Política de protección de datos personales del Grupo Empresarial Cooperativo Coomeva
Política de protección de datos personales del Grupo Empresarial Cooperativo Coomeva
El GRUPO EMPRESARIAL COOPERATIVO COOMEVA ─GECC─, conformado por la Cooperativa Médica Del Valle y de Profesionales de Colombia ─COOMEVA─, identificada con el NIT. 890.300.625-1, en su calidad de matriz del Grupo y por las siguientes empresas subordinadas: i) Corporación Club Campestre Los Andes con NIT. 805.000.301-2; ii) Fundación Coomeva con NIT. 800.208.092-4; iii) Banco Coomeva S.A. con NIT. 900.406.150-5; iv) Coomeva Corredores de Seguros S.A. con NIT.900.367.164-1; v) Conectamos Financiera S.A. con NIT 900.467.106-1; vi) Coomeva Medicina Prepagada S.A. con NIT.805.009.741-0; vii) Fiduciaria Coomeva S.A. con NIT 900.978.303-9; viii) Coomeva Experiencia Médica S.A.S. con NIT 901.417.124-4, quienes de ahora en adelante de manera individual o conjunta se entenderán como el GECC, presenta la siguiente información a los titulares de la información para los fines pertinentes:
| Responsable del tratamiento | Domicilio | Dirección | Teléfono | Correo electrónico |
|---|---|---|---|---|
| Coomeva | Cali | Calle 13 # 57 - 50 | (602) 3330000 Opción 1 | expresiones_asociados@coomeva.com.co |
| Corporación Club Campestre Los Andes | Santander de Quilichao | Carretera Panamericana KM 35 Vía Popayán | (57) 3164782233 | ximena_marulanda@coomeva.com.co |
| Fundación Coomeva | Cali | Calle 13 # 57 - 50 | (602) 3330000 Opción 7 | expresiones_asociados@coomeva.com.co |
| Banco Coomeva S.A. | Cali | Calle 13 # 57 - 50 – Piso 2 | (602) 3330000 Opción 2 | notificacionesfinanciera@coomeva.com.co |
| Coomeva Corredores de Seguros S.A. | Cali | Calle 13 # 57 - 50 | (602) 3330000 Opción 4 | expresiones_asociados@coomeva.com.co |
| Conectamos Financiera S.A. | Cali | Calle 13 A # 100 - 35 Edificio Torre Ciudad Jardín Oficina 910 | (57) 3163047924 | segurinfo@conectafinanciera.com |
| Coomeva Medicina Prepagada S.A. | Cali | Calle 13 # 57 - 50 | (602) 3330000 Opción 3 | correoinstitucionalmp@coomeva.com.co |
| Fiduciaria Coomeva S.A. | Cali | Carrera 100 # 11- 60 Local 250 Holguines Trade Center | (602) 3330000 Opción 6 | fiducoomeva@coomeva.com.co |
| Coomeva Experiencia Médica S.A.S. | Cali | Carrera 100 # 11 – 60 Torre Andina Piso 3 Oficina 401 | (602) 3330000 Opción 3 | correoinstitucionalcem@coomeva.com.co |
Nota: Cualquier PQRS (Peticiones, Quejas, Reclamos y Sugerencias) relacionada con el ejercicio de los derechos derivados del tratamiento de datos personales será reconocida y procesada exclusivamente a través de los canales de contacto designados en el numeral 18 de la política de tratamiento de datos vigente, o mediante el siguiente enlace: https://www.coomeva.com.co/publicaciones/279/contactanos/
1. Alcance
La presente Política se aplicará a todas las bases de datos y/o archivos que contengan datos personales que sean objeto de tratamiento por parte del GECC, incluida toda aquella información que haya sido obtenida o recolectada con anterioridad a la Ley 1581 de 2012 y cualquier otro dato que sea susceptible de ser tratado por las empresas del GECC en desarrollo de su objeto social o con ocasión de cualquier tipo de relación civil, laboral o comercial que llegue a surgir en virtud de sus actividades conexas o propias de su naturaleza societaria.
