Política de privacidad

1.                  OBJETIVOS

El objetivo principal de esta Política de Protección de Datos Personales (en adelante la “Política”) es establecer las reglas y criterios aplicables al tratamiento de los datos de carácter personal recopilados por ILUMNO SERVICIOS DE COLOMBIA S.A.S. (en adelante la “Compañía”), de conformidad con los lineamientos establecidos en el marco normativo aplicable. De igual forma, mediante esta Política se ponen en conocimiento de los Titulares de los Datos Personales los derechos que les asisten, los procedimientos y mecanismos dispuestos por la Compañía para que los Titulares puedan hacer efectivos sus derechos y se dan a conocer las finalidades del Tratamiento a las cuales serán sometidos los Datos Personales en caso de que el Titular otorgue su autorización expresa, previa e informada o cuando los datos puedan ser tratados sin dicho consentimiento por encontrarse dentro de alguna de las excepciones legales

2.                  ALCANCE

Esta Política es aplicable a todos los datos personales contenidos en cualquier base de datos que los haga susceptibles de Tratamiento por parte de la Compañía. No obstante, esta Política no es aplicable a: 

  • Las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico. No obstante, cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso la Compañía quedará sujeta a las disposiciones contenidas en esta Política.
  • Las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo;
  • Las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;
  • Las bases de datos y archivos de información periodística y otros contenidos editoriales;
  • Las bases de datos y archivos regulados por la Ley 1266 de 2008;
  • Las bases de datos y archivos regulados por la Ley 79 de 1993.

3.                  IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

ILUMNO SERVICIOS DE COLOMBIA S.A.S., sociedad legalmente constituida mediante documento privado de fecha 8 de noviembre de 2016, identificada con el NIT 901.033.366-0 y matrícula mercantil No. 2758848, domiciliada en Bogotá, Colombia. Dirección comercial y de notificación judicial: Carrera 19 No. 84 – 72 de Bogotá, Colombia. Correo electrónico comercial y de notificación judicial: Juanita.Bernal@ilumno.com Teléfono: (+57) 3160186500.

4.                  GENERALIDADES

4.1. Marco Normativo. Esta Política está fundamentada en la siguiente normatividad: artículos 15 y 20 de la Constitución Política de Colombia; Ley 1266 de 2008; Ley Estatutaria 1581 de 2012 por la cual se dictan disposiciones generales para la Protección de Datos Personales (LEPD); Decreto 1377 de 2013 por el cual se reglamenta parcialmente la Ley Estatutaria 1581 de 2012; Decreto 886 de 2014; Decreto 1074 de 2015; Circular 02 del 3 de noviembre de 2015 expedida por la Superintendencia de Industria y Comercio; y las demás normas que modifiquen, deroguen, desarrollen, sustituyan y/o complementen la normatividad mencionada.

4.2. Definiciones. Para todos los efectos, los siguientes términos serán aplicables a esta Política:  

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
  • Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Datos sensibles: Se entiende por datos sensible aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  • Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
  • Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
  • Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
  • Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

4.3.         Principios Rectores. La presente Política está orientada por los siguientes principios rectores:

  • Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere esta Política es una actividad reglada, sujeta a lo establecido en el marco normativo aplicable.
  • Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con lo establecido en la Constitución, la Ley y esta Política de Tratamiento de Datos Personales, la cual debe ser informada al Titular.
  • Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización por parte del Titular.
  • Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
  • Principio de transparencia: En el Tratamiento se garantizará el derecho del Titular a obtener de la Compañía, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
  • Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones del marco normativo aplicable. En consecuencia, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas encargadas del Tratamiento. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme al marco normativo aplicable.
  • Principio de seguridad: La información sujeta a Tratamiento por la Compañía se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en el marco normativo aplicable.
  • Principio de Confidencialidad y Tratamiento posterior: Todo dato personal que no sea Dato Público debe tratarse por la Compañía como confidencial, aun cuando la relación contractual o el vínculo entre el Titular del Dato Personal y la Compañía haya terminado. A la terminación de dicho vínculo, tales datos personales deben continuar siendo tratados de conformidad con lo establecido en esta Política y en el marco normativo aplicable.
  • Principio de Temporalidad: La Compañía no usará la información del Titular más allá del plazo razonable que exija la finalidad que fue informada al Titular.
  • Principio de Necesidad: Los Datos Personales solo pueden ser tratados durante el tiempo y en la medida que el propósito de su Tratamiento lo justifique.

