Tratamiento de datos

Manual de Políticas para la Protección y Tratamiento de Datos Personales

Manual de Políticas y procedimientos para la protección y tratamiento de datos personales y atención de solicitudes, consultas y reclamos de conformidad con la ley 1581 de 2012 y el decreto único reglamentario 1074 de 2015

1. Propósito

La presente política se expide en cumplimiento de la Ley 1266 de 2008, Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, sobre el régimen de protección de datos personales y busca garantizar que Estratego LTDA., en condición de Responsable de manejo de datos personales, realice el Tratamiento de los mismos en estricto cumplimiento de la normatividad aplicable, garantizando asimismo los derechos de los Titulares de los datos.

Todo lo previsto en la presente política deberá entenderse sin perjuicio de lo establecido en Formulario de Conocimiento del Cliente – Sector Asegurador (Formulario SARLAFT)

1. Definiciones

Para efectos de esta política, las palabras que inicien en mayúscula tendrán los mismos significados asignados en el artículo 4° de la Ley 1581 de 2012 o el artículo 2.2.2.25.1.3. del Decreto 1074 de 2015.

III. Responsable

Denominación: Estratego LTDA. Dirección: Carrera 15 # 53-17 ofi 301 Ciudad: Bogotá D.C. Correo Electrónico: [email protected] Teléfono: 319 5670863 Persona o área a cargo de PQRS: Oficial de Protección y Tratamiento de Datos Personales.

1. Principios para el tratamiento de datos personales

En el desarrollo, interpretación y aplicación de la presente política, se aplicarán, de manera armónica e integral, los siguientes principios:

• 1.Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente política es una actividad reglada que debe sujetarse a lo establecido en la Ley y en las demás disposiciones que la desarrollen;
• 2.Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
• 3.Principio de libertad: El Tratamiento solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
• 4.Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
• 5.Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
• 6.Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley;
• 7.Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
• 8.Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley.
• Tratamiento al cual serán sometidos los datos y finalidades del mismo

En el desarrollo de sus actividades, Estratego LTDA. realiza el Tratamiento de datos personales de los clientes, afiliados, empleados, funcionarios, proveedores; tratamiento que ejecuta directamente, a través de sus empleados, funcionarios o por parte de contratistas o mandatarios encargados de ello.

Asimismo, comparte los datos terceros ubicados en Colombia y en exterior con quienes se celebra un Contrato para la Transferencia y/o Trasmisión de Datos Personales, según corresponda, con el propósito de mantener la seguridad y protección de los datos de conformidad con las reglas y estándares aplicables. En todo caso, Estratego LTDA. le exigirá al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

Si hubiere lugar a una venta, fusión, escisión, consolidación, cambio en el control societario, transferencia de activos sustancial o transferencia global de activos, reorganización o liquidación de Estratego LTDA, entonces Estratego LTDA podrá discrecionalmente y bajo cualquier título, transferir, transmitir, vender o asignar los datos personales recabados, a cualquier tercero o a una o más partes relevantes. De conformidad con las presentes políticas los titulares de datos personales otorgan su autorización expresa e inequívoca para la transferencia, transmisión, venta o asignación de todos y cada uno de sus datos personales a cualquier persona ubicada en Colombia y/o en el exterior.

Estratego LTDA tiene la obligación de mantener la confidencialidad de los datos personales objeto de Tratamiento y sólo podrá divulgarlos por solicitud expresa de las entidades de vigilancia y control y autoridades que tengan la facultad legal de solicitarla y permitirá en todo momento y de manera gratuita conocer, actualizar y corregir la información personal del Titular de conformidad con el artículo 8 de la Ley 1581 de 2012.

En desarrollo del principio de finalidad, la recolección de datos personales por parte de Estratego LTDA se limita a aquellos datos personales que son pertinentes y adecuados para cumplir con las finalidades expresadas en la presente política. Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del Titular.

