"Creando espacios para vivir, sentir y disfrutar"
Objetivo
Establecer los lineamientos y procedimientos que aseguren el tratamiento legítimo,
seguro y transparente de los datos personales recolectados y gestionados por
GRUPO EMPRESARIAL VERDUGO ROZO S.A.S., de conformidad con la
normatividad colombiana vigente (Constitución Política, Leyes 1581 de 2012 y 1266
de 2008, Decretos reglamentarios y demás disposiciones aplicables). Esta política
protege los derechos de nuestros colaboradores, contratistas, visitantes y demás
titulares de información, incluidas las especialidades de vigilancia con
videocámaras, datos de menores de edad y datos sensibles, sin menoscabar
ninguno de estos enfoques. Se revisa periódicamente para incorporar las reformas
y guías más recientes (ej. principios de “responsabilidad demostrada”, lineamientos
de la SIC y del RNBD, guías de IA y procesamiento en la nube, etc.), asegurando el
cumplimiento hasta el año 2025.
Alcance
Aplica a todos los datos personales recopilados y tratados por la empresa en
Colombia, en el ámbito de sus operaciones comerciales y administrativas. Incluye
toda la información de empleados, arrendatarios, clientes, contratistas, usuarios,
visitantes y terceros, así como imágenes captadas por sistemas de vigilancia, y
trataremos con especial cuidado los datos de menores de edad y los datos sensibles
(salud, creencias, orientación sexual, origen étnico, biometría, etc.). Abarca tanto
formatos físicos como electrónicos, así como el uso de tecnologías emergentes (inteligencia artificial, almacenamiento o procesamiento en la nube, aplicativos
móviles, etc.).
Marco Normativo
Esta política se fundamenta en el Régimen General de Protección de Datos
Personales de Colombia, así como en otros estándares nacionales e
internacionales de privacidad. Entre los principales referentes legales se
encuentran:
• Constitución Política de Colombia (Art. 15): Reconoce el derecho
fundamental a la intimidad y protección de datos.
• Ley 1581 de 2012 (Estatutaria de Habeas Data) funcionpublica.gov.co:
Define los principios, derechos y deberes en el tratamiento de datos
personales. Establece que el tratamiento se sujeta a autorización del titular
(salvo excepciones legales) y designa a la Superintendencia de Industria y
Comercio (SIC) como autoridad de vigilancia funcionpublica.gov.co.
• Decretos Reglamentarios: Especialmente el Decreto 1377/2013
(reglamenta aplicaciones transitorias), 886/2014 y 1074/2015 (Decreto Único
Reglamentario, Capítulo 6 de Comercio).
• Ley 1266 de 2008 (Habeas Data Crediticio), cuando aplique datos
financieros o de comportamiento crediticio de empleados o contratistas.
• Decretos y regulaciones complementarias: Ej. el Decreto 1081 de 2015
(parte del Decreto 1074/2015) que recoge disposiciones de la Ley 1581;
directrices sobre videovigilancia; normas sectoriales de seguridad de la
información.
• Lineamientos de la SIC: Circular Única (Título V “Protección de Datos
Personales”, Act. 29-09-2022) y circulares externas recientes (p. ej. Circular
Externa No. 003 de 2024 sobre administradores societarios) incp.org.co.
Estas instruyen responsabilidades adicionales para directivos y responsables, insistiendo en el cumplimiento estricto de la regulación y en
políticas y controles internos fuertes para proteger datos incp.org.co.
• Registro Nacional de Bases de Datos (RNBD): Conforme a la Ley
1581/2012 y las circulares de la SIC, las empresas obligadas (activos >
100.000 UVT, aprox. COP $5.000 millones para 2025) deben inscribir y
actualizar sus bases de datos personales en el RNBD hklaw.com. La
actualización anual se realiza entre el 2 de enero y el 31 de marzo (para
2025, SIC estableció plazo específico Feb 2 – Mar 31)
sedeelectronica.sic.gov. cohklaw.com. También se deben reportar reclamos
de titulares según los plazos establecidos. hklaw.com. El incumplimiento con
el RNBD acarrea sanciones por parte de la SIC. hklaw.com.
