TÉRMINOS Y CONDICIONES, POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

Los Usuarios declaran haber leído de manera previa y brindan su consentimiento libre, expreso, inequívoco e informado para que ACADEMIA VIP SAS realice el tratamiento de sus Datos Personales; asimismo, manifiestan haber sido informados sobre qué información se recopila, la forma en qué se realizará y la finalidad de la recopilación de los Datos Personales.

Cada Usuario es responsable por la veracidad, exactitud, vigencia y autenticidad de la información suministrada, y se compromete a mantenerla debidamente actualizada. Sin perjuicio de lo anterior, el Usuario autoriza a ACADEMIA VIP SAS si así lo considera pertinente, a verificar la veracidad de los Datos Personales facilitados, a través de información obtenida de fuentes de acceso público o de entidades especializadas en la provisión de dicha información.

En cumplimiento de las normativas, por la cual se dictan disposiciones para la protección de datos personales, ACADEMIA VIP SAS , en su calidad de responsable del tratamiento de datos personales, informa los lineamientos generales en esta materia:

Datos Generales

El responsable del tratamiento de sus datos personales es ACADEMIA VIP SAS ubicada en Colombia en la cra. 50 #72-205 Bucaramanga, Santander, teléfono 3168130244, email licitaconvip@valinivopartners.com, dispuestos como canales de atención.

1. Política del Tratamiento de los Datos

A través de esta política, ACADEMIA VIP SAS en cumplimiento de su deber legal y reglamentario, propende por hacer efectiva la garantía constitucional de protección a la intimidad personal y familiar de todos los ciudadanos, estableciendo instrumentos y controles expeditos de cara a dar un tratamiento adecuado a la información que administra.

La presente política establece los términos, condiciones y finalidades bajo las cuales ACADEMIA VIP SAS como responsable de los datos personales obtenidos a través de sus distintos canales de atención, trata la información de todas las personas que en algún momento por razones de la actividad que desarrolla la entidad hayan suministrado datos personales (en adelante “Titular del dato”).

Los presentes términos y condiciones aplican para cualquier registro de datos personales realizado en forma presencial y/o virtual para la vinculación a cualquier producto, servicio o beneficio de ACADEMIA VIP SAS El titular del dato registra o entrega su información de manera libre y voluntaria y reconoce que ha leído y acepta expresamente los presentes términos y condiciones.

ACADEMIA VIP SAS mediante la prestación del servicio de formación en la academia ACADEMIA VIP SAS se encarga directamente del tratamiento de los Datos Personales; sin embargo, se reserva el derecho a delegar en un tercero tal tratamiento. ACADEMIA VIP SAS exige al Encargado la atención e implementación de los lineamientos y procedimientos idóneos para la protección de los datos personales y la estricta confidencialidad de los mismos.

El objetivo del presente tratamiento de datos es derivado de la prestación del servicio de formación en línea y presencial que desarrolla ACADEMIA VIP SAS mediante la plataforma digital ACADEMIA VIP SAS y/o HOTMART, reconociendo la importancia de la seguridad, privacidad y confidencialidad de los datos personales sus trabajadores, clientes, proveedores y en general, de todos sus agentes de interés respecto de los cuales ejerce tratamiento de información personal. Para el efecto, ha creado la presente política para el tratamiento de datos personales (en adelante la “Política de Tratamiento”) la cual regulará la información y datos que sean recogidos, almacenados y/o administrados por EL RESPONSABLE.

2. Finalidad del Tratamiento de Datos

La autorización para el tratamiento de sus datos personales, permite a ACADEMIA VIP SAS recolectar, transferir, almacenar, usar, circular, suprimir, compartir, actualizar y transmitir, para efectos de cumplir con las siguientes finalidades:

(iii) Esta autorización permitirá a ACADEMIA VIP SAS recolectar, transferir, almacenar, usar, circular, suprimir, compartir, actualizar y transmitir, de acuerdo con el procedimiento para el tratamiento de los datos personales en procura de cumplir con LAS SIGUIENTES FINALIDADES, en ejecución de la razón social del operador, la persona asignada o apoderado:

(1)validar la información en cumplimiento de la exigencia legal de identificación y conocimiento del cliente aplicable a ACADEMIA VIP SAS (2) Para el tratamiento y protección de los datos de contacto (nombre, identificación personal, direcciones de correo físico, electrónico, redes sociales y teléfonos) (3)El alcance de la autorización comprende la facultad para que ACADEMIA VIP SAS envíe mensajes y notificaciones al usuario, con contenidos informativos sobre contenido de valor, información de boletines, talleres, capacitaciones, cursos virtuales y presenciales, eventos, información sobre servicios y promociones, así como el envío de los resultados de las pruebas, consultas del estado del servicio al cliente y comunicaciones del servicio, sin embargo, se reserva el derecho a delegar el análisis del envío de la información en un tercero tal tratamiento, conforme al portafolio de servicios, a través de los canales por mi informados.(4) adelantar acciones de cobro y de recuperación de cartera, investigación de bienes, así como enviar información del estado de cuenta, saldos, cuotas pendientes de pago en virtud de la existencia de contratos para la ejecución de la relación comercial- negocio causal vinculante (5) solicitar y recibir de las entidades de derecho público y/o empresas de carácter privado la información personal, financiera, laboral y de seguridad social, que reposa en sus bases de datos, para efectos de cobro y acciones judiciales. (6) validación de información en centrales de riesgo y efectuar reportes a la misma de su comportamiento de pago. (7) El uso público del nombre e imagen( foto o logotipo) del cliente con sus muestras o referencias testimoniales sobre la entrega satisfactoria de productos o servicios por parte de ACADEMIA VIP SAS

INTERÉS LEGÍTIMO

Cuando se realice un lanzamiento de productos o servicios nuevos, o promociones especiales por tiempo determinado, se recogerá el nombre y correo electrónico de los usuarios del sitio web mediante un formulario. Este tratamiento de datos personales se hará con base en el interés legítimo que posee ACADEMIA VIP SAS para aumentar sus ventas, dar a conocer sus productos o servicios y cumplir con la finalidad de enviarle al titular de los datos la información prometida en el sitio web.

Este tratamiento será realizado mientras perdure el interés legítimo de ACADEMIA VIP SAS. Para aumentar las garantías y respeto a la privacidad, se ofrece la posibilidad de la exclusión voluntaria de esta publicidad mediante un método fácil y de ejecución inmediata, ubicado en la parte inferior de los correos electrónicos que reciba.

Para saber si este interés es proporcionado y respetuoso con los derechos de los titulares de los datos, se ha realizado una ponderación que puede ser solicitada en cualquier momento escribiendo al correo electrónico licitaconvip@valinivopartners.com.

POLÍTICAS RELACIONADAS CON LA NEWSLETTER

Estas políticas se entenderán en todo momento como parte complementaria de los términos y condiciones expuestos en el sitio web, siendo ambos de igual aplicación al momento de una controversia. La política de privacidad y de propiedad intelectual aplicada será la misma que se expone en los términos y condiciones del sitio web.

Se entenderá como “newsletter” al boletín digital que ACADEMIA VIP SAS realiza de forma periódica y que hace llegar a sus suscriptores a través de un proveedor de servicios de correo electrónico externo, al cual el usuario se ha suscrito de manera voluntaria.

ACADEMIA VIP SAS no está en la obligación de enviar en períodos de tiempo definidos la newsletter, por lo que es totalmente libre de hacerlo cuando lo estime conveniente. El usuario podrá en todo momento ejercer sus derechos de acceso, rectificación, cancelación u oposición siguiendo las instrucciones que encontrará en el pie de página de la newsletter.

El usuario no deberá compartir su contenido con terceros, ya que esto violaría los derechos de autor de ACADEMIA VIP SAS. El único canal de distribución posible es el administrado y/o autorizado por ACADEMIA VIP SAS

ACADEMIA VIP SAS no se hará responsable por el contenido de terceros expuesto en la newsletter, cualquier controversia que surja deberá ser tratada directamente con la persona o empresa de la cual se hace mención.

Todo el material que se expone en la newsletter está protegido por derechos de autor a favor de ACADEMIA VIP SAS y en el caso de pertenecer a terceros, se entenderá que ACADEMIA VIP SAS tiene la debida autorización para utilizarlo como se haya convenido con el autor, o en caso de no existir autorización se referencia a su autor.

DURACIÓN DEL TRATAMIENTO

En el caso de los datos personales suministrados para facturación y compra de productos o servicios, serán guardados por el tiempo legalmente aplicable.