2. Aplicación y marco regulatorio
El GECC y su matriz Coomeva como organización cooperativa de profesionales asociados y su núcleo familiar, que busca satisfacer las necesidades comunes de estos mediante la obtención de bienes y servicios, y la generación de oportunidades para su desarrollo, ha diseñado la presente Política para el tratamiento de los datos personales, la cual refleja los principios y reglas establecidas en el Régimen General de Protección de Datos Personales con el fin de garantizar el derecho al habeas data de los titulares de información personal.
Está política ha sido elaborada para que todas las empresas pertenecientes al GECC se acojan a parámetros de autorregulación para que así el tratamiento de datos personales que pueda realizar respete todos los derechos y garantías en cuanto a privacidad de los titulares sobre los que tratamos datos personales. Fue la Constitución de Colombia la que en su Artículo 15 ha erigido como derecho constitucional a la protección de sus datos personales; así mismo, mediante las Leyes 1266 de 2008, 1581 de 2012 y los Decretos Reglamentarios 1377 de 2013 y 886 de 2014, hoy contenidos en los capítulos 25 y 26 del Decreto Único Reglamentario 1074 de 2015 del sector Comercio, Industria y Turismo, se desarrollaron el marco general de protección de datos en Colombia.
En consecuencia, las empresas que hacen parte del Grupo podrán compartir información de los titulares siempre que primero haya una autorización expresa para hacerlo, y adicionalmente, cada una de las empresas, en su calidad de responsable deberá velar porque existan términos y condiciones que garanticen una adecuada entrega, almacenamiento y manejo de esta información.
La Cooperativa Médica Del Valle y de Profesionales de Colombia, en su condición de matriz del Grupo Empresarial, ha determinado que cada empresa que conforma el GECC responderá de manera individual por el cumplimiento de las obligaciones legales que surjan en materia de protección de datos personales; por lo tanto, todas están obligadas a desarrollar las medidas necesarias para dicho cumplimiento o a implementar aquellas que a nivel grupal se fijen; en todo caso, el cumplimiento de éstas deberá estar armonizado con el propósito superior, los principios y valores del Grupo. Lo anterior, sin perjuicio de que se puedan establecer lineamientos comunes en aspectos que permitan hacer un uso más eficiente de los recursos humanos, tecnológicos, de infraestructura, u otros, lo cual en ningún caso alteraría la responsabilidad que de manera individual cada empresa asume en el tratamiento que haga de los datos personales.
3. Obligatoriedad
Esta política es obligatoria y por lo tanto de forzoso cumplimiento para todos los colaboradores de las empresas pertenecientes al GECC, sus contratistas y aquellos terceros que obran su nombre; estos, en cumplimiento de sus funciones y actividades encomendadas, deberán observar y respetar lo señalado en el presente documento. Todos aquellos que no cuenten con un vínculo laboral deberán contar con una cláusula contractual para que quienes obren en nombre del GECC se obliguen a cumplir estas políticas. El incumplimiento de estas originará sanciones de tipo laboral o responsabilidad contractual según el caso. Lo anterior, sin perjuicio del deber de responder patrimonialmente por los daños y perjuicios que cause a los titulares de los datos o al GECC por el incumplimiento de estas políticas o el indebido tratamiento de datos personales.
4. Definiciones
a. Autorización: consentimiento previo, expreso e informado del titular del dato personal para llevar a cabo el tratamiento.
b. Aviso de privacidad: consiste en el documento físico, electrónico o en cualquier otro formato, emitido por el GECC y puesto a disposición del titular para el tratamiento de sus datos personales. Este documento, comunica la información relativa a la existencia de las Políticas de Tratamiento de Datos Personales que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a dichos datos personales.
c. Base de datos: todo conjunto organizado de datos personales que sea objeto de tratamiento, sin importar que se trate de una base de datos manual o automatizada.
d. Dato biométrico: son aquellos datos personales que informan sobre determinados aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que identifican a una persona. Estos se dividen en datos i) biométricos fisiológicos, que son aquellos derivados de la medida de una parte de la anatomía de una persona; por ejemplo: la huella dactilar, rostro, retina; y ii) los datos biométricos del comportamiento, como son la voz, o la firma.
