POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE BIG PASS SAS
1. Big Pass SAS, sociedad legalmente constituida, distinguida con el NIT No. 800.112.214-2, domiciliada en la ciudad de Bogotá D.C., en la calle 72 No. 10-07, oficina 201, con conmutador 319-11-00, correo electrónico: habeasdata-co@edenred.com y en el Portal de Privacidad de Datos para atender cuestiones relacionadas con el ejercicio del derecho de habeas data.
2. Ley aplicable. - Este documento es un desarrollo particular de los artículos 15 y 20 de la de la Constitución Política de Colombia (arts. 15 y 20), de la Ley 1581 de 2012, del Decreto 1377 de 2013, y demás normas de la materia.
3. Definiciones. – Para la debida aplicación y entendimiento de esta Política, las siguientes expresiones tendrán el significado que aquí se les otorga o el significado que la ley o la jurisprudencia aplicable les den, según dicha ley o jurisprudencia sea modificada de tiempo en tiempo.
- a) La compañía: Será Big Pass S.A.S., identificada con el NIT 800.112.214-2, domiciliada en Bogotá D.C., con dirección física en la calle 72 #10-07, oficina 201, dirección de correo electrónico habeasdata-co@edenred.com y al teléfono +57 (1)3191100.
- b) Administradores delegados: serán los profesionales delegados por el Data Protection Officer, quienes tendrán bajo su responsabilidad cada una de las bases de datos de su departamento o área de trabajo, velarán por el desarrollo de las políticas requeridas para la protección de los datos personales y serán responsables de advertirle oportunamente al oficial de privacidad y tratamiento acerca de los riesgos asociados al tratamiento de datos personales. Dentro de la compañía este rol estará en cabeza de quienes desempeñen los cargos de directores y/o responsables de área. Estas personas serán las encargadas de verificar y controlar el archivo de la información suministrada por los titulares de los datos en asuntos tales como procesos internos de carácter contractual, comercial, financiero, corporativo, administrativo, contable, fiscal y/o tributario; laboral, de seguridad industrial, de seguridad privada, entre otros.
- c) Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
- d) Aviso de privacidad: comunicación verbal o escrita, generada por el responsable, dirigida al titular para el tratamiento de sus datos personales mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de la información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- e) Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso.
- f) Dato personal: es cualquier información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica, incluyendo, pero sin limitarse a, datos de ubicación y contacto y datos sensibles.
- g) Datos sensibles: se refiere a datos tales como los datos relativos a salud del titular o datos biométricos y/o morfológicos.
- h) Encargado del tratamiento: será quien por sí misma o en asocio con otros realizará el tratamiento de datos personales por cuenta del responsable del tratamiento.
- i) Oficial de privacidad y tratamiento o Data Protection Officer: será el responsable de área de protección de datos de la compañía, quien tendrá bajo su responsabilidad el desarrollo de las políticas requeridas para la protección de los datos personales con el fin de incorporarlas a esta Política, así como la responsabilidad de advertir los riesgos asociados al tratamiento de datos personales.
- j) Responsable del tratamiento: será la compañía, quien tendrá la facultad de decidir sobre la base de datos y/o el tratamiento de los datos.
- k) Titular: persona natural cuyos datos personales sean objeto de tratamiento. Es el sujeto del derecho de hábeas data.
- l) Transferencia: es el tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por cuenta del receptor del dato personal, siempre y cuando medie autorización del titular y/o sea necesario en virtud de requerimientos legales o judiciales de autoridad competente.
- m) Transmisión: es la actividad de tratamiento de datos personales mediante la cual se comunican los mismos, internamente o con terceras personas, dentro o fuera del territorio de la República de Colombia, cuando dicha comunicación tenga por objeto la realización de cualquier actividad de tratamiento por cuenta del receptor del dato personal, siempre y cuando medie autorización del titular y/o sea necesario en virtud de requerimientos legales o judiciales de autoridad competente.
- n) Tratamiento de datos personales: es cualquier operación y procedimiento sistemático, electrónico o no, sobre los datos personales, tales como la recolección, conservación, ordenamiento, almacenamiento, modificación, relacionamiento, uso, circulación, evaluación, bloqueo, destrucción, supresión y en general, el procesamiento de datos personales.
4.- Responsable: La Compañía, identificada con el NIT 800.112.214-2, domiciliada en Bogotá D.C., con dirección física en la calle 72 #10-07, oficina 201 y dirección de correo electrónico habeasdata-co@edenred.com será el responsable del tratamiento de los datos personales que llegue a recibir directamente de los titulares que puedan ser tratados conforme a las finalidades definidas en esta Política y que puedan ser capturados de acuerdo a los procedimientos aquí definidos.
4.- Big Pass como Responsable: La Compañía será Responsable del tratamiento de los datos personales cuando suscriba un acuerdo comercial o de servicios que implique que la compañía, será quien tendrá la facultad de decidir sobre la base de datos y/o el tratamiento de los datos.
5.- Ámbito de aplicación.- Esta Política ha sido adoptada por la Compañía y, por lo tanto, debe ser considerada como de obligatorio cumplimiento para todos aquellos con quien se mantenga una relación contractual, financiera, comercial, laboral, contable, tributaria, administrativa o de seguridad privada y control de la compañía que involucre el tratamiento de datos personales.
