mobile-logo

Política de Tratamiento y Protección de Datos Personales

1. OBJETIVO

Establecer los lineamientos para la recolección, uso, almacenamiento, circulación, supresión y protección de los datos personales tratados por HERRAMIENTAS DE GESTIÓN INFORMÁTICA S.A.S. (en adelante, HGI S.A.S.), ya sea por medios físicos o electrónicos, garantizando su seguridad y confidencialidad, en cumplimiento de la Ley 1581 de 2012 y el Decreto 1377 de 2013.

2. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

El responsable de los datos personales es HGI S.A.S., sociedad identificada con el NIT 811.021.438-4, representada legalmente por JORGE OCARIS BEDOYA RESTREPO, identificado con la cédula de ciudadanía número 8.005.097.

  • Domicilio. Medellín, Colombia.
  • Dirección. Calle 48 # 77C-06. Estadio, Medellín.
  • Correo electrónico. info@hgi.com.co
  • Teléfono:
    • Número fijo: (604) 3220270.
    • Línea nacional: 3009142130.

3. DEFINICIONES

  1. Dato personal. Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables (art. 3 Ley 1581 de 2012).
  2. Titular. Persona natural cuyos datos personales sean objeto de tratamiento (art. 3 Ley 1581 de 2012) por parte de HGI S.A.S.
  3. Tratamiento. Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión (art. 3 Ley 1581 de 2012).
  4. Base de datos. Conjunto organizado de datos personales tratados por HGI S.A.S., almacenados o gestionados en diversos formatos, tales como hojas de cálculo, plataformas en línea, aplicaciones especializadas, sistemas de información, archivos electrónicos o medios físicos.
  5. Autorización. Mecanismo –físico o electrónico– o conducta inequívoca mediante el cual el titular consiente el tratamiento de sus datos personales por parte de HGI S.A.S.
  6. Dato público. Dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden ser contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  7. Dato sensible. Aquel que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, en los términos que define la ley.
  8. Software. Se refiere a cualquier producto de software comercializado y soportado por HGI S.A.S., en cualquiera de sus versiones y/o ediciones.
  9. Usuario del Software. Se refiere a la persona natural o jurídica que adquiere la licencia de uso del Software en cualquiera de sus planes o modalidades.
  10. Contactos. Aquellas personas naturales que llevan a cabo las gestiones necesarias para la efectiva realización del servicio en favor de los Usuarios del Software en la relación comercial/contractual con HGI S.A.S. Por ejemplo, los representantes legales y Directores de Proyecto.

4. PRINCIPIOS APLICABLES

Para garantizar el adecuado y correcto tratamiento de los datos personales, HGI S.A.S. aplicará los siguientes principios:

  1. Legalidad. El tratamiento de los datos personales es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.
  2. Libertad. El tratamiento de los datos personales sólo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser tratados o divulgados sin previa autorización o en ausencia de mandato legal o judicial que releve el consentimiento.
  3. Veracidad o calidad. La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Está prohibido el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
  4. Transparencia. En el tratamiento de los datos personales debe garantizarse el derecho del titular a obtener del responsable del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
  5. Acceso y circulación restringida. El tratamiento de los datos personales está limitado por la naturaleza de los datos, las disposiciones legales y la Constitución. Solo personas autorizadas por el titular o por la ley pueden realizar el tratamiento. Además, los datos personales, excepto la información pública, no deben estar disponibles en Internet o medios de divulgación masiva, a menos que el acceso sea controlado y limitado a los titulares o a terceros autorizados según la ley.
  6. Seguridad. El tratamiento de los datos personales se debe llevar a cabo con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, daño, consulta, uso o acceso no autorizado o fraudulento.
  7. Confidencialidad. Todas las personas involucradas en el tratamiento de los datos personales no públicos deben garantizar su reserva, incluso después de finalizar su relación con el tratamiento. Solo pueden divulgar o compartir los datos cuando esté autorizado por la ley y en los términos establecidos. Esta obligación se respalda mediante acuerdos de confidencialidad.