e. Dato personal o información personal: cualquier información que, de manera individual o vinculada, permita determinar, identificar o asociarse a una o varias personas naturales determinadas o determinables.
f. Dato privado: es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información personal.
g. Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
h. Dato semiprivado: es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo al titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
i. Dato sensible: se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc.
j. Datos de menores de edad (niños, niñas y adolescentes): se entiende como la información personal de aquellos que no han cumplido los 18 años. Aquellos que están entre las edades de 0 y 12 años son considerados niños o niñas, mientras los que están entre 12 y 18 años son tratados como adolescentes. El tratamiento de estos datos personales está prohibido, excepto cuando se trate de datos de naturaleza pública o en los casos indicados por la ley.
k. Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta, a nombre y según las directrices del responsable del tratamiento.
l. Entidades autorizadas: para efectos de la presente política, son sus filiales, subsidiarias, asociadas o vinculadas a éste, a su matriz o controlante, o a las filiales, subsidiarias, asociadas o vinculadas de su matriz, o sus sucesores, cesionarios o a quien represente u ostente sus derechos, directamente o a través de terceros.
m. Habeas data: derecho de cualquier persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en la base de datos y en archivos de entidades públicas y privadas.
n. Ley de protección de datos: es la Ley Estatutaria 1581 del 17 de octubre de 2012 por la cual se dictan disposiciones generales para la protección de datos personales y, sus decretos reglamentarios o las normas que los modifiquen, complementen o sustituyan.
o. Oficial de protección de datos: es la persona que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales, bajo la orientación y lineamientos del GECC. Toda vez que el GECC, está conformado por una agrupación de empresas, cada una de ellas, tiene designado un oficial de protección de datos.
p. Responsable del tratamiento: persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, decida sobre la base de datos y/o tratamiento del dato personal.
q. Titular: persona natural cuyos datos personales sean objeto de tratamiento. r. Transferencia de datos: la transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
s. Transmisión de datos: tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia, con el fin de que un encargado realice determinado tratamiento, por cuenta y según las indicaciones del responsable.
t. Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
5. Principios específicos
El GECC aplicará los siguientes principios específicos que se establecen a continuación, los cuales constituyen las reglas a seguir en la recolección, uso, tratamiento, almacenamiento e intercambio de datos personales:
1. Principio de legalidad: en el uso, captura, recolección y tratamiento de datos personales se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos.
2. Principio de libertad: el uso, captura, recolección y tratamiento de datos personales solo puede llevarse a cabo con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.
3. Principio de finalidad: el uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos por el GECC, estarán subordinados y atenderán una finalidad legítima, la cual debe serle informada al respectivo titular de los datos personales.
4. Principio de veracidad o calidad: la información sujeta a uso, captura, recolección y tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
5. Principio de transparencia: en el uso, captura, recolección y tratamiento de datos personales debe garantizarse el derecho del titular a obtener del GECC, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
6. Principio de acceso y circulación restringida: los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados. Frente a estos propósitos, la obligación del GECC, será de medio.
7. Principio de seguridad: los datos personales e información usada, capturada, recolectada y sujeta a tratamiento por el GECC, será objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado.