6.- Principios.- El tratamiento de los datos personales que administre la Compañía se sujetará a los siguientes principios: a) Principio de finalidad: el tratamiento de los datos personales recogidos por la compañía debe obedecer a una finalidad legítima de la cual debe ser informado el titular. b) Principio de libertad: el tratamiento sólo puede llevarse a cabo con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en ausencia de mandato legal o judicial que releve el consentimiento. c) Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. d) Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener de la compañía, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. e) Principio de acceso y circulación restringida: los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados. f) Principio de seguridad: la información sujeta a tratamiento por parte de la compañía se deberá proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. g) Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
7.- Finalidades. El objetivo de la compañía es utilizar únicamente la información necesaria para la satisfacción de intereses legítimos, conforme a la constitución y la ley. La Compañía podrá hacer uso de los datos personales de los titulares, en relación con las finalidades y los trámites referidos en este acápite, incluyendo la transferencia internacional de datos desde y para Colombia, dando cumplimiento a las normas y acuerdos generales de tratamiento de datos personales. Así mismo, la dirección de correo electrónico y la información que se incluya en mensajes o correos electrónicos serán utilizadas para responder al titular o para las finalidades específicamente definidas en la presente Política. La Compañía podrá compartir la información personal suministrada por el titular para el cumplimiento de las finalidades aquí previstas. Con este fin, los datos y la información personal pueden ser transferidos fuera del país o domicilio del titular a otro u otros países, aun cuando no tengan una legislación similar de protección de datos. La Compañía también puede compartir los datos y la información personal de los titulares con otras compañías contratadas para proveer servicios. Estas empresas y nuestros proveedores están obligados contractualmente a utilizar los datos y la información personal que se les comparte única y exclusivamente con los fines establecidos en el correspondiente contrato de prestación de dichos servicios. Los datos personales de los titulares NO serán utilizados con finalidades diferentes a las que esta Política establece para el tratamiento de datos personales y, en el mismo sentido, la Compañía. no venderá ni distribuirá los datos personales de los titulares a compañías, empresas o personas dedicadas a la comercialización o explotación de bases de datos y/o de información. Los datos se almacenan con base en la información entregada a través de los procesos de captura y contratación de servicios definidos por la Compañía. De acuerdo con el artículo 7º del Decreto Reglamentario 1377 de 2013, el envío de los datos personales a la Compañía, o a quien haga sus veces, en procesos de selección, la entrega de tarjetas de presentación, el registro en encuestas, la solicitud o contratación de servicios, la participación en eventos y en general cualquier manifestación de la voluntad que no conste por escrito en virtud de la cual el titular suministre sus datos a la Compañía, constituye una conducta inequívoca, la cual permite concluir de forma razonable que la autorización prevista en la Ley 1581 de 2012 ha sido otorgada en su calidad de titular. De esta forma, la Compañía captura, almacena y usa datos para las siguientes finalidades:
- a) Gestión contable, fiscal y administrativa - Gestión de proveedores y contratistas.
- i) Cumplir con los compromisos, obligaciones y/o requerimientos en materia contable, tributaria y/o fiscal de la compañía.
- ii) El control y la prevención del fraude y de lavado de activos, incluyendo pero sin limitarse a la consulta en listas restrictivas, y toda la información necesaria requerida para el SAGRILAFT.
- iii) Gestión de la información, registros comerciales, corporativos, contables y de facturación de la compañía; manejo de información para la elaboración, emisión, cobro, pago y remisión de las respectivas facturas y/o documentos que se expidan en virtud del desarrollo del objeto social y la actividad comercial de la compañía.
- iv) Registro y consulta de movimientos contables, ventas y compras.
- v) Consulta de información contable de clientes, proveedores, empleados y contratistas; cobro de cartera; cruce de cuentas por pagar; cruce de cuentas por cobrar; elaboración, registro y consulta de informes y libros contables.
- vi) Archivo y actualización de los sistemas de protección y custodia de información en materia tributaria, comercial, corporativa, contable y de facturación; el desarrollo operativo y/o de administración de sistemas informáticos en materia contable y tributaria, a través de software especializado o de cualquier otro que pueda ser adoptado por la compañía.
- b) Recursos humanos - Promoción y selección de personal / Gestión de personal / Gestión de nómina.
- i) Admisión, selección, administración y vinculación de postulantes, empleados y en general del personal de la compañía o de terceros.
- ii) Concesión y gestión de permisos, licencias y autorizaciones; gestión de sanciones, amonestaciones y llamados de atención a los empleados de la compañía.
- iii) Reporte de datos ante las centrales de riesgo financiero.
- iv) Validación de la vinculación al sistema de seguridad social en salud, pensiones, riesgos laborales y caja de compensación familiar de los empleados.
- v) Cumplir con los procesos internos de manejo de nómina de la compañía, pago de salarios, prestaciones sociales y honorarios por servicios; verificación del cumplimiento de aportes y vinculación al sistema de seguridad social en salud, pensiones, riesgos laborales y caja de compensación laboral de los empleados; cumplir con los procesos internos de control de asistencia y el cumplimiento de horario laboral de los empleados de la compañía.
- vi) Cumplir con los procesos internos de la compañía en lo que respecta a la transcripción de incapacidades laborales; otorgar beneficios legales y/o extralegales a los empleados y cualquier otro uso que se considere necesario para dar cumplimiento a la ley u obligaciones de carácter laboral; cumplir con el proceso de archivo, de actualización de los sistemas, de protección y custodia de la información en materia laboral; cumplir con los procesos al interior de la compañía, con fines de desarrollo operativo y/o de administración de sistemas en materia laboral; mantener y procesar por computadora u otros medios, cualquier tipo de información en virtud de la relación laboral o comercial existente entre la compañía y sus empleados, contratistas o contratantes, con el fin de dar cumplimiento a la ley laboral, tributaria, fiscal y en general con las obligaciones propias de los respectivos contratos.