El Tratamiento de datos incluye la recolección, almacenamiento, administración, utilización, transferencia, transmisión y destrucción, en la forma permitida por la Ley y se realiza con las siguientes finalidades específicas:

• 1.El trámite de la solicitud de vinculación como consumidor financiero, deudor, contraparte contractual y/o proveedor.
• 2.El trámite de la solicitud de afiliación a Planes Básicos de Salud (PBS), Planes de Atención Complementaria (PAC), Planes de Medicina Prepagada, Planes de Medicina Domiciliaria, Planes de Ambulancia Prepagada, y demás planes de salud ofrecidos por las Entidades Promotoras de Salud (EPS), Instituciones Prestadoras de Servicios de Salud (IPS), Profesionales Independientes de Salud o Prestadores de Servicios de Transporte Especial de Pacientes, aliados a Estratego Ltda.
• 3.Facilitar El proceso de negociación de contratos con las aseguradoras y demás compañías aliadas con Estratego Ltda.
• 4.La ejecución y el cumplimiento de los contratos que celebre.
• 5.Todo lo que involucre la gestión integral del seguro o el plan de salud contratado.
• 6.La elaboración de estudios técnico-actuariales, estadísticas, encuestas, análisis de tendencias del mercado y, en general, estudios de técnica aseguradora y estadísticas en planes de salud.
• 7.Envío de información relativa a la educación financiera, encuestas de satisfacción de clientes, ofertas comerciales de seguros y de planes de salud, así como de otros servicios inherentes a la actividad aseguradora y a la promoción de planes de salud.
• 8.Dar a conocer ofertas, promociones, descuentos, beneficios, entre otros, a los usuarios, clientes, empleados, funcionarios o proveedores, respecto de los bienes y servicios ofrecidos por Estratego Ltda., o por cualquiera de aquellas empresas con las que haya celebrado cualquier tipo de convenio, contrato, afiliación, acuerdo o alianza.
• 9.Mantener comunicación constante y efectiva con clientes, empleados, funcionarios, proveedores, y cualquier persona respecto de la cual estemos autorizados para efectuar el tratamiento de sus datos personales.
• 10.Catalogar y relacionar los datos personales del Titular con otros datos recibidos o recolectados.
• 11.Desarrollar actividades comerciales conjuntas con compañías o entidades vinculadas o aliadas.
• 12.Intercambio o remisión de información en virtud de tratados y acuerdos internacionales e intergubernamentales suscritos por Colombia.
• 13.Mantener información sobre peticiones, quejas y reclamos presentados por los Titulares.
• 14.Consulta, almacenamiento, administración, transferencia, procesamiento y reporte de información a las Centrales de Información o bases de datos debidamente constituidas referentes al comportamiento crediticio, financiero y comercial.
• 15.Elaborar estudios y publicaciones de carácter académico y periodístico relacionadas con las actividades de Estratego LTDA. y el mercado que atiende.
• 16.Cumplir con las obligaciones que Estratego LTDA. tenga a cargo.
• 17.Cualquier otra finalidad que corresponda según el vínculo que se genere entre los Titulares de los datos personales y Estratego Ltda.

En caso en que Estratego Ltda. realice tratamiento de datos sensibles con una finalidad histórica, estadística o científica, adoptará las medidas conducentes para la supresión de identidad de los Titulares.

1. Tratamiento de datos personales de niños, niñas y adolescentes

Estratego LTDA. no realiza Tratamiento sobre los datos de niños, niñas y adolescentes. En todo caso, si eventualmente para cumplir cualquiera de las finalidades del tratamiento de los datos personales consagradas en la presente política, fuera necesario el Tratamiento de esos datos, en cumplimiento del artículo 7 de la Ley 1581 de 2012 y el artículo 2.2.2.25.2.9 del Decreto 1074 de 2015, el tratamiento de los datos personales de los niños, niñas y adolescentes sólo se realizará, en el marco de las finalidades señaladas anteriormente, cuando se trate de datos de naturaleza pública o cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

• 1.Que responda y respete el interés superior de los niños, niñas y adolescentes.
• 2.Que se asegure el respeto de sus derechos fundamentales.
• 3.La autorización de tratamiento de datos personales de niños, niñas y adolescentes debe ser otorgada por alguno de sus representantes legales.

El representante legal garantizará el ejercicio del derecho del menor a ser escuchado previamente al otorgamiento de la autorización y valorará la opinión del menor teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto. Para el efecto, Estratego LTDA., sus empleados, funcionarios y encargados tendrán en cuenta que el tratamiento de los datos personales de menores de edad debe responder al interés superior de ellos y que debe asegurarse el respeto de sus derechos fundamentales.

El Responsable y el Encargado del Tratamiento de datos personales del niño, niña o adolescente velarán por el uso adecuado de los datos y aplicarán los principios y obligaciones consagrados en la Ley 1581 de 2012 y su Decreto Reglamentario.