8. Principio de confidencialidad: todas y cada una de las personas que administran, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en bases o bancos de datos, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelarla a terceros, todas las informaciones personales, contables, técnicas, comerciales o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones. Todas las personas que trabajen actualmente o sean vinculadas a futuro para tal efecto, en la administración y manejo de bases de datos, deberán suscribir un documento adicional u otro sí a su contrato laboral o de prestación de servicios para efectos de asegurar tal compromiso. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
6. Finalidades y tratamiento de los datos personales
Dado que toda actividad de tratamiento de datos personales debe obedecer a las finalidades mencionadas en la autorización que otorga el titular del dato, o en los documentos específicos donde se regule cada tipo o proceso de tratamiento de datos personales, a continuación, y de manera general se enumeran y se presentan a título enunciativo, sin limitar, las principales finalidades del tratamiento de datos personales por parte las empresas del GECC, como responsables del tratamiento de datos para que, directamente o a través de terceros quienes adquirirán la calidad de encargados, traten mi información personal, financiera, crediticia, comercial, sensible, privada, semiprivada, profesional, laboral y de aportes de seguridad social integral, contenida en medios físicos, electrónicos o digitales, en los siguientes términos:
Generales
(i) tramitar la vinculación del Titular a cualquiera de las Empresas del GECC, en calidad de asociado, cliente o usuario, según corresponda y transferir de manera total o parcial la información registrada en cualquier formulario de vinculación, de actualización de datos, soportes y los resultados de los análisis de SARLAFT efectuados por cualquier Empresa del GECC, con cualquiera de las Empresas del GECC, y transmitir a entidades aseguradoras en Colombia
(ii) permitir el ofrecimiento y venta de servicios y productos derivados del objeto social de cada una de las Empresas del GECC, efectuar labores de mercadeo, realizar muestreos, encuestas e investigaciones comerciales y de servicio, de riesgos y de mercado, realizar pruebas, generar estadísticas, utilizar modelos matemáticos, identificar, recolectar y asociar información sobre intereses y hábitos de utilización de los productos o servicios y derivar conclusiones o determinar tendencias que podrán ser compartidas entre las Empresas del GECC acá definidas como responsables, permitiendo que la información del Titular se pueda o no anonimizar para los fines previstos en este numeral y cuyos resultados podrán ser utilizados por las Empresas del GECC y aliados comerciales del GECC para los fines previstos en la presente finalidad;
(iii) comunicar, publicitar u ofrecer servicios de las empresas o entidades filiales, subsidiarias, vinculadas o partes relacionadas, actuales y futuras, de la Cooperativa Médica del Valle y de Profesionales de Colombia COOMEVA, para generar contacto comercial con el Titular y darle a conocer los beneficios de dichas empresas o entidades, cualquiera de las Empresas del GECC podrá transferir información personal del Titular para estos efectos;
(iv) implementar programas de fidelización, acumulación y redención de puntos por la compra y utilización de servicios o transacciones sobre productos de cualquiera de las Empresas del GECC acá definidas, permitiendo el uso de dichos datos comerciales, financieros o crediticios del Titular para procesos comerciales, de mercadeo, redención y acumulación de premios contenidos en los reglamentos y demás campañas promocionales;
(v) manejar cualquier información personal, financiera, crediticia, comercial, sensible, privada y semiprivada del Titular en una o varias bases de datos para ser transmitida o transferida a cualquiera de las Empresas del GECC, hacer perfilamientos o segmentaciones a partir de la utilización de productos o servicios, incluyendo la georreferenciación o ubicación generada por cualquier dispositivo del Titular al momento de utilización de un canal virtual para propósitos de profundizar, optimizar y completar el portafolio de productos y servicios ofrecidos y tomados por el Titular con las Empresas del GECC;
(vi) suministrar al Titular información comercial sobre los productos y servicios ofrecidos por las Empresas del GECC, así como recomendaciones de seguridad, y en general cualquier información que se considere necesaria y apropiada para la utilización de los productos o la prestación de los servicios;