- vii) Cumplir con los procesos internos en materia de seguridad privada, control, registro de ingreso y/o salida de personal, empleados, visitantes y en general terceras personas que, por motivos contractuales, comerciales, publicitarios, laborales y/o administrativos, se les permita la entrada, permanencia y salida a las instalaciones de la compañía.
- viii) Cumplir con el proceso de archivo, de actualización de los sistemas, de protección y custodia de información de la compañía en materia de seguridad privada y control de personal dentro de las instalaciones de la compañía; mantener y procesar por computadora u otros medios, la información, con el fin de dar cumplimiento a las políticas internas de seguridad privada y control de personal que se manejan al interior de la compañía.
- c) Publicidad y prospección comercial / Publicidad propia / Fidelización de clientes y usuarios.
- i) Prestación, comercialización y venta de nuestros productos y servicios en el marco de nuestra actividad comercial.
- ii) Prestación, publicidad, comercialización y venta de bonos empresariales, a través de vales y tarjetas, para solucionar necesidades de nuestros clientes.
- iii) Manejo de comunicaciones, uso de imágenes y fotografías con fines informativos y publicitarios en campañas de comunicación, así como cualquier otra actividad relacionada con nuestros productos y servicios, sean estos actuales y futuros, siempre que se encuentren relacionados con el desarrollo de nuestro objeto social.
- iv) Contactar a los titulares de los datos a efectos de enviarles física o electrónicamente información referente a los productos y servicios de la compañía o bien, de empresas que formen parte del mismo grupo que la compañía; informar sobre cambios de productos y servicios relacionados con el giro ordinario de los negocios de la compañía o de las empresas del mismo grupo de la compañía.
- v) Fidelización de clientes mediante el ofrecimiento y venta de nuestros servicios y productos.
- vi) Efectuar a través de cualquier medio en forma directa o a través de terceros, actividades de mercadeo, de comunicación comercial y actividades de marketing promoción y/o publicidad.
- vii) Servicio al cliente, inteligencia de mercados, mejoramiento del servicio, verificaciones y consultas, habilitación de medios de pago; evaluar la calidad de nuestros productos y servicios.
- viii) Contactar a los titulares de los datos a efectos de enviarles física o electrónicamente información referente a los productos, servicios, ofertas, promociones, invitaciones, publicidad y servicios de la compañía o de las empresas del mismo grupo de la compañía.
- ix) Cumplir con las obligaciones contraídas con nuestros clientes relacionados directa o indirectamente con el objeto social de la compañía para facilitar la correcta ejecución de las compras de los productos y servicios.
- x) Atender PQRS relacionadas con nuestros productos y servicios y en general para realizar actividades comerciales.
- xi) Consulta y reporte de datos negativos ante las centrales de riesgo financiero.
- xii) Recibir información remitida por aliados y proveedores de la compañía que pretendan contactar a los titulares para llevarles opciones comerciales de bienes o servicios que les puedan interesar.
- xiii) Emitir facturas de compraventa conforme a las disposiciones normativas vigentes en Colombia.
- xiv) La gestión y cumplimiento de obligaciones legales o contractuales.
8.- Inventario de bases de datos de La Compañía.- La Compañía cuenta con bases de datos.
9.- Ubicación de las bases de datos. Las bases de datos mencionadas en se emplean para el tratamiento automatizado de los datos.
10.- Tipo de datos recolectados. La compañía recolecta los siguientes tipos de datos personales para ser tratados conforme a las siguientes finalidades:
- a) Gestión contable, fiscal y administrativa - Gestión de proveedores y contratistas.
- i) Datos NO sensibles, tales como: datos generales y específicos de identificación y/o ubicación; así como aquellos relacionados con la actividad comercial, económica y/o personal; datos financieros, crediticios y/o derechos de carácter económico; datos de información tributaria; datos de contacto y datos generales relacionados con la afiliación y aportes al sistema integral de seguridad social de los titulares.
- b) Recursos humanos - Promoción y selección de personal / Gestión de personal / Gestión de nómina.
- i) Datos NO sensibles, tales como: datos generales y específicos de identificación y/o ubicación; así como aquellos relacionados con la actividad comercial, económica y/o personal; datos financieros, crediticios y/o derechos de carácter económico; datos de información tributaria y datos generales relacionados con la afiliación y aportes al sistema integral de seguridad social de los titulares.
- ii) Datos sensibles, tales como: los datos relativos a salud del titular (V.gr. Exámenes, pruebas, estudios, diagnósticos, tratamientos médico-ocupacionales, psicológicos o psiquiátricos, generales o especializados de los empleados); datos de antecedentes judiciales y/o disciplinarios; datos biométricos y/o morfológicos que voluntariamente suministren los titulares o los que puedan ser capturados en archivos de video o archivos electrónicos por razones de seguridad privada y control de la compañía; o aquellos datos sensibles que suministren en el futuro, siempre y cuando medie autorización expresa por parte del titular para ser tratados por la compañía.
- c) Publicidad y prospección comercial / Publicidad propia / Fidelización de clientes y usuarios.
- i) Datos NO sensibles, tales como: datos generales y específicos de identificación y/o ubicación; así como aquellos relacionados con la actividad comercial, económica y/o personal; datos financieros, crediticios y/o derechos de carácter económico; datos de información tributaria y datos de contacto.
- ii) Datos sensibles, tales como: imágenes de personas determinadas o determinables que puedan ser capturados por sistemas de video y vigilancia.