• Guías y recomendaciones internacionales: La empresa se alinea con
lineamientos de la Red Iberoamericana de Protección de Datos (RIPD) y
otras organizaciones internacionales. Por ejemplo, la Guía de IA de la
SIC/RIPD (2019) para el tratamiento de datos en inteligencia artificial,
aprobada en Naucalpan, México sic.gov.co. Así mismo, se consideran las
Guías de la SIC sobre privacidad por diseño, evaluaciones de impacto,
comercio electrónico y marketing, y otras prácticas internacionales de data
governance.
• Principio de responsabilidad demostrada (accountability): Incorporado
en la regulación y enfatizado en guías recientes, este principio obliga a la
organización a adoptar medidas efectivas (evaluaciones de impacto,
auditorías internas, nombramiento de un oficial de protección de datos, etc.)
y poder demostrar su cumplimiento continuo de las normas.
· Otras normas relacionadas: Ley 1621 de 2013 (captación, tratamiento,
almacenamiento de datos por inteligencia estatal, con énfasis en inteligencia
artificial y vigilancia), Estatuto Digital, estándares ISO/IEC 27000 (seguridad
de información), y reglamentaciones específicas del sector, en lo pertinente.
Principios del Tratamiento de Datos Personales
GRUPO EMPRESARIAL VERDUGO ROZO S.A.S. adopta en todo proceso los
principios rectores de la Ley 1581/2012. Entre ellos se incluyen:
• Legalidad y legitimidad: Todo tratamiento debe basarse en una finalidad
autorizada por el titular o permitida por ley.
• Finalidad: Los datos se recaban para fines específicos, explícitos y legítimos
(p. ej. gestión de personal, cumplimiento contractual, seguridad física) y no
se usarán para objetivos incompatibles.
• Libertad: El titular tiene derecho a decidir voluntariamente si entrega sus
datos, salvo excepciones legales.
• Veracidad o calidad: Se procurará que la información personal sea
adecuada, pertinente y exacta para el fin, actualizándose cuando sea
necesario.
• Transparencia: Se informará al titular (o a su representante) sobre la
recolección y uso de sus datos, y se darán facilidades para ejercer sus
derechos.
• Acceso y corrección: El titular puede consultar sus datos y solicitar su
actualización o rectificación.
• Seguridad: Se adoptan medidas técnicas y organizacionales para proteger
los datos contra acceso no autorizado, adulteración, pérdida o robo.
• Confidencialidad: Los datos solo serán conocidos por el personal
autorizado.
• Circulación restringida: Solo los responsables o encargados legalmente
autorizados pueden acceder o transferir la información.
Estos principios coinciden con los estipulados en la Ley 1581 y sus decretos, tal
como lo exige la SIC. protecdatalatam.com. Además, se incorpora el Principio de
Responsabilidad Demostrada (accountability), que exige pruebas continuas del
cumplimiento normativo (políticas documentadas, auditorías, evaluaciones de
impacto, etc.) sic.gov.coprotecdatalatam.com. En particular, la organización
garantiza que los responsables de la toma de decisiones (administradores
societarios) comprendan su rol en la protección de datos, conforme a las
orientaciones de la Circular 003/2024. incp.org.co.
Derechos de los Titulares
Se respetan los derechos ARCO y demás garantías constitucionales de los titulares:
• Acceso: Conocer las bases de datos en que se encuentran sus datos y la
finalidad de su uso.
• Rectificación: Solicitar la corrección de datos inexactos, incompletos o
desactualizados.
• Cancelación o supresión: Solicitar la eliminación de datos cuando deje de
ser necesaria su conservación o se trate de datos inválidos.
• Oposición: Oponerse al tratamiento de sus datos por motivos legítimos.
Asimismo, los titulares tienen derecho a revocar su autorización otorgada (cuando
ésta haya sido la base del tratamiento) y a no ser discriminados por ejercer sus derechos funcionpublica.gov. cofuncionpublica.gov.co. La empresa dispone
mecanismos y canales (portal web, correo electrónico, atención al público) para
recibir y tramitar peticiones, consultas o reclamos de los titulares, en los plazos
legales establecidos.
Deberes y Responsabilidades de la Organización
• Responsable del Tratamiento: El representante legal o quien designe actúa
como responsable del tratamiento de datos, asegurando el cumplimiento de
esta política y la normativa.
• Encargados del Tratamiento: Personal y terceros autorizados (p. ej.
proveedores de servicios, centros de datos, operarios de vigilancia) deben
seguir los lineamientos aquí establecidos.