(vii) realizar el análisis de riesgos integral del Titular, incluyendo el cumplimiento de la normativa sobre “conocimiento del cliente”, prevención de fraudes, prevención de lavado de activos y la financiación del terrorismo, así como realizar informes de seguridad sobre las transacciones validando registros físicos, auditivos, electrónicos y fílmicos con el propósito de elevar los niveles de eficiencia, evaluar y generar estadísticas para efectos de control y supervisión por las Empresas del GECC. En caso de que sea requerido o en cumplimiento de los deberes legales y reporte a reguladores, organismos de autorregulación y autoridades competentes, el Titular autoriza compartir los resultados de dichos análisis y de los informes a cualquiera de las Empresas del GECC en desarrollo de las finalidades acá establecidas;
(viii) cumplir con los deberes legales impuestos para cada una de las Empresas del GECCindividualmente consideradas, así como los deberes legales que debe cumplir como Grupo Económico y como Conglomerado Financiero;
(ix) realizar gestiones de cobranza, bien sea directamente por alguna Empresa del GECC o a través de casas de cobranza o abogados externos autorizados por éstas, quienes actuarán como encargados, así como la localización e investigación de bienes del Titular;
(x) transmitir, transferir, enviar, procesar, almacenar o enviar a proveedores de cualquier Empresa del GECC que presten servicios logísticos, oferta de seguros, administrativos, tecnológicos, de distribución, marketing, contact center, ubicados dentro o fuera del territorio nacional que actuarán como encargados del tratamiento;
(xi) transmitir o transferir a la empresa o entidad ubicada dentro o fuera del territorio nacional que a futuro adquiera o administre a cualquiera de las Empresas del GECC, o alguna unidad de negocio o de sus activos, total o parcialmente;
(xii) enriquecer cualquiera de las bases de datos de las Empresas del GECC utilizando datos de otras bases de estas mismas entidades, así como el cruce de información reportada y existente en las bases de datos de la Registraduría Nacional del Estado Civil, de los operadores de información financiera, comercial, de seguridad social y parafiscales, de empresas de servicios públicos o telefonía móvil, y de terceros que tengan autorización para el efecto; y
(xiii) establecer, mantener, cumplir o terminar la relación contractual entre el Titular y cualquier Empresa del GECC y permitir que la información del Titular sea utilizada como medio de prueba.
(xiv) para que me contacten mediante visitas al domicilio o lugar de trabajo cuando se trate de obligaciones adquiridas a través de microcréditos, crédito de fomento, desarrollo agropecuario o rural.
Coomeva y Bancoomeva
(xv) estudiar las solicitudes de crédito del Titular y en general las solicitudes para celebrar cualquier operación activa de crédito, otorgar y mantener beneficios, evaluar el riesgo crediticio del Titular, su comportamiento comercial, hábitos de pago, información sobre el cumplimiento de obligaciones y deberes legales, la existencia de multas o sanciones impuestas por cualquier autoridad judicial o administrativa, y compartir los resultados de dichos análisis con cualquiera de las Empresas del GECC;
Coomeva Medicina Prepagada y Coomeva Experiencia Médica
(xvi) prestar los servicios de salud al Titular, evaluar y realizar seguimiento a la condición de salud, elaborar estudios epidemiológicos y realizar campañas de promoción y prevención de la salud que sean de interés particular, realizar actividades de telesalud en sus modalidades de telemedicina, tele apoyo y tele orientación o en cualquier otra modalidad que se autorice en las Normas Colombianas que regulan la telesalud, y que sean adelantadas directamente o por un aliado estratégico;
(xvii) asignar, consultar, cambiar y/o cancelar citas con profesionales de la medicina, previamente concertadas o solicitadas por el Titular;
(xviii) cotizar servicios de salud solicitados por el Titular;
(xix) enviar resultados de pruebas de laboratorio y/o imágenes diagnósticas al Titular por medios electrónicos;
(xx) cargar, brindar acceso y descargar por medios digitales las preparaciones de exámenes de laboratorio clínico e imagenología del Titular;
(xxi) enviar, cargar, brindar acceso a los resultados de pruebas de laboratorio, imágenes diagnósticas, historia clínica y demás registros clínicos a médico tratante o prestador de servicios de salud, asegurador, establecimiento o dispensador farmacéutico o empleador del Titular, en caso de exámenes ocupacionales, por medios electrónicos;
(xxii) entregar medicamentos, insumos y/o equipos médicos al Titular; (xxiii) reintegrar excedentes por pagos realizados por el Titular;
(xxiv) recaudar de forma física o digital el valor de los servicios prestados y pagos moderadores al Titular.
Para el cumplimiento de las finalidades anteriores, el Titular podrá ser contactado por correo electrónico, teléfono (fijo y/o celular), mensajería instantánea (WhatsApp y otros equivalentes) y mensajes de texto. El Titular podrá elegir los canales de preferencia en nuestro sitio web www.coomeva.com.co, accediendo a la Política de Tratamiento de Datos Personales. Si los canales seleccionados presentan fallas que imposibiliten su utilización o no se logra la contactabilidad, el Titular autoriza a las empresas del GECC a utilizar cualquier otro canal.