5.                  TRATAMIENTO Y FINALIDADES DE LAS BASES DE DATOS

La Compañía efectúa el Tratamiento de datos personales, de forma manual o automatizada, en calidad de responsable del Tratamiento, en desarrollo de su objeto social y del giro ordinario de sus negocios, estrictamente para las siguientes finalidades:

  • Administrar y gestionar la información de accionistas de la Compañía para el reconocimiento, protección y ejercicio de sus derechos;
  • Desarrollar relaciones comerciales con terceros;
  • Cumplir con los procesos internos de la Compañía en materia de administración de proveedores y contratistas;
  • Dar cumplimiento a los contratos de servicios celebrados con los clientes;
  • Desarrollar actividades de mercadeo y promocionales;
  • Dar cumplimiento a obligaciones contraídas con el Titular y cualquier otra finalidad que resulte en el desarrollo del contrato o de la relación que existe entre el Titular y la Compañía;
  • El control y la prevención de actividades relacionadas con el lavado de activos y financiamiento del terrorismo, de conformidad con las políticas internas de la Compañía, incluyendo, sin limitarse a, consulta en listas restrictivas;
  • Administrar y gestionar la información de los empleados de la Compañía con el fin de dar cumplimiento a las obligaciones de carácter laboral, incluyendo, sin limitarse a, la ejecución de los contratos laborales, la regulación aplicable al Sistema Integral de Seguridad Social, el desarrollo de actividades de capacitación para los empleados de la Compañía y otras actividades relacionadas con el bienestar de los empleados;
  • Administrar y gestionar la información necesaria para el cumplimiento de las obligaciones tributarias, comerciales, corporativas y contables de la Compañía;
  • Para actividades de mercadeo, estadísticas, de investigación y demás propósitos comerciales que no contravengan el marco normativo vigente;
  • Para soportar procesos de auditoría interna o externa;
  • Para desarrollar las actividades que le encomienden sus clientes, en ejercicio de lo cual actuará como Encargado del Tratamiento limitando los tratamientos de información personal suministrada por dichos Responsables o recopilada en su nombre a las instrucciones precisas que se establezcan en los respectivos contratos; y    
  • Las demás finalidades que determine la Compañía en su calidad de responsable del Tratamiento de Datos Personales con el fin de dar cumplimiento a su objeto social, a las obligaciones legales y regulatorias y a las políticas y procedimientos internos de la Compañía, las cuales sean comunicados a los Titulares en el momento de la recolección de los Datos Personales.

Limitaciones Temporales al Tratamiento: La Compañía solamente podrá conservar los Datos Personales durante el tiempo que sea razonable y necesario de acuerdo con las finalidades que justificaron su recolección, uso, circulación y demás actividades de tratamiento; una vez cumplidas las finalidades, se deben suprimir los datos personales. No obstante, los Datos Personales deberán ser conservados cuando así sea requerido para el cumplimiento de una obligación legal o contractual.

6.                  DERECHOS DE LOS TITULARES

De conformidad con lo establecido en el Marco Normativo, los Titulares de los Datos Personales tienen los siguientes derechos:

  • Conocer, actualizar y rectificar sus datos personales frente a la Compañía. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
  • Solicitar prueba de la autorización otorgada a la Compañía salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012 y demás normatividad aplicable;
  • Ser informado por la Compañía, previa solicitud, respecto del uso que le ha dado a sus datos personales;
  • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y demás normas que constituyen el marco legal aplicable;
  • Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular de la información tenga un deber legal o contractual de permanecer en la Base de Datos y/o Archivos;
  • Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento por parte de la Compañía.

7.                  DEBERES DE LA COMPAÑÍA (Responsable del Tratamiento)

La Compañía deberá dar estricto cumplimiento a los siguientes deberes, sin perjuicio de las demás disposiciones previstas en el marco normativo aplicable:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar, en las condiciones previstas en el marco normativo aplicable, copia de la respectiva autorización otorgada por el Titular.
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible
  • Realizar oportunamente la actualización, rectificación o supresión de los datos, en los términos establecidos en esta Política y en el marco normativo aplicable.
  • Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en esta Política y en el marco normativo aplicable.
  • Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella, de conformidad con lo establecido en esta Política.
  • Respetar en todo momento las condiciones de seguridad y privacidad de la información del Titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados en esta Política y en el marco normativo aplicable.
  • Informar, a solicitud del Titular, sobre el uso dado a sus datos.
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