5. ALCANCE

5.1. Alcance de la política

La presente política aplica a todos los datos personales recolectados, almacenados y/o procesados por HGI S.A.S., a través de medios físicos o electrónicos, en el marco de su actividad empresarial y para la adecuada ejecución de su objeto social.

Para efectos de esta política, se identifica la siguiente clasificación de los datos personales sobre los cuales HGI S.A.S. realiza tratamiento:

  1. Datos personales recolectados y almacenados directamente por HGI S.A.S., cuyos titulares son sus clientes, los contactos de sus clientes, sus prospectos, sus colaboradores y aspirantes, sus proveedores o contratistas y sus aliados estratégicos.
  2. Datos personales recolectados por el Usuario del Software y almacenados por HGI S.A.S., cuyos titulares son terceros ingresados y registrados por el cliente de HGI S.A.S. en los productos o servicios de la empresa.

5.2. Alcance de las responsabilidades de HGI S.A.S. frente al tratamiento de los datos personales – tipos de tratamiento

Debido a la anterior clasificación, HGI S.A.S. aplica un tratamiento diferente para cada categoría de datos personales, lo que –a su vez– determina distintas responsabilidades frente a cada una.

Tratándose de datos personales recolectados y almacenados directamente por HGI S.A.S., ésta es quien determina cómo y para qué se procesan los datos, decidiendo directamente por qué se recolectan, para qué se utilizan y cómo se gestionan. Por lo tanto, respecto al tratamiento de estos datos personales, HGI S.A.S. adquiere las siguientes responsabilidades:

  1. Garantizar al titular, en todo momento, el pleno y efectivo ejercicio de su derecho de hábeas data, mediante la atención oportuna de consultas, peticiones y reclamos relacionados con sus datos personales, conforme al procedimiento interno establecido para tal fin.
  2. Informar al titular sobre la finalidad de la recolección de sus datos personales y los derechos que le asisten en su calidad de titular.
  3. Obtener del titular la respectiva autorización para su tratamiento y conservarla.
  4. Conservar y custodiar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, daño, consulta, uso o acceso no autorizado o fraudulento.
  5. Actualizar, suprimir y rectificar la información indicada por su titular, con el fin de procurar que esta sea veraz, completa, exacta, actualizada, comprobable y comprensible.

Tratándose de datos personales recolectados e ingresados al Software por los clientes de HGI S.A.S., ésta actúa únicamente como almacenadora de los datos. En este sentido, es el cliente de HGI S.A.S. –en calidad de Usuario del Software– quien asume la responsabilidad de garantizar que el tratamiento de los datos personales que él ha recolectado se realice conforme a la normativa aplicable.

Por lo tanto, las responsabilidades de HGI S.A.S. en relación con estos datos se limitan a:

  1. Conservar y custodiar la información bajo las condiciones de seguridad necesarias para prevenir su adulteración, pérdida, daño, acceso, uso o consulta no autorizada o fraudulenta, asegurando la confidencialidad y disponibilidad de la información.
  2. Abstenerse de utilizar los datos personales para fines no autorizados y de alterar o modificar su contenido sin la previa autorización del titular o sin fundamento legal que lo permita.

Estas responsabilidades serán exigibles a HGI S.A.S. mientras los datos personales permanezcan almacenados en el Software y no sean suprimidos, descargados, retirados o eliminados por el Usuario del Software.

Adicionalmente, el cliente de HGI S.A.S. (Usuario del Software), como el responsable de la recolección y uso de estos datos personales, asume la obligación de verificar la veracidad y exactitud de estos y, a su vez, de corregirlos y actualizarlos a través de los medios que para ello disponga HGI S.A.S. Todo ello, sin perjuicio de las demás obligaciones que le corresponden al Usuario del Software como responsable del tratamiento, conforme al artículo 17 de la Ley 1581 de 2012.