6.1. Categorías especiales
1. Para el caso de datos personales sensibles: el tratamiento de datos personales sensibles por parte del GECC será en debido cumplimiento a lo establecido en la Ley 1581 de 2012, sus decretos reglamentarios y demás normas que regulen en dicha materia.
Son datos personales sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a vida sexual, y datos biométricos. Adicionalmente, se consideran datos sensibles entre otros, los datos recolectados y tratados a través de las pruebas psicotécnicas, visitas domiciliarias, estudios de seguridad, que tienen como finalidad determinar el nivel de ajuste entre el perfil y competencias del candidato a la vacante; las imágenes y grabaciones obtenidas por diferentes medios, que tienen como finalidad brindar seguridad de las personas, los bienes e instalaciones, y el monitoreo de las actividades propias del sector financiero, las cuales pueden ser empleadas como prueba en cualquier tipo de proceso ante cualquier autoridad. Es facultativo para el titular responder preguntas sobre datos sensibles y autorizar su tratamiento.
Ahora bien, de conformidad con lo establecido en el artículo 6 de la Ley 1581 de 2012 y normas reglamentarias, sólo procederá la autorización para tratamiento de datos sensibles cuando se cumpla con los siguientes requisitos: 1) que haya autorización explícita del titular de los datos sensibles; 2) que el titular conozca que no está obligado a autorizar el tratamiento de dicha información; 3) que se informe al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.
De igual forma, se podrá hacer uso y tratamiento de ellos cuando: 1) el tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; 2) el tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular; 3) el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial y cuando 4) el tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad del titular.
2. Para el caso de tratamiento de datos personales de niños, niñas y adolescentes: el tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, o cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos: 1) Que respondan y respeten el interés superior de los niños, niñas y adolescentes; 2) Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes podrá otorgar la autorización para el tratamiento de datos personales, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
7. Autorización
Sin perjuicio de las excepciones previstas en la ley, para efectuar el tratamiento se requiere la autorización previa, expresa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior.
7.1. Modo de obtener la autorización
Con el fin de garantizar los derechos del titular de información personal, el GECC en su condición de responsable del tratamiento ha dispuesto los canales y mecanismos necesarios para obtener la respectiva autorización, garantizando en todo caso, que sea posible verificar el otorgamiento de esta. Se entenderá que la autorización cumple con los requisitos de ley para que esta sea obtenida: i) por escrito; ii) de forma oral o; iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Dicha conducta debe ser inequívoca de manera que no admita duda sobre la voluntad de autorizar el tratamiento. En ningún caso el silencio del titular podrá asimilarse a una conducta inequívoca. Se tendrá como conductas inequívocas el envío de datos personales adjuntos a los correos electrónicos corporativos del GECC o el ingreso o cargue de los mismos a través de las plataformas o aplicativos establecidos para tal efecto.
La autorización puede constar en un documento físico, electrónico, mensaje de datos, internet, sitios web, en cualquier otro formato que permita garantizar su posterior consulta o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento vía clic o doble clic, mediante el cual se pueda concluir de manera inequívoca, que, de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos. La autorización será generada por el GECC y será puesta a disposición del titular con antelación y de manera previa al tratamiento de sus datos personales.
7.2.Prueba de la autorización
El GECC utilizará los mecanismos con que cuenta actualmente, e implementará y adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales para el tratamiento de estos.
Para dar cumplimiento a lo anterior, se podrán establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
7.3.Casos en los cuales no es necesaria la autorización
La autorización del titular no será necesaria cuando se trate de: a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el registro civil de las personas.
7.4.Efectos de la Autorización
Para todos los efectos, se entiende que la autorización por parte del titular a favor del GECC para el suministro y/o tratamiento de sus datos personales, realizada a través de sus sitios web o por medio de cualquier canal adicional, físico o electrónico, o por escrito o mediante conductas inequívocas, es:
- Expresa, salvo cuando se trate de realización de conductas inequívocas. En todo caso, ésta implica el entendimiento y la aceptación plena de todo el contenido de la presente política.