8.                  ÁREA RESPONSABLE

La Compañía ha designado al área de Seguridad de la Información como responsable de la implementación, aplicación y observancia de esta Política. Así mismo, el área de Seguridad de la Información es responsable de la atención de peticiones, consultas y reclamos por parte de los Titulares de la información, con el fin de que éstos puedan ejercer sus derechos a: (i)conocer, actualizar, rectificar y suprimir sus datos; (ii) revocar la autorización, de conformidad con el marco normativo aplicable, (iii) solicitar prueba de la autorización y (iv) solicitar información sobre el uso dado a sus datos. A efectos de lo anterior, todos los funcionarios de la Compañía que realizan el Tratamiento de Datos Personales en las diferentes áreas de la Compañía están obligados a reportar estas Bases de Datos al área de Seguridad de la Información y a dar traslado a ésta de manera inmediata, de todas las peticiones, quejas o reclamos que reciban por parte de los Titulares de Datos Personales. Los Titulares pueden contactar al área de Seguridad de la Información, teniendo en cuenta la siguiente información:

Dirección Física:Carrera 19 No. 84 – 72 de Bogotá, Colombia
Email:protecciondedatos@ilumno.com
Teléfono:+57 3160186500
Cargo de la Persona de Contacto:Director de Servicios TI 

9.                  PROCEDIMIENTOS PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

Los Titulares pueden ejercer sus derechos, listados en las secciones 6 y 8 anteriores, de conformidad con los siguientes procedimientos:

9.1. Consultas: Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos de la Compañía, de acuerdo con las siguientes reglas: 

  • Los Titulares podrán presentar consultas físicas, por correo electrónico o por vía telefónica, de conformidad con los datos de contacto mencionados en el numeral 8 de esta Política.
  • Toda consulta que se reciba será atendida por la Compañía en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.
  • Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta. No obstante, la Compañía deberá dar respuesta a cualquier consulta dentro de un plazo máximo de quince (15) días hábiles contados a partir de la fecha inicial de recibo de la misma.
  • La Compañía deberá guardar prueba de la consulta y su respuesta.

9.2. Reclamos: El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en el marco normativo aplicable, podrán presentar un reclamo ante la Compañía, el cual será tramitado bajo las siguientes reglas: 

  • Los Titulares podrán presentar el reclamo por medios físicos, por correo electrónico o por vía telefónica, de conformidad con los datos de contacto del Área Responsable mencionados en esta Política.
  • En la solicitud de reclamo los Titulares deberán señalar claramente la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañar los documentos que se quiera hacer valer.
  • Si el reclamo resulta incompleto, la Compañía requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.
  • Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
  • Una vez recibido el reclamo completo, la Compañía incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  • El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho

(8) días hábiles siguientes al vencimiento del primer término

10.              AUTORIZACIÓN Y RECOLECCIÓN DE DATOS

El Tratamiento de los Datos Personales por parte de la Compañía requiere de la autorización previa, libre, expresa e informada del Titular salvo que aplique una excepción legal. La Compañía ha dispuesto los mecanismos necesarios para obtener la autorización de los Titulares, sus causahabientes o representantes legitimados. La autorización será solicitada por parte de la Compañía al Titular a más tardar en el momento de la recolección de sus datos. La autorización de los Titulares podrá darse cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización. No obstante, en ningún caso el silencio podrá asimilarse a una conducta inequívoca. La Compañía deberá conservar prueba de la autorización otorgada por los Titulares de los datos personales para el Tratamiento de los mismos. Ninguna actividad de la Compañía podrá condicionarse a que el Titular suministre Datos Personales sensibles.

10.1. Excepciones a la obtención de autorización: En los siguientes casos no se requerirá de autorización del Titular para realizar el Tratamiento:

  • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden

judicial;

  • Datos de naturaleza pública;
  • Casos de urgencia médica o sanitaria;
  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
  • Datos relacionados con el Registro Civil de las Personas.