6. TIPO DE DATOS PERSONALES OBJETO DE TRATAMIENTO

Las bases de datos de HGI S.A.S. almacenan datos personales de diverso tipo, ya sean recolectados directamente por la empresa o suministrados por el Usuario del Software, los cuales varían según la relación con su titular y pueden incluir:

  1. Datos de identificación, como nombres, número de documento de identidad y fotografías.
  2. Datos de contacto, como dirección física, correo electrónico o números telefónicos.
  3. Datos socioeconómicos, como información financiera y contable o información demográfica.
  4. Datos sensibles, como información de salud o religión, firmas, datos biométricos, entre otros.

HGI S.A.S. podrá hacer uso y tratamiento de datos sensibles en los siguientes casos:

  • Autorización explícita del titular. Cuando el titular haya otorgado su consentimiento previo, expreso e informado para el tratamiento de sus datos sensibles, salvo en los casos en que por disposición legal no se requiera dicha autorización.
  • Interés vital del titular. Cuando el tratamiento sea necesario para salvaguardar el interés vital del titular, y este se encuentre física o jurídicamente incapacitado. En estos casos, la autorización podrá ser otorgada por sus representantes legales.
  • Reconocimiento, ejercicio o defensa de un derecho. Cuando el tratamiento sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Finalidades históricas, estadísticas o científicas. Cuando el tratamiento tenga una finalidad de carácter histórico, estadístico o científico. En estos casos, deberán adoptarse medidas adecuadas para suprimir la identidad del titular.

7. FUENTES DE RECOLECCIÓN DE LOS DATOS PERSONALES

HGI S.A.S. podrá recolectar y obtener datos personales a través de diversas fuentes. Esta información podrá ser suministrada directamente por el titular mediante la página web, formatos o formularios físicos o electrónicos dispuestos por la empresa, redes sociales corporativas, canales oficiales de atención (como correos electrónicos, líneas telefónicas o chats corporativos) o mediante documentos derivados de relaciones comerciales o contractuales, tales como contratos y sus anexos, cotizaciones, facturas, cuentas de cobro, entre otros.

Asimismo, HGI S.A.S. podrá obtener datos personales a través de terceros que los suministren, siempre que cuenten con la autorización previa, expresa e informada del titular para compartir, transmitir o transferir dicha información.

8. FINALIDADES DEL TRATAMIENTO DE LOS DATOS PERSONALES

El tratamiento de los datos personales por parte de HGI S.A.S. se lleva a cabo para el cumplimiento de las siguientes finalidades:

Frente a prospectos, clientes y contactos:

  1. Prestar los servicios de Software y comercializar los productos de HGI S.A.S.
  2. Verificar la identidad del titular y actualizar su información.
  3. Enviar información sobre productos, servicios, novedades, actualizaciones y cambios administrativos.
  4. Realizar campañas, actividades de divulgación en lo relacionado con promociones de productos y servicios, ofertas, tarifas especiales, eventos y demás publicidad que sea o pueda ser de interés.
  5. Enviar comunicaciones comerciales relacionadas con actividades, promociones, alianzas y eventos.
  6. Informar sobre nuevos productos o servicios.
  7. Controlar y dar respuesta a las solicitudes relacionadas con los servicios comercializados por HGI S.A.S.
  8. Dar respuesta a consultas, peticiones, quejas y reclamos.
  9. Soportar procesos de auditoría externa e interna.
  10. Ejecutar funciones propias de los servicios y/o productos contratados por los clientes.
  11. Gestionar procesos administrativos como cotizaciones, facturación, pedidos y pagos.
  12. Efectuar actividades de cobranza en relación con obligaciones contraídas por el titular.
  13. Realizar pruebas y análisis del Software, así como para evaluar la calidad de los servicios prestados y productos ofrecidos.
  14. Utilizar y compartir los datos personales del cliente para desarrollar campañas de publicidad y mercadeo digital a través de plataformas de terceros. Esto incluye la creación de audiencias personalizadas y la búsqueda de perfiles similares para optimizar la promoción de los productos y servicios de HGI S.A.S., permitiendo a ésta alcanzar a clientes potenciales con intereses similares a los de sus clientes actuales, mejorando la efectividad de la comunicación y publicidad.
  15. Compartir los datos personales del cliente con aliados comerciales, con el fin de que estos utilicen dicha información para fines de promoción y mercadeo directo, invitando a los clientes a eventos o actividades que puedan ser de su interés, con el fin de crear un ecosistema de beneficios y experiencias exclusivas a través de la colaboración con empresas afines.
  16. Transferir datos personales, especialmente para servicios en la nube.
  17. Almacenar las bases de datos donde se encuentran los datos personales en data centers que podrán estar localizados fuera del territorio colombiano, exclusivamente con el propósito de garantizar la continuidad, seguridad y respaldo de la información.
  18. Gestionar el proceso contable de HGI S.A.S.
  19. Realizar pagos y cumplir con obligaciones tributarias.
  20. Administrar riesgos asociados al lavado de activos y financiación del terrorismo (SARLAFT).
  21. Analizar datos con fines estadísticos, de mercadeo, de investigación o innovación y desarrollo de productos y servicios. Asimismo, para elaborar estudios, estadísticas, encuestas, análisis de tendencias y comportamiento de consumo relacionados con los productos y servicios que presta HGI S.A.S.
  22. Consultar información crediticia y financiera, así como actualizar y realizar reportes en centrales de riesgo y listas de control.