- Voluntaria, y el titular y/o sus representantes, según sea el caso, le concede(n) al GECC su autorización para que utilice dicha Información Personal conforme a las estipulaciones de la presente Política.
El titular declara haber recibido explicación o haber consultado la presente Política, obligándose a leerla, conocerla y consultarla en desarrollo del derecho que le asiste como titular de datos personales, sin perjuicio de haber recibido de parte del GECC una clara, cierta y adecuada ilustración respecto de esta, la cual además se ha puesto a su disposición en la página web de cada empresa perteneciente al GECC. En consecuencia, el titular manifiesta que acepta en su integridad la presente política, y autoriza al GECC para que obtenga y le de tratamiento a sus datos personales, de acuerdo con los siguientes parámetros de uso:
1. Si el titular no se encuentra de acuerdo con la presente Política, no podrá suministrar información alguna que deba registrarse en una de las bases de datos del GECC. Por lo tanto, dicho titular, deberá abstenerse de hacer uso de cualquiera de los servicios que ofrece el GECC al público en general, incluyendo y sin limitarse, servicios ofrecidos en las oficinas y/o página web de las empresas del GECC, participación de campañas publicitarias o comerciales presenciales, entre otras, y procederá a comunicarle al GECC en la forma prevista en la presente Política, su manifestación para que se abstenga de darle tratamiento alguno a sus datos personales.
2. El GECC, mantiene parámetros de seguridad y buen uso de los datos personales apropiados y acordes con la normativa que le rige a cada una de las empresas que lo conforman, en consecuencia, les dará a los mismos los usos adecuados para mantener la confidencialidad requerida de acuerdo con lo establecido en esta Política y en la legislación vigente.
3. Los datos personales tratados podrán ser transferidos o transmitidos a entidades autorizadas por el titular y a terceros autorizados por la ley, para llevar a cabo los usos y finalidades autorizadas por el titular conforme al objeto social de las empresas que conforman el GECC, o para ofrecer sus productos y/o servicios que puedan complementar o enriquecer la oferta de dichos productos y servicios o cuando exista autorización legal para suministrar datos personales a un tercero. En todos los eventos, dicha información se conservará bajo estricta confidencialidad y será sometida a un tratamiento riguroso, respetando los derechos y las garantías del titular, de conformidad con lo previsto en la ley.
4. El GECC podrá utilizar proveedores de servicios y/o procesadores de datos que trabajen en nombre del mismo, incluyendo y sin limitarse, contratistas, delegados, outsourcing, tercerización o aliados, con el objeto de desarrollar servicios de alojamiento de sistemas, de mantenimiento, servicios de análisis, servicios de mensajería por email, servicios de entrega, gestión de transacciones de pago, procesos de digitalización, gestión de archivo, actividades para llevar a cabo el proceso de selección y contratación de personal, entre otros. En consecuencia, el titular entiende y acepta que al conceder autorización para el tratamiento al GECC concede a estos terceros, autorización para acceder y tratar su información personal, en la medida en que así lo requieran para la prestación de sus servicios. Sin perjuicio de lo anterior, se precisa que tanto los proveedores del GECC como entidades autorizadas protegen en todos los eventos, la confidencialidad de la información personal a su cargo.
5. El GECC podrá recolectar información que se encuentre en el dominio público y que sea catalogada como dato público para crear o complementar sus bases de datos. A dicha información se le dará el mismo tratamiento señalado en la presente Política, con las salvedades contenidas en la ley.
8. Deberes del GECC como responsable del tratamiento de datos
Cuando el GECC actúe como responsable, al decidir sobre la base de datos y/o el tratamiento de datos, sea por sí mismo o en asocio con otros, cumplirá con los siguientes deberes:
1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
8. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado.
9. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
10. Tramitar las consultas y reclamos formulados.
11. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
12. Informar a solicitud del titular sobre el uso dado a sus datos.
13. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. 14. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012.
El GECC tendrá presente en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso la normatividad vigente sobre protección de datos personales.