11.- Reglas de retención de datos personales.- Con el objetivo de darle claridad a los titulares de los periodos de retención de sus datos personales conforme a las finalidades expuestas, se establecen las siguientes reglas:
Finalidad | Tiempo de retención | Marco normativo de referencia |
---|---|---|
Recursos humanos - Promoción y selección de personal / Gestión de personal / Gestión de nómina. | Indefinidamente en aquellos datos relacionados a la seguridad social, en concreto: pensión. En los demás temas se retendrá por un periodo de veinte (20) años contados a partir de la finalización del contrato laboral. | Código Sustantivo del Trabajo y la Seguridad Social. Sus modificaciones, ordenada por el artículo 46 del Decreto Ley 3743 de 1950, la cual fue publicada en el Diario Oficial No 27.622, del 7 de junio de 1951, compilando los Decretos 2663 y 3743 de 1950 y 905 de 1951. |
Publicidad y prospección comercial / Publicidad propia / Fidelización de clientes y usuarios. | De cinco (5) a diez (10) años | Código de Comercio DECRETO 410 DE 1971 (marzo 27) Diario Oficial No. 33.339 del 16 de junio de 1971 y sus modificaciones. |
Gestión contable, fiscal y administrativa - Gestión de proveedores y contratistas. | Estatuto Tributario. DECRETO 624 DE 1989 (30 de marzo de 1989) Modificado por la Ley 2277 de 2022, 'por medio de la cual se adopta una reforma tributaria. |
12.- Derechos del titular de los datos personales. De acuerdo con la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes, el titular de los datos personales tendrá los siguientes derechos, los cuales podrá ejercer a través del Portal de Privacidad de Datos diligenciando los campos requeridos.
- a) Conocer, actualizar y rectificar sus datos personales frente al Responsable del Tratamiento de la información. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- b) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012;
- c) Ser informado por la Compañía o por el encargado del Tratamiento, previa solicitud, respecto del uso que se le ha dado a sus datos personales;
- d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen;
- e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución.
- f) Solicitar acceso y acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, de acuerdo con el artículo 21º del Decreto 1377 del 2013.En el evento de que haga más de una consulta por cada mes calendario la Compañía cobrará al titular los gastos de envío, reproducción y certificación de documentos.
- g) Conocer las modificaciones a los términos de esta Política de tratamiento de datos personales de manera previa y eficiente a la implementación de las nuevas modificaciones o, en su defecto, de una nueva Política de tratamiento de datos personales.
- h) Tener fácil acceso al texto de esta Política de tratamiento de datos personales y sus modificaciones.
- i) Acceder de manera fácil y sencilla a los datos personales que se encuentran bajo el control de la compañía para ejercer efectivamente los derechos que la ley les otorga a los titulares.
- j) Conocer a la dependencia o persona facultada por la compañía frente a quien podrá presentar peticiones, quejas, reclamos, consultas y cualquier otra solicitud sobre sus datos personales.
13.-Deberes.- la Compañía tendrá presente, en todo momento, que los datos personales son propiedad de los titulares y que sólo estas pueden decidir sobre los mismos. En consecuencia, hará uso de los datos sólo para los fines antes mencionados y para los que se puedan adicionar posteriormente en la autorización obtenida al momento de recolectar el dato, respetando en todo momento los mandatos de la Constitución, la Ley 1581 de 2012 y el Decreto 1377 de 2013 que la reglamenta. De conformidad con las normas antes citadas la Compañía se obliga a cumplir con los siguientes deberes en lo concerniente con en el tratamiento de datos personales:
- a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de los derechos de habeas data y de petición.
- b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- c) Realizar oportunamente, esto es, en los términos previstos en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos.;
- d) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en el artículo 14 de la Ley 1581 de 2012.
- e) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal.
- f) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- g) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- h) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- i) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
14. Autorización.- La recolección, almacenamiento, uso, circulación o supresión de datos personales, así como su transferencia o trasmisión a un tercero por parte de la Compañía requiere del consentimiento libre, previo, expreso e informado del titular de estos. la Compañía en su condición de responsable del tratamiento de datos personales contenidos en sus bases de datos, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares, garantizando en todo caso que sea posible verificar y comprobar el otorgamiento de dicha autorización. La autorización por parte del Titular de los Datos Personales comprende expresamente la facultad para que la Compañía pueda transferirlos, trasmitirlos, trasladarlos, compartirlos o entregarlos a sus empleados o a terceros vinculados con quienes debe compartirlos, bien sea en el territorio colombiano o en el extranjero, por razón del cabal cumplimiento de su objeto social o de sus derechos y deberes contractuales.
15. Autorización por el responsable. Cuando la compañía oficie como encargada del tratamiento, el tercero responsable deberá garantizar que ha sido previamente autorizado por el titular de los datos personales para transferirlos, transmitirlos, trasladarlos, compartirlos o entregarlos a la Compañía para su tratamiento con los fines antes descritos y también para que la compañía los pueda transferir a terceros involucrados, bien sea en el territorio colombiano o en el extranjero, con quienes deba compartirlos para dar cumplimiento de su objeto social o de sus derechos y deberes contractuales, pudiendo, a su vez , transferirlos, transmitirlos, trasladarlos, compartirlos, entregarlos o divulgarlos para tales fines.