En el caso de los datos personales suministrados para boletines comerciales electrónicos y comentarios en el blog, será por el tiempo que el titular de los datos desee permanecer en la lista de suscripción, por lo que podrá darse de baja en el momento que así lo desee, de forma automática como se indica en cada boletín, o escribiendo a licitaconvip@valinivopartners.com.

3. Derechos del titular de los datos personales

Se informa al Titular del dato, los derechos que las leyes sobre protección de datos personales le ofrecen, que a continuación se enlistan y que ACADEMIA VIP SAS, los garantiza a través del cumplimiento de los procedimientos definidos:

 Conocer, actualizar y rectificar sus datos personales frente a la Entidad. Este derecho se puede ejercer, entre otros frente a datos parciales, inexactos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

● Conocer, actualizar y rectificar sus datos personales que estén siendo objeto del tratamiento por parte de EL RESPONSABLE o los encargados del tratamiento.

● Solicitar prueba de la autorización otorgada a EL RESPONSABLE, salvo cuando expresamente se exceptúe como requisito para el tratamiento.

● Ser informado por EL RESPONSABLE previa solicitud, respecto del uso que le ha dado a sus datos personales.

● Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

● Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012.

● Conocer nuestra Política el tratamiento de Datos Personales, y los cambios sustanciales que se lleguen a producir en esta.

● Acceder y conocer en forma gratuita los datos personales que sean objeto de tratamiento de acuerdo con lo dispuesto por la ley, en el tratamiento de datos personales.

● Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas y niños y adolescentes.

● Otros que le otorgue las normas jurídicas vigentes.

RECLAMOS: Para ejercer estos derechos usted debe tener en cuenta la siguiente información:

1. Para consulta de datos personales, solicitud de la autorización o de información sobre el uso dado a los datos, usted puede realizar la consulta por escrito y de manera presencial en las Oficinas de ACADEMIA VIP SAS La consulta debe ser a través de comunicación dirigida a nombre de ACADEMIA VIP SAS , con el nombre completo del titular, la descripción de la consulta, la dirección de residencia y el teléfono de contacto, la descripción de los hechos que dan lugar a la solicitud o reclamo, y se deben anexar los documentos que se quiera hacer valer.

Independientemente del mecanismo utilizado para la radicación de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (15) días hábiles contados a partir de la fecha de su recibo. Si la solicitud o reclamo resulta incompleto, se le requerirá dentro de los (5) días siguientes a la recepción del reclamo para que subsane las fallas.

El titular, sus causahabientes o cualquiera otra persona con un interés legítimo que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización, supresión, o revocación de la autorización otorgada para el tratamiento, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán, por medio físico o electrónico, presentar oportuna reclamación al área responsable. De conformidad con el artículo quince (15) de la Ley 1581 de 2012, dicha reclamación será procedente una vez se verifique el cumplimiento de los requisitos que a continuación se presentan:

1. El reclamo deberá: i) incluir la identidad de quien reclama, aduciendo su nombre y número de identificación; ii) especificar de manera clara y expresa el motivo de la consulta; iii) acreditar el interés legítimo con el que actúa el reclamante, adjuntando en todo caso los debidos soportes y, iv) indicar la dirección física o electrónica de correspondencia a la que deba remitirse la respuesta de la solicitud. De encontrarse que el reclamo se encuentra incompleto, “se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo”.

2. En caso de que EL RESPONSABLE no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

3. “Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido”.

“El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se resolverá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término”.

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos con EL RESPONSABLE

TÍTULO XIV

OBLIGACIONES DE LA COMPAÑÍA COMO RESPONSABLE DEL TRATAMIENTO DE DATOS

EL RESPONSABLE se permite informar los deberes que asume en su calidad de responsable del tratamiento:

● Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos.

● Informar deberá buscar el medio a través del cual obtener la autorización expresa por parte del titular de los datos para realizar cualquier tipo de tratamiento y conservar copia de dicha autorización.

● Informar deberá informar de manera clara y expresa a sus usuarios, empleados, proveedores y terceros en general de quienes obtenga datos, el tratamiento al cual serán sometidos los mismos, la finalidad de dicho tratamiento y los derechos que le asisten por virtud de la autorización otorgada. Para ello, EL RESPONSABLE deberá diseñar la estrategia a través de la cual para cada evento, mecánica o solicitud de datos que se realice, informará a los mismos el respectivo tratamiento de que se trate.

