENTO DE DATOS PERSONALES SENSIBLES Y DATOS PONENCIAS DE NIÑOS, NIÑAS Y ADOLESCENTES. Los datos personales de los menores de 18 años, salvo aquellos que por su naturaleza son públicos en los términos de la Ley 1581 de 2012, pueden ser objeto de tratamiento siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, las niñas y adolescentes y se asegure sin excepción alguna el respeto de sus derechos prevalentes en el marco de la Ley 1098 de 2006 o cualquiera que la adicione, modifique, derogue o subrogue.

ARTÍCULO DÉCIMO SEXTO: DIVULGACIÓN Y SOCIALIZACIÓN. La política de tratamiento de los datos personales y Política de Seguridad y Privacidad de la información y Seguridad Digital adoptada por el IPSE, será divulgada y socializada a través del portal web y en la Intranet de la Entidad y rige a partir de la fecha de su expedición.