Frente a colaboradores y aspirantes:

  1. Verificar la identidad del titular y actualizar su información.
  2. Gestionar información de contacto y de perfil.
  3. Dar respuesta a consultas, peticiones, quejas y reclamos.
  4. Gestionar procesos de selección y vinculación laboral, así como el cumplimiento de contratos, incluyendo validación de referencias personales y profesionales, historial académico y judicial.
  5. Realizar entrevistas en procesos de selección, encuestas y evaluaciones. En todo caso, para el caso de los participantes en convocatorias de selección, los datos personales tratados tendrán como finalidad adelantar las gestiones de los procesos de selección; en este sentido, las hojas de vida se gestionarán garantizando el principio de acceso restringido.
  6. Asegurar el desarrollo de programas de capacitación, formación y evaluaciones de desempeño.
  7. Enviar comunicaciones relacionadas con asuntos laborales e interés de la empresa.
  8. Informar y comunicar las generalidades de eventos corporativos realizados por HGI S.A.S. por los medios y en las formas que se consideren convenientes.
  9. Realizar pagos de nómina y demás obligaciones legales.
  10. Transmitir datos a entidades de seguridad social, de control tributario y autoridades administrativas, cuando sea requerido.
  11. Almacenar las bases de datos donde se encuentran los datos personales en data centers que podrán estar localizados fuera del territorio colombiano, exclusivamente con el propósito de garantizar la continuidad, seguridad y respaldo de la información.
  12. Soportar procesos de auditoría externa e interna.
  13. Gestionar el proceso contable de HGI S.A.S.
  14. Realizar pagos y cumplir con obligaciones tributarias.
  15. Administrar riesgos asociados al lavado de activos y financiación del terrorismo (SARLAFT).
  16. Consultar, actualizar y reportar información en centrales de riesgo y listas de control.

Frente a proveedores o contratistas y aliados estratégicos:

  1. Verificar la identidad del titular y actualizar su información.
  2. Gestionar la ejecución de la relación contractual o comercial existente.
  3. Mantener un archivo digital que permita contar con la información correspondiente a cada contrato.
  4. Expedir las órdenes de compra, cotizaciones, pedidos, facturas y demás documentos para la solicitud de servicios y/o productos.
  5. Notificar la realización de pagos de obligaciones.
  6. Gestionar los servicios y/o productos prestados y comercializados por los contratistas, proveedores y aliados comerciales.
  7. Informar sobre requerimientos de nuevos productos o servicios, o modificaciones en los ya existentes.
  8. Dar respuesta a consultas, peticiones, quejas y reclamos.
  9. Soportar procesos de auditoría externa e interna.
  10. Informar sobre cambios en procesos administrativos.
  11. Almacenar las bases de datos donde se encuentran los datos personales en data centers que podrán estar localizados fuera del territorio colombiano, exclusivamente con el propósito de garantizar la continuidad, seguridad y respaldo de la información.
  12. Gestionar el proceso contable de HGI S.A.S.
  13. Realizar pagos y cumplir con obligaciones tributarias.
  14. Administrar riesgos relacionados con el lavado de activos y financiación del terrorismo (SARLAFT).
  15. Consultar, actualizar y reportar información en centrales de riesgo y listas de control.