VII. Tratamiento de datos sensibles

Conforme a lo previsto en el artículo 5 de la Ley 1581 de 2012, son datos sensibles “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”

El Titular no está obligado a suministrar datos sensibles, en consecuencia, cualquier respuesta a las preguntas que versen sobre datos sensibles tendrán carácter facultativo. Ningún empleado, funcionario o encargado del Responsable o Encargado del Tratamiento está autorizado para exigirle al Titular que revele datos sensibles suyos o de terceros.

Se aclara que para efectos del diligenciamiento del formulario de SARLAFT es necesario la toma de los datos biométricos del Titular, especialmente su huella dactilar, por lo que Estratego Ltda. llevará a cabo el tratamiento de estos datos sensibles siempre que cuente con la autorización explícita del Titular.

Adicionalmente, Estratego Ltda. podrá conocer acerca de los datos sensibles relativos a la esfera intima del Titular, tales como su estado de salud, bien sea en calidad de tomador, beneficiario o asegurado de los seguros de vida y seguros de salud, o en calidad de contratante o afiliado de algún plan de salud ofrecido por alguna de las compañías aliadas de Estratego Ltda. En todo caso, por tratarse de Datos Sensibles, el Titular no está obligado a autorizar su tratamiento.

VIII. Derechos de los titulares

Los Titulares de los datos personales o sus causahabientes tienen los siguientes derechos:

• 1.Recibir información sobre: (i) el tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo, (ii) el carácter facultativo de las respuestas a las preguntas que versen sobre datos sensibles, y (iii) los derechos que le asisten como titular, (iv) la identificación, dirección f ísica o electrónica y teléfono del Responsable del Tratamiento.
• 2.Obtener, del Responsable o Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
• 3.Ser informado por el Responsable o Encargado del Tratamiento, previa solicitud, respecto del uso que se les ha dado a sus datos personales.
• 4.Podrá abstenerse de responder preguntas sobre datos personales sensibles o cuando estos versen sobre los datos de niños, niñas o adolescentes.
• 5.Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
• 6.A que sus datos personales no sean divulgados sin previa autorización, salvo mandato legal o judicial que releve dicho consentimiento o que la divulgación o transferencia de los datos haya sido autorizada expresamente de conformidad con la Ley.
• 7.Recibir de forma gratuita toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular, a través de los canales que para el efecto haya dispuesto el Responsable o Encargado del Tratamiento y dentro de los límites legales.
• 8.Acceder a sus datos personales y ejercer sus derechos sobre los mismos a través de los mecanismos que para el efecto disponga el Responsable o Encargado del Tratamiento dentro de los límites legales.
• 9.Consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información; todo a través de los mecanismos que para el efecto disponga el Responsable o Encargado del Tratamiento.
• 10.Recibir respuesta a todas las consultas que realice sobre sus datos personales dentro de los plazos legales.
• 11.Recibir respuesta a todos los reclamos que realice sobre sus datos personales dentro de los plazos legales.
• 12.Solicitar la actualización y/o rectificación de sus datos personales al Responsable o Encargado del Tratamiento.
• 13.Revocar la autorización y/o solicitar la supresión de sus datos personales, mediante los procedimientos de PQR dispuestos para el efecto por el Responsable o Encargado del Tratamiento. El Titular no podrá revocar la autorización y/o solicitar la supresión de sus datos personales cuando tenga un deber legal o contractual de permanecer en la base de datos.
• 14.Ser informado sobre cualquier cambio sustancial, referidos a la identificación del Responsable o a la finalidad del Tratamiento, en el contenido de las políticas de Tratamiento, antes de o a más tardar al momento de implementar las nuevas políticas.
• 15.Presentar ante las autoridades competentes quejas por infracciones a la Ley.
• Procedimiento para ejercicio de derechos por parte de titulares

Los Titulares de datos personales deben dirigir sus solicitudes o reclamos diligenciando el Formato de Solicitudes y Reclamaciones sobre el Tratamiento de Datos Personales y enviando a nuestras oficinas ubicadas en Carrera 15 # 53 17 ofic 301 o al correo electrónico [email protected]