• Oficial de Protección de Datos (OPD): Se designará un oficial (interno o
externo) encargado de velar por la aplicación de la política. Conforme a la
Guía para el Oficial de Protección de Datos de la SIC. sic.gov.co, el OPD
coordina la capacitación, evalúa riesgos (incluyendo evaluaciones de
impacto), y facilita la adopción de medidas de privacidad por diseño y por
defecto. El OPD reporta a la alta dirección y es visible para los titulares.
• Administradores y Directivos: Según la Circular 003 de 2024 de la SIC.
incp.org.co, los administradores societarios deben cumplir estrictamente
con la regulación de datos personales. Deben establecer y avalar políticas
internas efectivas, así como mecanismos de control interno que aseguren su
cumplimiento. incp.org.co. Deben definir lineamientos corporativos con
medidas preventivas que protejan los derechos de los titulares y fortalezcan
las medidas de seguridad de la información. incp.org.co.
• Políticas internas: Se elaboran y actualizan regularmente políticas y
manuales internos (por ejemplo, de seguridad, manejo de incidentes, uso de
recursos TI), para garantizar el tratamiento adecuado de los datos en todas
las áreas. Todo empleado o contratista debe conocer y acatar estas normas.
• Capacitación y conciencia: Se realizan entrenamientos periódicos en
protección de datos y seguridad informática para todos los niveles de la
organización.
• Auditorías y seguimiento: Se llevan a cabo auditorías internas y se
promueven evaluaciones de impacto en proyectos que impliquen tratamiento
masivo o sensible de datos (p. ej. implementación de inteligencia artificial,
análisis avanzados), de acuerdo con las recomendaciones de la SIC.
• Notificación de incidentes: Se establece un procedimiento para reportar y
gestionar vulneraciones o incidentes de seguridad que afecten datos
personales, en línea con las obligaciones normativas (informes internos y, si
es aplicable, notificación a la SIC).
Registro Nacional de Bases de Datos (RNBD)
En cumplimiento de la ley, las bases de datos personales que maneja la empresa
se inscribirán y actualizarán en el RNBD administrado por la SIC. Las
actualizaciones anuales se realizarán en el plazo establecido (entre el 2 de enero y
el 31 de marzo de cada año sedeelectronica.sic.gov.co). Para 2025, la SIC precisó
dicho período entre el 2 de febrero y el 31 de marzo hklaw.com. Asimismo, se
reportarán dentro de los plazos los reclamos recibidos de los titulares hklaw.com.
Cualquier modificación sustancial en las bases de datos se comunicará
oportunamente según las indicaciones de la SIC (dentro de los 10 días hábiles siguientes). El incumplimiento de las obligaciones del RNBD puede generar
sanciones económicas y órdenes de cumplimiento por parte de la Superintendencia
Tratamiento de Datos de Empleados y Contratistas
• Recolección y uso: Solo se recopilan datos personales necesarios para la
vinculación laboral o contractual, el cumplimiento de obligaciones legales y
la gestión administrativa (p. ej. datos de identificación, contactos,
antecedentes, datos bancarios para pagos).
• Base legal: Se informa y obtiene el consentimiento expreso al momento de
la contratación (salvo autorizaciones tácitas previstas en la ley). El
tratamiento se realiza según lo autorizado por la Ley 1581/2012, la Ley
Laboral y demás normas.
• Derechos laborales y privacidad: Las evaluaciones de desempeño o
monitoreo laboral se ejecutan con respeto al derecho a la intimidad. Se evita
recolectar datos sensibles de los empleados, salvo que sea indispensable y
con autorización adicional.
• Seguridad laboral: Los registros de asistencia, salud ocupacional, disciplina,
entre otros, se manejan con confidencialidad y se restringe su acceso.
Tratamiento de Datos de Visitantes
• Registro de ingreso: Se puede solicitar nombre, identificación, empresa
(cuando apliquen) y motivo de visita. Estos datos se conservarán solo el
tiempo necesario para control de acceso.
• Videovigilancia en áreas comunes: Se utilizará videovigilancia en zonas
públicas (recepción, estacionamientos, perímetro) previo aviso visible al
público. Las imágenes son datos personales sujetos a ley, por lo que se
aplican principios de finalidad (seguridad), minimización (no grabar donde no
sea estrictamente necesario), y se protege su confidencialidad
• Derecho de información: Se informa a los visitantes sobre la captura de sus
datos (mediante avisos y consentimiento tácito al ingresar) y se garantiza su
derecho a consulta o solicitud de datos en la medida que la ley lo permita.