Frente a terceros cuyos datos personales son recolectados e ingresados al Software por los clientes de HGI S.A.S.:

  1. Asegurar el correcto desarrollo y ejecución de la relación comercial y/o contractual entre HGI S.A.S. y sus clientes, en la medida en que el servicio ofrecido por HGI S.A.S. consiste en proporcionar una plataforma tecnológica que facilite la gestión de la información por parte del Usuario del Software.
  2. Almacenar las bases de datos donde se encuentran los datos personales en data centers que podrán estar localizados fuera del territorio colombiano, exclusivamente con el propósito de garantizar la continuidad, seguridad y respaldo de la información.

9. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES

Para el tratamiento de los datos personales que HGI S.A.S. recolecta y obtiene directamente, ésta obtendrá la debida autorización del titular de los datos. Igualmente, podrán autorizar el tratamiento los causahabientes del titular, siempre que acrediten tal calidad; su representante o apoderado, previa presentación de la representación o poder respectivo; o el tercero a favor de quien el titular haya estipulado dicha facultad debiendo acreditarla expresamente.

HGI S.A.S. podrá obtener la autorización para el tratamiento de los datos personales mediante diferentes medios, incluyendo documentos físicos o electrónicos, mensajes de datos, sitios web, llamadas telefónicas o cualquier otro formato que en todo caso permita la obtención del consentimiento mediante conductas inequívocas a través de las cuales se concluya que de no haberse surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la base de datos.

No se requerirá obtener la autorización en los casos expresamente señalados en la ley, a saber:

  1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
  2. Datos públicos.
  3. Casos de urgencia médica o sanitaria.
  4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  5. Datos relacionados con el Registro Civil de las personas.

10. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES

En relación con los datos personales recolectados directamente por HGI S.A.S., ésta es quien determina los fines y medios del tratamiento de dichos datos. En consecuencia, es quien decide por qué se recolectan, para qué se utilizan y cómo se gestionan. Por lo tanto, HGI S.A.S. asume frente a los titulares de estos datos una serie de responsabilidades, entre ellas la de garantizarles, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.

El derecho de hábeas data, por su parte, le otorga a los titulares de los datos personales las siguientes prerrogativas:

  1. Acceder en forma gratuita a los datos proporcionados que hayan sido objeto de tratamiento.
  2. Solicitar la actualización y rectificación de la información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o a aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
  3. Solicitar prueba de la autorización otorgada.
  4. Presentar quejas a las autoridades competentes por infracciones a lo dispuesto en la normatividad vigente.
  5. Revocar la autorización y/o solicitar la supresión del dato, a menos que exista un deber legal o contractual que haga obligatorio conservar la información.
  6. Abstenerse de responder las preguntas sobre datos sensibles. El titular declara que entiende que son datos sensibles aquellos que pueden afectar su intimidad o cuyo uso indebido puede generar discriminación, como aquellos relacionados con la orientación política, convicciones religiosas o filosóficas, origen étnico o racial, datos relativos a la salud, a la vida sexual, datos biométricos, y en general, toda la información que sea considerada como sensible. El titular declara que entiende que los datos sensibles que se lleguen a recolectar podrán ser utilizados para las mismas finalidades señaladas.
  7. Abstenerse de responder las preguntas relativas a los datos personales de niños, niñas o adolescentes.