16. Forma de la Autorización.- La autorización puede constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta. De conformidad con lo dispuesto en el artículo 7 del Decreto 1377 de 2013, se entiende que la autorización del titular de los datos personales cumple con los requisitos de ley cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Se entiende que los titulares de datos personales o responsables del tratamiento han autorizado a la Compañía a tratar sus datos personales desde la fecha en que se vincularon contractualmente con la compañía y/o a partir de la cual han remitido sus datos para el tratamiento con el fin de dar cumplimiento a los derechos y deberes contractuales. De la misma manera se entiende que, cuando actuemos como encargados del tratamiento, el responsable del tratamiento ha obtenido el consentimiento previo de los titulares de datos para transmitir a la Compañía estos datos para su tratamiento. Se entiende que toda persona natural o jurídica que se vincule o que se haya vinculado a la Compañía, bajo cualquier modalidad contractual, ha leído, conocido y aceptado la presente Política de tratamiento de datos, que esta hace parte del respectivo contrato y particularmente, que ha otorgado a través del mismo contrato su autorización para el manejo de sus datos personales en los términos de esta.
17. Persona o área encargada de atención de PQRS. La compañía ha designado al Data Protection Officer como la persona encargada de la recepción y atención de peticiones, quejas, reclamos y consultas de todo tipo, relacionadas con los datos personales. El Data Protection Officer conforme a lo establecido en esta Política, tramitarán las peticiones, quejas, reclamos, consultas y cualquier otra solicitud en materia de datos personales, de conformidad con la ley y esta Política de tratamiento de datos personales. Algunas de las funciones particulares del Data Protection Officer en relación con datos personales son:
- a) Recibir las solicitudes de los titulares de datos personales, tramitar y responder aquellas que tengan fundamento en la ley o esta Política de tratamiento de datos personales, por ejemplo:
- i) Solicitudes de actualización de datos personales.
- ii) Solicitudes de conocer los datos personales.
- iii) Solicitudes de supresión de datos personales.
- iv) Solicitudes de información sobre el uso dado los datos personales.
- v) Solicitudes de prueba de la autorización otorgada, cuando ella hubiere procedido según la ley.
- b) Dar respuesta a los titulares de los datos personales sobre aquellas solicitudes que NO procedan de acuerdo con la ley.
18. Procedimiento.- Si el titular de los datos personales considera que la información contenida en las bases de datos de la Compañía debe ser objeto de corrección, actualización, supresión y/o revocación de la autorización otorgada para el tratamiento de los mismos, deberá presentar una PQR ante el responsable o el encargado del tratamiento, el cual será tramitado bajo el siguiente procedimiento:
- a) Consultas La Compañía. dispone de los mecanismos necesarios para que el titular, sus causahabientes, sus representantes y/o apoderados formulen consultas respecto de cuáles son los datos personales del titular que reposan en las bases de datos de la compañía, las cuales serán tramitadas bajo las siguientes reglas:
- i) La consulta se formulará a través del Portal de Privacidad de Datos para atender cuestiones relacionadas con el ejercicio de los derechos de habeas data.
- ii) La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. En el evento que la solicitud no cumpla con los requisitos aquí establecidos o en la ley correspondiente, la Compañía responderá por el mismo medio que fue solicitada aclarando las razones por las que no es posible atenderla. En caso de que la consulta no cumpla con los requerimiento mínimos para su atención, se especificará al titular las faltas u omisiones a la misma para que el titular las pueda subsanar, teniendo en consideración que en caso de no dar respuesta su consulta se tendrá como debidamente atendida.
- iii) Si el solicitante tuviere capacidad para formular la consulta, de conformidad con los criterios de acreditación establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013, la compañía recopilará toda la información sobre el titular que esté contenida en el registro individual de esa persona o que esté vinculada con la identificación del titular dentro de las bases de datos de la compañía y se la hará conocer al solicitante.
- iv) Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
- Reclamos. La Compañía. dispone de los mecanismos necesarios para que el titular, sus causahabientes, sus representantes y/o apoderados que consideren que la información contenida en una base de datos de la compañía debe ser objeto de corrección, actualización o supresión o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2012, el decreto reglamentario 1377 de 2013 o cualquier otra norma que las modifique, complemente o aclare, formulen un reclamo ante el oficial de privacidad y tratamiento de la Compañía., el cual será tramitado bajo las siguientes reglas:
- i) El reclamo se formulará a través del Portal de Privacidad de Datos para atender cuestiones relacionadas con el ejercicio de los derechos de habeas data.
- ii) El reclamo deberá contener el nombre y un documento identificación del titular, la descripción de los hechos que dan lugar al reclamo y el objetivo perseguido (actualización, corrección o supresión, o cumplimiento de deberes), la dirección y los datos de contacto e identificación del reclamante. Así mismo, el reclamo deberá acompañarse con los documentos que el reclamante quiera hacer valer.
- iii) Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
- iv) Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
- v) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de recibido.
- vi) Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
- c) La Compañía. enviará las comunicaciones al titular de la información por el mismo medio por el que recibió la reclamación. Peticiones. La Compañía dispone de los mecanismos necesarios para que el titular, sus causahabientes, sus representantes y/o apoderados formulen peticiones, con el fin de actualizar, modificar, revocar la autorización y/o suprimir los datos, las cuales serán tramitadas bajo las siguientes reglas:
- i) La petición se formulará a través del Portal de Privacidad de Datos para atender cuestiones relacionadas con el ejercicio de los derechos de habeas data. La petición será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. En el evento que la petición no cumpla con los requisitos aquí establecidos o en la ley correspondiente, la Compañía se responderá por el mismo medio que fue solicitada aclarando las razones por las que no es posible atenderla. En caso de que la petición no cumpla con los requerimientos mínimos para su atención, se especificará al titular las faltas u omisiones a la misma para que el titular las pueda subsanar, teniendo en consideración que en caso de no dar respuesta, su consulta se tendrá como debidamente atendida.