10.2. Contenido de la solicitud de autorización: La autorización solicitada por parte de la Compañía a los Titulares deberá incluir como mínimo la siguiente información:

  • El Tratamiento al cual serán sometidos sus datos personales, qué datos se recopilan y la finalidad del tratamiento de los datos;
  • Los derechos de acceso, corrección, actualización o supresión de los datos personales suministrados por el titular, de solicitar información frente al uso dado a los datos personales y de revocar la autorización y de presentar quejas ante la Superintendencia de Industria y Comercio y los canales para su presentación;
  • En caso de que se recopilen Datos Sensibles, la indicación de tal circunstancia y el carácter facultativo de la respuesta en relación con tales Datos Sensibles;
  • La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento.
  1. Revocatoria de la Autorización: Los Titulares tienen la facultad de solicitar en cualquier momento a la Compañía la supresión de sus datos personales y/o revocar la autorización que han otorgado para el Tratamiento de los mismos. Lo anterior, de conformidad con los procedimientos establecidos para tal efecto en esta Política. Este derecho no será aplicable cuando haya un deber legal o contractual de permanecer en la base de datos.
  1. Recolección de Datos Personales: Para efectos de la recolección de Datos Personales, la Compañía deberá tener en cuenta la finalidad del tratamiento y/o de la base de datos. Por lo tanto, los Datos Personales deben ser datos adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen. Los Datos Personales que se encuentren en fuentes de acceso público, independientemente de cuál sea el medio por el cual se tenga acceso, pueden ser tratados por cualquier persona, siempre que tales datos, por su naturaleza, sean datos públicos.

11.              MEDIDAS DE SEGURIDAD

La Compañía, con el fin de cumplir con el principio de seguridad consagrado en el artículo 4 literal g) de la LEPD, ha implementado medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Adicionalmente, la Compañía, mediante la suscripción de los correspondientes contratos de transmisión, ha requerido a los Encargados del Tratamiento con los que trabaja la implementación de las medidas de seguridad necesarias para garantizar la seguridad y confidencialidad de la información en el tratamiento de los datos personales.  La Compañía ha implementado diferentes controles bajo los lineamientos descritos en la norma ISO 27001:2013, por lo que se definieron diferentes políticas, procedimientos y buenas prácticas con el objetivo de fortalecer el aseguramiento de la ciberseguridad al interior de cada uno de los procesos que la componen.  

12.              TRANSMISIÓN DE DATOS PERSONALES

Cuando la Compañía desee enviar o transmitir datos a uno o varios Encargados ubicados dentro y/o fuera del territorio de la República de Colombia, deberá suscribir cláusulas contractuales o un contrato de transmisión de datos personales en el que, entre otros, se pacte lo siguiente:

  • Los alcances del tratamiento;
  • Las actividades que el Encargado realizará en nombre del Responsable del Tratamiento;
  • Las obligaciones que debe cumplir el Encargado respecto del Titular del dato y el Responsable del Tratamiento;
  • La obligación del Encargado de dar cumplimiento a las obligaciones del Responsable observando la presente política;
  • El deber del Encargado de tratar los datos de acuerdo con la finalidad autorizada para el mismo y observando los principios establecidos en la ley colombiana y la presente política;
  • La obligación del Encargado de proteger adecuadamente los datos personales y las bases de datos, así como de guardar confidencialidad respecto del tratamiento de los datos transmitidos;

13.              TRANSFERENCIA DE DATOS A TERCEROS PAÍSES

Está prohibida la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que exige el marco normativo aplicable a esta Política. No obstante, lo anterior, de conformidad con lo establecido en el marco normativo aplicable, la transferencia de datos personales a terceros países podrá realizarse en las siguientes situaciones:

  • A países sobre los cuales la Superintendencia de Industria y Comercio haya declarado como países adecuados en materia de protección de datos.
  • Cuando se hayan suscrito contratos de transferencia y/o transmisión de datos en los términos establecidos en la legislación vigente.
  • Cuando el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;
  • Cuando se requiera un intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
  • Cuando se trate de transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable a tales transacciones;
  • Cuando se trate de transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
  • Cuando se trate de transferencias necesarias para la ejecución de un contrato entre el Titular y la Compañía, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;
  • Cuando se trate de transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando se haya obtenido una declaración de conformidad por parte de la de la Superintendencia de Industria y Comercio en los casos no previstos en esta sección de esta Política.

14.              EVENTOS EN LOS QUE LA COMPAÑÍA ACTÚA EN CALIDAD DE ENCARGADO

La Compañía, en desarrollo de su objeto social y dentro del giro ordinario de sus negocios, podrá actuar como Encargado del Tratamiento de Datos personales por cuenta de terceros Responsables. 

Como Encargado, la Compañía cumplirá, además de la normativa vigente en materia de Protección de Datos en Colombia, las instrucciones sobre medidas y procedimientos necesarios para la adecuación de las operaciones que imparta la Superintendencia de Industria y Comercio, y la Política de Tratamiento de la Información implementada por los Responsables del Tratamiento.