Sistemas de Videovigilancia
Los sistemas de cámaras de seguridad corporativos se manejan como tratamiento
de datos personales protecdatalatam.com. Se adoptan las siguientes medidas:
• Finalidad legítima: La videovigilancia se justifica únicamente para
salvaguardar la integridad de las personas y bienes.
• Instalación legal: Se procura la conformidad con la normativa vigente sobre
monitoreo laboral y seguridad (como la legislación sobre videovigilancia en
el trabajo).
• Avisos visibles: Se colocan avisos claros informando sobre la presencia de
cámaras.
• Acceso y retención: El acceso a las grabaciones está restringido al personal
autorizado y por causas legítimas. Los videos se conservan por el tiempo
mínimo indispensable (no excediendo 30 días, salvo incidentes que
justifiquen retención adicional).
• Protección de datos: Las grabaciones se almacenan en sistemas seguros
y cifrados. La reproducción o divulgación de imágenes requerirá autorización formal del responsable y solo se compartirá con autoridades judiciales o
administrativas según la ley.
Datos de Menores de Edad
Los datos personales de niños, niñas y adolescentes (menores de 18 años) gozan
de protección especial. Su tratamiento está prohibido, salvo en casos de datos
de fuente pública o permitidos por la ley (Ley 1581/2012, art. 7) sic.gov.co.
Además, cualquier tratamiento debe cumplir los siguientes requisitos adicionales
• Respetar el interés superior del menor y sus derechos fundamentales.
• Obtener la autorización del representante legal (padre, madre o
acudiente), previa consulta al menor según su edad y madurez.
• Garantizar que el menor no sea expuesto a riesgos o discriminación.
Toda información recolectada sobre menores (ej. datos escolares, salud,
fotografías) debe manejarse con extrema confidencialidad y siempre se le
aplican los principios y obligaciones de la Ley 1581/2012 sic.gov.co.
Datos Sensibles
Entiéndase por datos sensibles aquellos que afectan la intimidad y pueden generar
discriminación, tales como origen étnico, orientación política, convicciones
religiosas, salud, datos biométricos o datos sobre la vida sexual
funcionpublica.gov.co. La regla general es la prohibición de su tratamiento
funcionpublica.gov.co. Excepciones autorizadas incluyen: consentimiento explícito
y escrito del titular, datos correspondientes a salud o enfermedad en los servicios
de salud, o razones de interés público autorizadas por ley. Cuando se recolecten datos sensibles (por ejemplo, información médica de empleados), se requerirá
consentimiento específico del titular y se reforzarán las medidas de seguridad
(almacenamiento cifrado, acceso restringido al personal mínimo indispensable)
Transferencias Internacionales de Datos
El envío de datos personales fuera de Colombia se regirá por lo dispuesto en la Ley
1581/2012 (Art. 20 y s.s.) y sus decretos. Se verifica que el país receptor garantice
un nivel de protección adecuado o, en su defecto, se establecen mecanismos
jurídicos válidos (cláusulas contractuales modelo, entre otros) antes de efectuar la
transferencia. Para transferencias que involucren datos sensibles o categorías
especiales, se evalúa el riesgo y se implementan salvaguardas adicionales,
siguiendo los lineamientos de responsabilidad demostrada y las guías SIC sobre
este tema.
Seguridad de la Información
Se implementan medidas técnicas y organizativas proporcionales al riesgo:
• Controles de acceso: Autenticación (contraseñas seguras, autenticación de
múltiples factores) y perfiles de usuario que limitan privilegios.
• Cifrado: Uso de cifrado en almacenamiento (bases de datos, backups) y en
transmisión de datos sensibles (SSL/TLS en redes).
• Gestión de incidentes: Procedimientos documentados para detección,
reporte y respuesta ante vulneraciones de datos personales o de seguridad
informática.
• Respaldo y continuidad: Copias de seguridad periódicas en medios
seguros, y planes de recuperación ante desastres.
• Actualizaciones y parcheo: Mantenimiento vigente de sistemas operativos,
aplicaciones y firmware para mitigar vulnerabilidades conocidas.
• Seguridad física: Protección de áreas y servidores (control de acceso a
salas de cómputo, cámaras de vigilancia, alarmas).