Estos derechos podrán ser ejercidos directamente por el titular de los datos personales o por el tercero en cuyo favor el titular los haya conferido, siempre que éste acredite expresamente dicha facultad.

11. MECANISMOS PARA EL EJERCICIO DEL DERECHO DE HÁBEAS DATA

El titular de los datos personales –o la persona legitimada para ello– puede ejercer su derecho de hábeas data mediante un mecanismo de consultas, peticiones, quejas o reclamos a través de los canales de atención dispuestos por HGI S.A.S. para tales efectos:

11.1. Consultas

El titular de los datos personales, o la persona que este designe expresamente, podrá realizar consultas dirigidas a conocer qué datos suyos se tienen almacenados y cuál es el tratamiento que se les está dando.

Una vez recibida la consulta, HGI S.A.S. registrará en su sistema la fecha de recepción, la identidad del solicitante y la persona encargada de gestionar el trámite. La información será entregada previa verificación de la identidad del titular o de la persona que este haya legitimado.

La respuesta será entregada en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Si no es posible atender la consulta en dicho plazo, se informará al solicitante los motivos y se indicará una nueva fecha de respuesta, que no podrá superar cinco (5) días hábiles adicionales.

La respuesta se entregará al mismo canal de recepción o al medio que el solicitante haya indicado expresamente.

11.2. Peticiones, quejas y reclamos

El titular de los datos personales, o la persona que este designe expresamente, podrá realizar peticiones, quejas o reclamos para corregir, actualizar o suprimir sus datos personales; revocar la autorización que se haya otorgado para el tratamiento; o informar sobre un presunto incumplimiento de los deberes consagrados en la Ley 1581 de 2012 y sus normas complementarias. Para ello, deberá presentar una descripción clara de los hechos que sustentan su petición, queja o reclamo y anexar los documentos que considere pertinentes. Se dará trámite a la solicitud previa verificación de la identidad del titular o de la persona que este haya legitimado.

Una vez recibida la petición, queja o reclamo, HGI S.A.S. registrará en su sistema la fecha de recepción, la identidad del solicitante y la persona encargada de gestionar el trámite.

De considerarse que la petición, queja o reclamo está incompleta o no es lo suficientemente clara para gestionarla, se requerirá al solicitante que la complete o aclare en un plazo máximo de cinco (5) días hábiles. Si transcurridos dos (2) meses no se recibe la información faltante, se entenderá que el solicitante desistió de su reclamación.

De considerarse que la petición, queja o reclamo está completa, se dará trámite en un término máximo de quince (15) días hábiles contados a partir de la fecha de recepción. En caso de no ser posible atender dentro de este plazo, se informará al solicitante los motivos y la nueva fecha de respuesta, que no podrá superar ocho (8) días hábiles adicionales.

La respuesta se entregará al mismo canal de recepción o al medio que el solicitante haya indicado expresamente.

HGI S.A.S. podrá negar la supresión y/o eliminación de los datos personales cuando:

  1. El titular tenga un deber legal o contractual de permanecer en la base de datos.
  2. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones de tipo legal.

11.3. Canales habilitados

Para el ejercicio de los anteriores mecanismos que satisfacen el derecho de hábeas data, HGI S.A.S. ha dispuesto los siguientes canales de comunicación:

  • Número fijo: (604) 3220270 – Opción 3.
  • Línea nacional: 3009142130 – Opción 3.
  • Correo electrónico: info@hgi.com.co
  • Página web (Botón de PQRS): www.hgi.com.co

11.4. Procedimiento y responsable

HGI S.A.S. cuenta con el procedimiento “PS-SC-02 Trámite y gestión de Habeas Data”, en el que se describen las actividades para tramitar y gestionar internamente las consultas, peticiones, quejas y reclamos relacionados con el tratamiento de datos personales.

En este procedimiento también se definen los roles y responsabilidades de quienes lo aplican, siendo el principal responsable el Líder de Servicio al Cliente, quien no obstante podrá delegar en su equipo la recepción y gestión de estas solicitudes.