14.1.           Sujeción a las finalidades autorizadas por los Titulares

La Compañía tratará los datos, a nombre del Responsable, durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el Tratamiento y atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del Tratamiento, y sin perjuicio de normas legales que dispongan lo contrario, la Compañía procederá a la supresión de los Datos personales en su posesión. Sin embargo, conservará los Datos personales cuando así se requiera para el cumplimiento de una obligación legal o contractual. 

14.2.           Derechos de los Titulares y mecanismos dispuestos para su ejercicio

En caso de que la Compañía deba, a nombre de un Responsable, tratar Datos personales de niños, niñas o adolescentes, lo hará velando por su uso adecuado y en observancia de lo dispuesto en la autorización que, para el efecto, deberá obtener el Responsable.

Cuando la Compañía actúe como Encargado,  los Titulares podrán ejercer sus derechos a (i) conocer, actualizar y rectificar sus Datos personales; (ii) solicitar información sobre el uso que se le ha dado a sus datos; (iii) presentar Consultas y Reclamos y (iv) acudir ante la Superintendencia de Industria y Comercio una vez agotado el procedimiento dispuesto por la Compañía para tal fin. En caso de que la resolución de la consulta o reclamo no pueda ser atendida por la Compañía como Encargada del Tratamiento, dará traslado al Responsable dentro de los términos legales. Para esto se han dispuesto canales y mecanismos de fácil acceso para que los Titulares ejerzan sus derechos ante el área de Seguridad de la Información como se describe en las secciones 8 y 9 de esta Política.

La Compañía adoptará las medidas razonables para asegurar que los datos personales que reposan en las Bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable, en cumplimiento de sus obligaciones haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

14.3.           Deberes como Encargado

Se observarán los siguientes deberes sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan la actividad:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley;
  • Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos en la Ley;
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
  • Registrar en la Base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la Ley;
  • Insertar en la Base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del Dato personal;
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

En el evento en que concurran en la Compañía las calidades de Responsable del Tratamiento y Encargado del Tratamiento, estará obligada al cumplimiento de los deberes descritos y de los deberes de los Responsables desarrollados en la sección 7 de esta Política. 

14.4.           Seguridad de la Información

La Compañía implementa y evalúa constantemente las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Igualmente, documenta los procedimientos para el Tratamiento, conservación y supresión de Datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio. Estas medidas se describen en la sección 11 de esta política.

En caso de presentarse violaciones que afecten la seguridad de la información objeto de Tratamiento generando riesgos en su administración, se comunicará tanto al Responsable, como a la Superintendencia de Industria y Comercio de acuerdo con lo dispuesto en la normativa vigente, los procedimientos dispuestos para estos incidentes y lo contenido el Contrato de Transmisión de Datos personales, de haberse celebrado.  

15.              VIGENCIA

Las bases de datos responsabilidad de la Compañía, serán objeto de tratamiento durante el tiempo que sea razonable y necesario para la finalidad para la cual son recabados los datos. Una vez cumplida la finalidad o finalidades del tratamiento, y sin perjuicio de normas legales que dispongan lo contrario, la Compañía procederá a la supresión de los datos personales en su posesión salvo que exista una obligación legal o contractual que requiera su conservación. Por todo ello, las bases de datos han sido creadas sin un periodo de vigencia definido. Esta Política rige a partir del 1 de julio de 2017.

16.              ACTUALIZACIÓN Y CAMBIOS A LA POLÍTICA

Cuando la Compañía realice cambios en el contenido de la Política, en aras de mantener su vigencia, incluirá la última fecha de la última actualización. Cuando el cambio afecte el contenido de la autorización, como la identificación del Responsable o la finalidad del Tratamiento de los Datos personales, se comunicará oportunamente a los Titulares de una manera eficiente a través de la página web de la Compañía o de cualquier medio que se considere idóneo para tal propósito y, en todo caso, antes de que dichos cambios sean implementados. Cuando los cambios se refieran a la finalidad del Tratamiento, la Compañía deberá, además, obtener una nueva autorización de los Titulares.

17.              ANEXOS

  • Glosario: N/A 
  • Tabla de Acrónimos: N/A 

Control de Cambios

VersiónFechaSolicitado porDescripción del Cambio
101/07/2017Abogado CorporativoEmisión inicial del documento
214/03/19Abogado CorporativoActualización general
313/11/2020Abogado CorporativoActualización general
422/02/2021Director GeneralActualización de datos de contacto
523/11/2022Abogado CorporativoActualización general
608/03/23Abogado CorporativoActualización de datos de contacto
Scroll to Top