• Contratos con proveedores: Los proveedores de servicios de TI (hosting,
nube, software como servicio) deben demostrar cumplimiento con
estándares internacionales de seguridad (por ejemplo, certificaciones ISO
27001, SOC 2) y cláusulas contractuales sobre protección de datos.
Para entornos de procesamiento en la nube, se exige que los datos se alojen en
datacenters que garanticen los niveles de seguridad requeridos. Se implementan
controles de seguridad adicionales (encriptación de bases de datos en reposo y en
tránsito) y se supervisa periódicamente a los proveedores de nube.
Tecnologías Emergentes
• Inteligencia Artificial (IA): Al adoptar soluciones de IA o analítica avanzada
que procesen datos personales, la empresa se guía por la “Guía de
recomendaciones para IA” de la SIC/RIPD sic.gov.co. Se aplican principios
de privacidad por diseño (ingesta de datos anónimos cuando sea posible,
transparencia en algoritmos, etc.) y se evalúan impactos en derechos antes
del despliegue.
• Dispositivos Móviles e I oT: Cualquier recolección de datos vía aplicaciones
móviles o dispositivos conectados (por ejemplo, tabletas de atención a
clientes, sensores en fábricas) cumple con esta política. Se protege la
información localmente y en la nube según corresponda.
• Redes sociales y marketing: El uso de datos personales para
comunicaciones empresariales (email marketing, redes sociales) sigue las
pautas SIC sobre marketing y protección de datos, garantizando
consentimiento y facilitando opción de no participar.
Procedimientos para el Ejercicio de Derechos
La empresa designa canales de atención para que los titulares presenten solicitudes
ARCO (Acceso, Rectificación, Cancelación, Oposición) o reclamos. Estas
solicitudes se tramitan de acuerdo con los plazos legales (por regla general, 10 días
hábiles para la respuesta inicial). Se brindan formatos claros en la intranet/correo
institucional o sede física, y se documenta cada proceso. El OPD o encargado
correspondiente registra todas las solicitudes, resuelve consultas y supervisa la
implementación de correcciones ordenadas.
Relación con la SIC y Autoridades
• Cooperación con la SIC: GRUPO EMPRESARIAL VERDUGO ROZO
S.A.S. cumple las instrucciones de la Superintendencia de Industria y
Comercio (órgano de inspección, vigilancia y control). Esto incluye atender
requerimientos, someterse a inspecciones y reportar información cuando sea
solicitado.
• Sanciones legales: Se recuerda que la Ley 1581/2012 contempla sanciones
para responsables que incumplan (multas, órdenes de corrección, bloqueo
de datos, inhabilidades, etc.). La empresa velará por evitar cualquier
conducta sancionable, manteniendo un registro de evidencia que demuestre
la “responsabilidad demostrada” de sus acciones preventivas.
Vigencia y Actualización
Esta política entrará en vigor a partir de su aprobación y reemplazará la versión
anterior de enero de 2022. Se actualizará periódicamente para incorporar cambios
legislativos y de mejores prácticas. Ante nuevos decretos, sentencias o guías
oficiales (por ejemplo, actualizaciones en 2025 a la Ley 1581 o guías de la SIC), se
procederá a su revisión inmediata. Las versiones futuras deberán seguir el mismo
enfoque integral, conservando todas las secciones esenciales pero actualizando
referencias normativas, fechas y prácticas conforme a la reglamentación vigente y
las recomendaciones actuales. funcionpublica.gov. cohklaw.com.
Esta política puede ser consultada en oficinas físicas, página Web de GRUPO
EMPRESARIAL VERDUGO ROZO S.A.S.
Los datos principales de GRUPO EMPRESARIAL VERDUGO ROZO S.A.S a los
que usted se puede comunicar para recibir más información son:
NOMBRE D ELA EMPRESA: GRUPO EMPRESARIAL VERDUGO ROZO SAS
NIT: 830.006.998-3
DOMICILIO: BOGOTÁ D.C.
DIRECCION: CALLE 22 BIS No. 42-27
DIRECCION WEB. WWW.GRUPOEMPRESARIALVR.COM
CORREO ELECTRONICO: contacto@grupoempresarialvr.com
RESPONSABLE: RENE EVRDUGO ROZO
TELEFONO: 601 2448049
CELULAR: 3167407244