- ii) Si el solicitante tuviere capacidad para formular la Petición, de conformidad con los criterios de acreditación establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013, la compañía recopilará toda la información sobre el titular que esté contenida en el registro individual de esa persona o que esté vinculada con la identificación del titular dentro de las bases de datos de la compañía y se la hará conocer al solicitante.
- iii) Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su Petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
19.- Revocatoria de la Autorización. Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal. El titular de la información deberá solicitar claramente si la revocación de su autorización versa sobre la totalidad de las finalidades consentidas inicialmente o si la revocación de su consentimiento recae sobre tipos de tratamiento determinados. Con la revocación parcial del consentimiento se mantienen los otros fines del tratamiento que el responsable, de conformidad con la autorización otorgada, puede llevar a cabo y con los que el titular está de acuerdo.
20.- Facultad de suministrar datos sensibles. El titular, los representantes legales de Niñas, Niños y Adolescentes (NNA), al igual que ellos, son libres de suministrar sus datos sensibles a la compañía, por tanto, queda a su completa facultad y discreción compartir o no tal clase de datos. La compañía únicamente requerirá datos sensibles y/o datos de NNA para dar cumplimiento a su objeto social en el marco de los contratos o acuerdos que se suscriban con los titulares de los datos personales.
19.- Vigencia. Esta Política de tratamiento de datos personales ha sido actualizada en Diciembre de 2023 y rige a partir del 20 de enero de dos mil veinticuatro (2024); podrá ser modificada, corregida o ampliada cuando la Compañía así lo considere necesario. En el evento que surjan cambios sustanciales que afecten la Política de tratamiento aquí establecida, la compañía comunicará oportunamente a los titulares de los datos personales dichos cambios. La comunicación se efectuará a través de las cuentas de correo electrónico de los titulares o mediante publicación en el sitio web de la compañía o sus aplicaciones móviles (app). De la misma manera, los datos personales que sean almacenados, utilizados o transmitidos permanecerán en las diferentes bases de datos personales de la compañía, con base la tabla de Reglas de retención de datos personales aquí definida para las finalidades mencionadas en esta Política de tratamiento de datos personales y para las cuales fueron recolectados.
20.- Acuerdos con encargados. La Compañía podrá suscribir acuerdos con proveedores de servicios. Estos proveedores podrán ser autorizados por la compañía para que directamente o en asocio con otros realicen el tratamiento de datos personales por cuenta de la compañía. Para tal fin la compañía suscribirá un acuerdo para encargado de tratamiento de datos personales.
21.- Aviso de privacidad y tratamiento de datos personales. La Compañía, en calidad de responsable, ha adoptado un aviso de privacidad para informar a los titulares de los datos acerca de la existencia de sus Política de tratamiento de datos personales. Para informar a los titulares acerca de su incorporación en una base de datos, la compañía podrá remitir una comunicación conforme al contenido del aviso de privacidad y la presente Política de tratamiento de datos personales.
22.- Procesos para la captura y almacenamiento de datos personales. La Compañía captura y almacena datos que le son suministrados por clientes, proveedores, visitantes de sus sitios web, aplicaciones móviles (app) y redes sociales y empleados. Teniendo en cuenta lo anterior, el proceso de captura y archivo de los datos personales tratados por la compañía deberá someterse al procedimiento establecido en consideración a la naturaleza del dato, bajo las siguientes reglas generales:
- i) La información será capturada por las personas o entidades que mantengan un vínculo contractual con la Compañía, incluyendo obligaciones de confidencialidad y seguridad de la información.
- ii) La captura implica la aceptación de la Política de tratamiento de datos personales y el otorgamiento de la autorización necesaria de acuerdo con las finalidades del tratamiento de los datos. El otorgamiento de la autorización se efectuará aplicando las condiciones y clausulado establecidas en los contratos que para tal efecto se firmen.
- iii) La información y datos deberán ser almacenados en las bases de datos inventariadas en esta Política.
- iv) La captura de datos de clientes se efectuará con la suscripción del contrato de clientes en el cual se establece el tratamiento de datos personales de acuerdo con las directrices aquí indicadas.
- v) La recepción de hojas de vida podrá realizarse utilizando mecanismos electrónicos tales cómo correo electrónico y referencias personales, así como por remisión directa. Las hojas de vida de personas no contratadas serán eliminadas en un periodo máximo de un (1) año calendario.
- vi) En la recepción de las instalaciones físicas (oficinas) de la Compañía está publicado un aviso informándole al titular que está siendo grabado y la autorización para tal fin será por medio de la conducta inequívoca del titular; así mismo se solicitará el nombre, número de cédula, empresa a la que pertenece y teléfono de contacto en caso de ser visitante.
- vii) La modificación, actualización o supresión de datos personales será ordenada por el oficial de privacidad y tratamiento, previo requerimiento del titular y cumplimiento de los requerimientos aquí establecidos.
23.- Uso de Cookies. La Compañía usará “Cookies”, es decir, archivos o piezas de información que se almacenan por el buscador en el disco duro de la computadora, para obtener información adicional sobre los titulares durante su visita a nuestras páginas o sitios web y aplicaciones móviles (app). La autorización para el tratamiento de datos obtenidos mediante cookies se otorgará de manera inequívocamente expresa mediante la utilización de nuestros sitios web o aplicaciones móviles, así como mediante su autogestión en la configuración de las preferencias de su ordenador.