• 1.Procedimiento para solicitudes y consultas: Estratego LTDA. atenderá las solicitudes y consultas en un término de diez (10) días hábiles contados a partir de la fecha en que se reciba la solicitud. Cuando no fuere posible cumplir con este tiempo, se deberá informar al interesado expresando los motivos de la demora y la fecha en que se atenderá su solicitud o consulta en un término no mayor a cinco (5) días hábiles siguientes al vencimiento del primer término.
• 2.Procedimiento en caso de reclamos: El Titular o causahabiente que considere que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en la presente Política, podrá presentar un reclamo a Estratego Ltda., el cual será tramitado bajo las siguientes reglas:
  • a.El reclamo se formulará mediante solicitud dirigida al Oficial de Protección y Tratamiento de Datos Personales, diligenciando el Formato de Solicitudes y Reclamaciones sobre el Tratamiento de Datos Personales y enviándolo a nuestras oficinas o al correo electrónico [email protected] con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
  • b.Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  • c.El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
• 3.Procedimiento para la revocatoria de la autorización y/o solicitud de supresión del dato: Los Titulares podrán en todo momento solicitar a Estratego LTDA. la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de estos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012, el artículo 2.2.2.25.2.6 del Decreto 1074 de 2015 y el procedimiento indicado en esta Política.

Si vencido el término legal respectivo, Estratego LTDA. no hubiere eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.

Sin embargo, de acuerdo con los artículos 2.2.2.25.2.6 y 2.2.2.25.2.8 del Decreto 1074 de 2015, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

1. Limitaciones temporales al tratamiento de los datos personales

Estratego Ltda. solo podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.

Una vez cumplida la o las finalidades del Tratamiento, Estratego Ltda. o el Encargado del Tratamiento, según corresponda, procederán a la supresión de los datos personales en su posesión. No obstante, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.

1. Autorización de tratamiento de datos personales

Manifiesto que he leído el Manual de Políticas para la Protección y Tratamiento de Datos Personales y Atención de Solicitudes, Consultas y Reclamos, y que me informaron que en caso de recolección de mi información sensible o relacionada con datos personales de niños, niñas o adolescentes, tengo derecho a contestar o no las preguntas que me formulen y a entregar o no los datos solicitados; entiendo que son datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación.

En consecuencia, otorgo mi autorización expresa a Estratego Ltda. para el tratamiento de mis datos personales, entre otros, nombre, número de identificación, número de placas del vehículo, número de licencia de tránsito, imagen, edad, teléfonos, correo electrónico, lugar de circulación del vehículo y dirección y para el tratamiento de mis datos comerciales, crediticios y financieros, así como de los datos personales sensibles relativos a mi esfera intima personal, tales como datos relativos a mi salud, a la de mi núcleo familiar o a la de menores que se encuentren bajo mi custodia, dentro de las finalidades comunicadas en el presente Manual de Políticas para la Protección y Tratamiento de Datos Personales. Autorizo, cuando sea posible, la obtención de los datos personales objeto de tratamiento se realice a partir de cruces de información con compañías de seguro, Entidades Promotoras de Salud (EPS), Instituciones Prestadoras de Servicios de Salud (IPS), Profesionales Independientes de Salud, Prestadores de Servicios de Transporte Especial de Pacientes, centrales de riesgo y otros terceros, sin que de manera alguna puedan derivarse efectos adversos únicamente con base en la información contenida en otras bases de datos. Asimismo, otorgo autorización expresa a Estratego Ltda. para la transferencia y transmisión local o internacional de mis datos personales.

También autorizo expresamente a Estratego LTDA. a llevar a cabo el tratamiento de mis datos relativos a la salud y mis datos biométricos, en especial mi huella dactilar, dentro de las finalidades comunicadas en el presente Aviso de Privacidad y en el Manual de Políticas para la Protección y Tratamiento de Datos Personales.

Con el propósito de permitir a Estratego Ltda. la protección efectiva de mis derechos como Titular de los datos, faculto expresamente a Estratego Ltda. para que, en mi nombre y representación, solicite la supresión de mis datos personales a terceros que hayan celebrado contratos de transferencia de datos personales con Estratego Ltda.

Otorgo autorización expresa a Estratego Ltda. para que discrecionalmente y bajo cualquier título, transfiera, transmita, venda o asigne los datos personales recabados, a cualquier tercero vinculado con Estratego Ltda., o a una o más partes relevantes en caso de que hubiera lugar a venta, fusión, escisión, consolidación, integración empresarial, cambio en el control societario, transferencia de activos sustancial o transferencia global de activos, reorganización o liquidación.

XII. Vigencias y modificaciones

El período de vigencia de la base de datos será indefinido.

La presente política fue actualizada el 9 de agosto de 2022.

En caso de haber cambios sustanciales en el contenido de estas políticas, referidos a la identificación del Responsable y a la finalidad del Tratamiento, que pudieren afectar el contenido de la autorización, Estratego Ltda. comunicará estos cambios al Titular por cualquier medio que considere idóneo, a más tardar al momento de implementar las nuevas políticas.