12. MEDIDAS DE SEGURIDAD PARA LA PROTECCIÓN DE LOS DATOS PERSONALES

En cumplimiento de la normatividad vigente en materia de protección de datos personales y en concordancia con el Sistema de Gestión de Seguridad de la Información de HGI S.A.S., la empresa cuenta con medidas técnicas y administrativas destinadas a garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de la información que reposa en sus bases de datos, incluyendo los datos personales. A continuación, se describen:

12.1. Infraestructura tecnológica y centros de datos

Los servicios de HGI S.A.S. se encuentran alojados en nubes privadas operadas bajo estándares de seguridad y en cumplimiento con certificaciones internacionales (como la ISO/IEC 27001). Dichos entornos garantizan:

  1. Seguridad física en los centros de datos mediante videovigilancia continua, control de accesos biométricos, sistemas de detección y supresión de incendios, y redundancia en energía y conectividad.
  2. Seguridad lógica mediante firewalls de nueva generación, segmentación de redes, sistemas de prevención de intrusiones (IPS/IDS) y monitoreo avanzado contra ataques de denegación de servicio (DDoS).
  3. Aislamiento lógico de usuarios y aplicaciones, asegurando que los datos de cada usuario estén protegidos de acceso no autorizados internos o externos.

12.2. Controles de acceso y autenticación

El acceso a la información y a las plataformas críticas de HGI S.A.S. se administra bajo el principio de “mínimo privilegio”, logrando que cada usuario solo disponga de los permisos necesarios para el desarrollo de sus funciones. Los procesos de autenticación se encuentran reforzados con mecanismos que elevan la seguridad y minimizan riesgos de usurpación de identidad. En este sentido, HGI S.A.S. ha adoptado las siguientes medidas:

  1. Implementación de autenticación multifactor (MFA) en los accesos administrativos a plataformas críticas.
  2. Aplicación del principio de mínimos privilegios, mediante esquemas de control de acceso basado en roles (RBAC).
  3. Administración centralizada de identidades a través de directorios corporativos en la nube y auditorías periódicas de cuentas y privilegios.
  4. Políticas estrictas de contraseñas, incluyendo complejidad, caducidad y rotación periódica, así como almacenamiento seguro en bóvedas criptográficas.

12.3. Cifrado y protección de la información

Con el fin de garantizar que los datos personales permanezcan protegidos tanto en tránsito como en reposo, HGI S.A.S. dispone de mecanismos de cifrado estandarizados y certificados, implementados en conjunto con los proveedores de nube privada que alojan la información. Este enfoque busca que la información no pueda ser leída ni utilizada en caso de ser interceptada o comprometida por actores no autorizados. Para ello, se aplican las siguientes medidas:

  1. Uso de cifrado en tránsito (TLS/SSL) para la comunicación entre sistemas y usuarios.
  2. Cifrado en reposo (AES-256) para bases de datos, respaldos y sistemas de almacenamiento.
  3. Gestión centralizada de contraseñas, con políticas de rotación y revocación alineadas a estándares de seguridad.

12.4. Respaldo, recuperación y continuidad

HGI S.A.S. dispone de políticas formales de respaldo y continuidad de negocio, orientadas a asegurar la disponibilidad de la información y la recuperación oportuna de los servicios en caso de incidentes. Se reduce el impacto operativo, buscando la continuidad en la prestación de servicios a los clientes. Para ello, se implementan las siguientes acciones:

  1. Ejecución de copias de seguridad automáticas y programadas de las bases de datos críticas y sistemas de aplicación.
  2. Retención controlada y rotación de respaldos conforme a políticas internas.
  3. Pruebas periódicas de restauración para validar la integridad de la información y la disponibilidad de los servicios en caso de incidentes.
  4. Estrategias de continuidad y recuperación ante desastres mediante plataformas de replicación y alta disponibilidad en la nube privada.