24.- Medidas de seguridad. En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, la Compañía suscribirá obligaciones de confidencialidad con todos y cada uno sus empleados, proveedores, contratistas y demás personas cuando sea necesario, adoptando las medidas técnicas, tecnológicas, humanas, operativas y administrativas pertinentes para garantizar la seguridad y el control sobre las bases de datos, evitando así su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento por parte de terceros. Los datos almacenados en las bases de datos de la Compañía sólo podrán ser utilizados (tratados) por el personal que se encuentre vinculado mediante contrato laboral, por los proveedores y/o contratistas con quien se mantenga un vínculo de negocios. La Compañía mantendrá sus bases de datos en archivos o repositorios bajo llave y estrictos controles de seguridad y vigilancia por parte del responsable del equipo de Seguridad de la Información de la compañía. Las bases de datos que reposan en archivos o repositorios electrónicos se mantendrán bajo estrictos controles técnicos, tecnológicos y de seguridad de la información con la utilización de claves de acceso, copias de seguridad, antivirus, antimalware, antispyware y demás medidas de seguridad informática, de tal forma que puedan tener acceso solamente los empleados de la compañía autorizados y encargados para tal fin. La Compañía realizará su mejor esfuerzo para garantizar el adecuado control y seguridad de la información personal de todos los titulares, sus clientes, consumidores, proveedores, contratistas, postulantes y empleados, aplicando las más razonables y actuales medidas de seguridad que impidan el acceso no autorizado, y que garanticen el correcto uso de la información y la exactitud de los datos. Los archivos que sean manejados por terceros contratados para el cumplimiento de estas funciones serán controlados por la Compañía de tal forma que el encargado del tratamiento asegure su confidencialidad, uso y acceso restringido.
25.- Política de Seguridad para el uso de imágenes. En virtud de lo establecido por la Ley 1581 de 2012, en lo que respecta al principio de confidencialidad y seguridad, la compañía ha establecido políticas tendientes a garantizar la reserva y seguridad de la información con el fin de evitar su adulteración, perdida, consulta, uso o acceso no autorizado. De acuerdo con lo anterior, todas las personas que intervengan en el tratamiento de datos relacionados con las imágenes capturadas por medio de circuitos de video estarán sujetos a las siguientes directrices:
- a) Finalidades de las imágenes capturadas en circuitos de seguridad. La única finalidad de las imágenes capturadas por medio de cámaras de video que hacen parte del circuito de seguridad de la Compañía es el monitoreo y la observación de las actividades que realizan las personas a lo largo del día. Dicha finalidad se aplicará de forma temporal, es decir, que el periodo de conservación de los datos personales no excederá del necesario para alcanzar la finalidad por la cual se han recolectado; por lo tanto, los videos de seguridad serán eliminados del servidor de la Compañía cada treinta (30) días.
- b) Protocolos de seguridad para la captura y uso de imágenes.
- i. La ubicación del circuito de video para fines de seguridad respetará la vida privada e íntima de las personas.
- ii. La recolección, mantenimiento, uso, supresión y disposición final los datos será supervisado por el oficial de privacidad y tratamiento.
- iii. Las imágenes capturadas deben ser visualizadas en un área de acceso restringido que garantice la seguridad de estas.
- iv. El personal encargado e involucrado en el tratamiento de datos firmará la cláusula de autorización de tratamiento de datos personales para empleados que contiene acuerdos de confidencialidad.
- v. El área que requiera videos de seguridad, por algún tipo de eventualidad relacionado con la seguridad de la compañía, tendrá que realizar la solicitud por escrito al oficial de privacidad y tratamiento, relacionando el día hora y fecha del video requerido. El oficial de privacidad y tratamiento podrá conceder o negar la solicitud, justificando una razón objetiva.
26.- Política de seguridad de la información implementada por la Compañía. La compañía ha implementado una política de seguridad de la información. Sin perjuicio de lo anterior, la compañía establece una guía de observancia que debe ser cumplida por todos y cada uno de los colaboradores (empleados) de la organización, así como por quienes en el marco de sus funciones se encarguen de administrar información propia y de terceros. Por lo tanto, las obligaciones, procesos y procedimientos establecidos están orientados a proteger la información de la compañía, así como la de sus contratistas, clientes, contratantes y cualquier otra persona de naturaleza pública o privada con quien se mantenga una relación contractual o de negocios, a efectos de asegurar el acceso y uso legítimo, evitando la divulgación o destrucción no autorizada.
- a) Ámbito de aplicación y alcance de la política. Esta política ha sido adoptada por la compañía y, por lo tanto, debe ser considerada como de obligatorio cumplimiento para todos aquellos con quienes se mantenga una relación contractual, financiera, comercial, laboral, contable, tributaria, administrativa o de cualquier otra naturaleza que involucre el suministro o recepción de información.
- b) Seguridad de la información. La política de seguridad de la información, seguridad informática y garantía de la información adoptada por la compañía está orientada a proteger la confidencialidad, la integridad y la disponibilidad de la información que pueda ser administrada por la organización, independientemente del formato que tenga, los cuales incluyen, pero no se limitan a: (i) electrónicos, (ii) en papel, (iii) audio y vídeo.
- c) Deberes especiales de confidencialidad. La Compañía, consciente de la importancia estratégica de la información, dispondrá de los recursos necesarios para el adecuado uso de esta. Quienes tengan acceso a la información de la compañía, deberán reconocer y aceptar que la información que les ha sido suministrada es considerada como información confidencial y que por lo mismo están obligados a:
- i) No darla a conocer a terceros no autorizados.
- ii) Abstenerse de reproducirla o divulgarla, total o parcialmente, sin que haya obtenido previa autorización para ello.
- iii) Abstenerse de revelarla, divulgarla, exhibirla, mostrarla, comunicarla, utilizarla y/o emplearla, ya sea directa o indirectamente, con una finalidad distinta a la definida en objeto del acuerdo o contrato suscrito entre las partes, bien sea en su favor o en el de terceros.