9. Deberes de las empresas encargados cuando actúen como encargadas del tratamiento
Sin perjuicio de lo contenido en la ley, son deberes de las empresas que conforman el GECC en calidad de encargadas del tratamiento, los siguientes:
1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de protección de datos personales.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
4. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas y los reclamos formulados por el titular en los términos señalados en la presente ley.
6. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.
7. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
8. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
9. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
10. Verificar la existencia de la autorización y su alcance.
10. Suministro de datos personales a terceros
Las empresas del GECC podrán compartir con terceros sus datos en los casos en que sea necesario para el cumplimiento del objeto contratado y bajo las finalidades previstas en el aviso de privacidad y autorizadas por los titulares de la información, entre otros, en los siguientes casos:
1. Proveedores de servicios:
• Casas de cobranza o abogados externos.
• Fuerza de ventas externa.
• Call center.
• Centrales de información.
• Proveedores de realce.
• Telecomunicaciones.
• Proveedores de mensajería.
• Proveedores de impresión y distribución de facturación.
• Comunicaciones masivas.
• Centros de procesamiento de información.
• Compañías de seguros.
• Análisis de datos.
• Labores de mercadeo e investigaciones comerciales y de servicio, de riesgo y de mercado. • Uso de red.
• Evaluadores.
• Operadores de sistemas de pago de alto y bajo valor.
• Recreación, cultura y turismo.
• Médicos e instituciones prestadoras de servicios de salud.
• Y aquellos mencionados en la sección 7.4 – numeral 4.
2. Aliados Comerciales:
• Originadores de cartera.
• Telefonía.
• Cajas de compensación.
• Instituciones educativas.
• Establecimientos de comercio (tales como, restaurantes, concesionarios, droguerías, grandes superficies)
Las empresas del GECC garantizan que para compartir los datos personales con terceros (encargados del tratamiento), se toman las medidas se seguridad para evitar el mal uso de la información, se suscriben los contratos de transmisión de información personal en los caos que se requiere y en todos los contratos de servicios se incluye una cláusula de protección de datos personales.
En el evento que un Titular decida conocer información específica de alguna de las entidades a las que el GECC pudiera Transferir o Transmitir su información, puede solicitar dicha información mediante los canales dispuestos en esta política para el ejercicio de sus derechos.
Advertencia: La información que puede ser compartida con las entidades comprendidas en esta sección será aquella que usted proporcione a través de formularios y demás puntos de contacto con las entidades del GECC.
11. Garantías del derecho al acceso
El GECC garantizará el derecho de acceso cuando, previa acreditación de la identidad del titular, legitimidad, o personalidad de su representante, poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales a través de todo tipo de medio, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos. Dicho acceso deberá ofrecerse sin límite alguno y le deben permitir al titular la posibilidad de conocerlos y actualizarlos en línea.
12. Derechos de los titulares
1. Conocer, actualizar y rectificar sus datos personales frente al GECC, y los encargados del tratamiento de estos. Este derecho se podrá ejercer, entre otros, frente a datos personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada al GECC, salvo que la ley indique que dicha autorización no es necesaria.
3. Presentar solicitudes ante el GECC o el encargado del tratamiento respecto del uso que se le ha dado a sus datos personales y a recibir la respectiva respuesta a su solicitud.
4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la ley.
5. Revocar su autorización y/o solicitar la supresión de sus datos personales de las bases de datos del GECC, en cualquier momento, o cuando la Superintendencia de Industria y Comercio haya determinado mediante acto administrativo definitivo que el GECC o el encargado del tratamiento ha incurrido en conductas contrarias a la ley.
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
13. Legitimacion para el ejercicio de los derechos del titular
Los derechos de los titulares de información personal podrán ser ejercidos por las siguientes personas:
1. Por el respectivo titular. Para esto, deberá acreditar su identidad de forma suficiente.
2. Por sus causahabientes, debidamente acreditados.
3. Por el representante y/o apoderado del titular, debidamente acreditada su calidad.
4. En los casos de menores de edad, el ejercicio de los derechos únicamente podrá ser ejercido por las personas debidamente facultadas por la ley.
Fecha de publicación 10/05/2026
Última modificación 12/05/2026