12.5. Monitoreo, prevención y respuesta a incidentes

La infraestructura tecnológica de HGI S.A.S. es objeto de monitoreo continuo, con el fin de detectar comportamientos anómalos y responder oportunamente ante posibles incidentes de seguridad. Este proceso asegura que la empresa pueda anticiparse, contener y remediar eventos que comprometan la seguridad de los datos personales. Para lograrlo, se llevan a cabo las siguientes medidas:

  1. Monitoreo continuo de la infraestructura a través de plataformas SIEM (Microsoft Sentinel) para detección temprana de comportamientos anómalos.
  2. Configuración de alertas automáticas frente a accesos indebidos, intentos de fuga de información, uso no autorizado de privilegios o conexiones sospechosas.
  3. Procedimientos formales de gestión de incidentes de seguridad con clasificación por criticidad, análisis de causa raíz y aplicación de medidas correctivas.
  4. Incorporación de inteligencia de amenazas para anticipar vulnerabilidades emergentes y fortalecer la postura de seguridad.

12.6. Prevención de fuga de información

Consciente de que uno de los riesgos más relevantes en materia de protección de datos es la fuga de información, HGI S.A.S. ha adoptado soluciones tecnológicas y políticas organizativas que permiten mitigar este riesgo, con el fin de que la información no sea transferida, copiada o divulgada de manera indebida. Entre tales soluciones, se tienen las siguientes:

  1. Implementación de soluciones de Data Loss Prevention (DLP) que bloquean la extracción no autorizada de datos por medios extraíbles, correos electrónicos externos o plataformas no autorizadas.
  2. Revisión periódica de reportes de fuga de datos y ajustes dinámicos a las reglas de monitoreo.
  3. Campaña de concientización interna dirigida a colaboradores sobre el adecuado manejo de información confidencial y datos personales.

12.7. Eliminación segura de la información

HGI S.A.S. dispone de procedimientos estandarizados y medidas para la eliminación segura de información y activos tecnológicos, buscando que los datos no sean recuperados ni utilizados una vez han cumplido su ciclo de vida. Entre ellas, se destacan:

  1. La aplicación de procesos de borrado seguro para activos tecnológicos reutilizables.
  2. La restauración de fábrica en dispositivos móviles y desvinculación de cuentas corporativas.
  3. La destrucción física para medios no reutilizables.
  4. La eliminación segura de respaldos que han cumplido su ciclo de vida.
  5. La actualización del inventario de activos para dejar trazabilidad de la baja y disposición final.

13. TRATAMIENTO DE DATOS PERSONALES SENSIBLES Y DE MENORES DE EDAD

HGI S.A.S. únicamente tratará datos personales sensibles y de menores de edad cuando sea estrictamente necesario para el desarrollo de sus actividades. Para ello, contará con la debida autorización previa, expresa e informada del titular o de su representante legal, según corresponda. En el caso de menores de edad, se atenderá a su interés superior, garantizando el respeto y protección de sus derechos fundamentales.

14. DECLARACIÓN DE CONFIDENCIALIDAD

HGI S.A.S. está comprometida con la protección y correcto tratamiento de los datos personales. En consecuencia, no se comparten ni divulgan datos sin la previa autorización del titular, salvo si se trata del cumplimiento de una obligación legal o del requerimiento de autoridad competente.

Adicionalmente, la información recolectada y obtenida será usada únicamente para los fines autorizados y descritos en la presente política y será tratada bajo medidas de seguridad que eviten su acceso, uso o divulgación no autorizada.

15. VIGENCIA Y MODIFICACIONES

La presente Política de Tratamiento y Protección de Datos Personales entrará en vigencia a partir del 1 de agosto de 2025 y reemplaza en su totalidad la versión anterior.

HGI S.A.S. se reserva el derecho de modificar esta política en cualquier momento, ya sea por cambios normativos, ajustes técnicos o mejoras en los procesos internos. Toda modificación será notificada mediante la actualización de la versión publicada en la página web de HGI S.A.S. o a través de los medios de divulgación que la empresa considere pertinentes.