- d) Cumplimiento. La política de seguridad de la información es de obligatorio cumplimiento por parte de todos los empleados, asesores, contratistas y proveedores que presten servicios a la compañía. Si un individuo u organización viola las disposiciones descritas en esta política, dará lugar a la ocurrencia de una falta grave y por lo mismo constituirá una justa causa para terminar el vínculo contractual existente, sea este de naturaleza laboral, comercial e incluso societaria. En cualquier caso, la compañía analizará el incumplimiento y definirá las acciones legales a seguir en consideración al perjuicio que dicho incumplimiento le haya generado, teniendo en cuenta que el incumplimiento de la política puede hacer vulnerable a la compañía, exponiéndola a sanciones por parte de los entes de control, pérdidas financieras, de imagen y credibilidad ante sus clientes y accionistas.
- e) Actualización y publicación. La política de seguridad de la información será modificada por la gerencia de la compañía en la medida que se requiera y permanecerá publicada en un lugar de acceso público y/o puesta en conocimiento de todos aquellos con quienes la compañía suscriba o mantenga vigente un vínculo contractual, comercial de cualquier naturaleza, a través de los medios de comunicación y publicidad usualmente empleados por el responsable del tratamiento de datos.
27.- Del oficial de privacidad y tratamiento / Data Protection Officer. La compañía ha definido un rol dentro de la misma a efectos de lograr una adecuada gestión de la información. En virtud de lo anterior, el Data Protection Officer deberá:
- i) Definir, validar, aprobar y comunicar las políticas, procedimientos y controles generales aplicables a los datos personales.
- ii) Validar que las políticas definidas sean consistentes entre sí y que estén alineadas con las estrategias del negocio, el sistema de control interno y el marco legal vigente.
- iii) Realizar en conjunto con los equipos de Seguridad de la Información el seguimiento a estas y a las políticas de seguridad de la información.
- iv) Validar y aprobar los cambios en la definición de los roles y las responsabilidades de gobierno de información.
- v) Verificar la adecuada gestión de la información.
- vi) Ser un conciliador en la resolución de conflictos y temas de incidentes de datos personales.
28.- Clasificación de la información. La Compañía ha definido la siguiente clasificación de la información, con el objetivo de realizar una gestión de esta acorde con su nivel de relevancia para los procesos del negocio.
- a) Información de dominio público. Es la información que ha sido declarada de conocimiento público por parte del titular de la información. Este tipo de información puede ser entregada o publicada a todo tipo de público (personas internas o externas de la compañía y miembros de la competencia) sin restricciones y sin que esto implique daños a los grupos de interés, a las actividades y a los procesos de la compañía.
- b) Información confidencial. Es aquella información que únicamente puede ser conocida, utilizada y modificada por la compañía o sus colaboradores (empleados), contratistas o contratantes en función de su trabajo o vínculo contractual vigente para los fines propios del acuerdo o contrato al que se encuentre vinculada. Para tal fin toda la información deberá estar marcada como confidencial.
- c) Uso del correo electrónico, internet, dispositivos móviles, sistemas internos de la Compañía. Todos los empleados tienen un correo electrónico corporativo. Cualquier asunto relacionado con el giro ordinario de los negocios de la compañía debe ser exclusivamente manejado por el correo electrónico corporativo. Los equipos de cómputo y demás herramientas de trabajo que sean suministrados por la compañía en donde se tenga acceso a información de la compañía o de terceros con quien ésta tenga vínculos contractuales, comerciales o de negocios deberán ser única y exclusivamente utilizados para dar cumplimiento a sus obligaciones laborales. Por lo tanto, está prohibido abrir los correos personales desde lo equipos de la compañía, así como almacenar información privada en los mismos. La compañía podrá adoptar los protocolos de seguridad que considere necesarios, así como establecer mecanismos de geo referenciación, mecanismos de control de información y auditoría de archivos almacenados en los equipos de trabajo. La compañía podrá realizar chequeos directos sobre los equipos de trabajo en cualquier momento, incluyendo labores de recuperación de archivos, siempre que así lo considere necesario. La Compañía podrá deshabilitar el acceso a redes sociales como Facebook, YouTube, Twitter y a cualquier otro sitio que considere necesario para mantener a salvo la información. Las claves de acceso a la red o equipos de la compañía no deben ser entregadas a ningún visitante sin autorización del oficial de privacidad y tratamiento. Está prohibido compartir cualquier clave personal de cualquier funcionario, específicamente: claves de acceso a sistemas de información y sistemas de acceso a las dependencias físicas. Los teléfonos celulares que la compañía suministre o autorice como herramientas de trabajo deben estar permanentemente bloqueados con una clave de acceso segura. A quienes les esté permitido sacar sus computadores de dotación deberán contar con claves seguras de acceso y evitar exponerlos o hacer uso de ellos en sitios públicos para evitar pérdida por hurto. Solamente tendrán llave de la oficina las personas definidas por la gerencia general.
29.- Auditorias. La Compañía implementará procesos de auditoría referidos al tratamiento de datos personales tendientes a advertir la ocurrencia de contingencias asociadas al tratamiento de datos personales al interior de la compañía. Las auditorías podrán ser efectuadas por un tercero especialista en seguridad y privacidad de la información.
30.- Responsabilidad demostrada. Con el fin de dar cumplimiento a lo establecido en el artículo 26 del Decreto 1377 de 2015, la compañía ha implementado un proceso de gestión y control que incluye las actividades tendientes a mantener estándares de calidad que mitiguen riesgos y aseguren el cumplimiento de las obligaciones en materia de protección de datos personales.