● Informar a los titulares de los datos para cada caso, el carácter facultativo de responder y otorgar la respectiva información solicitada.

● En todos los casos en los que se recopilen datos, se deberá informar los derechos que le asisten a todos los titulares respecto a sus datos.

● Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

● Informar la identificación, dirección física o electrónica y teléfono de la persona o área que tendrá la calidad de responsable del tratamiento.

● Garantizar en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho al hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, solicitar la actualización o corrección de datos y tramitar consultas, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos previstos en el presente manual.

● Conservar con las debidas seguridades los registros de datos personales almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento y realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que los titulares de los mismos le reporten novedades o solicitudes.

● Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

● Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada se mantenga actualizada.

● Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

● Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en el presente Manual.

● Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

● Tramitar las consultas, reclamos y solicitudes formulados en los términos señalados en la Ley o en el presente Manual.

● Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012 y en especial, para la atención de consultas, reclamos y solicitudes.

● Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la solicitud y no haya finalizado el trámite respectivo.

● Informar, a solicitud del Titular, sobre el uso dado a sus datos.

● Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

● Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

4. Seguridad de la información

ACADEMIA VIP SAS está comprometido en efectuar un correcto uso y tratamiento de los datos personales contenidos en sus bases de datos, evitando el acceso no autorizado a terceros que puedan conocer o vulnerar, modificar, divulgar y/o destruir la información que allí reposa.

Para este fin, cuenta con protocolos de seguridad y acceso a los sistemas de información, almacenamiento y procesamiento incluidas medidas físicas de control de riesgos de seguridad.

Además, ha implementado un sistema perimetral de seguridad “Firewall” y detección de intrusos proactivos de primer nivel para mantener salvaguardada la información de nuestros clientes. Permanentemente se realiza monitoreo al sistema a través de análisis de vulnerabilidades.

El acceso a las diferentes bases de datos se encuentra restringido incluso para los empleados y colaboradores. Todos los funcionarios se encuentran comprometidos con la confidencialidad y manipulación adecuada de las bases de datos atendiendo a los lineamientos sobre tratamiento de la información establecida en la Ley.

La información personal suministrada por los usuarios de los diferentes portales de ACADEMIA VIP SAS está asegurada por una clave de acceso a la cual sólo el Usuario puede acceder y que sólo él conoce; el Usuario es el único responsable del manejo de dicha clave. ACADEMIA VIP SAS no tiene acceso ni conoce la referida clave, todas las claves de usuarios se encuentran encriptadas.

Para mayor seguridad, ACADEMIA VIP SAS recomienda a los usuarios de nuestros portales el cambio periódico de su contraseña de ingreso. Como es del conocimiento público, ninguna transmisión por Internet es absolutamente segura ni puede garantizarse dicho extremo, el Usuario asume el hipotético riesgo que ello implica, el cual acepta y conoce. Es responsabilidad del usuario tener todos los controles de seguridad en sus equipos o redes privadas para su navegación hacia nuestros portales.

Así mismo, ACADEMIA VIP SAS puede utilizar cookies para identificar la navegación del usuario por los portales. Estas cookies no proporcionan ni permiten identificar los datos personales de cada usuario. Los usuarios pueden configurar su navegador para la notificación y rechazo de las mismas sin que esto interfiera en el acceso del usuario a los portales ACADEMIA VIP SAS ha implementado todos los mecanismos de seguridad vigentes en el mercado acordes con sus productos. Además, ha desplegado una serie de documentos y actividades a nivel interno para garantizar el correcto funcionamiento de los esquemas de seguridad técnica; no obstante, a pesar de la debida diligencia adoptada, ACADEMIA VIP SAS no se responsabiliza por cualquier consecuencia derivada del ingreso indebido o fraudulento por parte de terceros a la base de datos y/o por alguna falla técnica en el funcionamiento. Los presentes lineamientos son aplicables de cumplimento obligatorio para los portales Web propiedad de ACADEMIA VIP SAS y de aquellos que a futuro se adquieran o se desarrollen.

Utilizamos la dirección IP del usuario para identificar problemas, administrar la Plataforma e identificar patrones de comportamiento del tráfico. También se utilizan cookies o tecnología similar para poder ofrecerle contenido acorde a sus intereses y para almacenar su contraseña y así el Usuario no tenga que ingresarla nuevamente cada vez que regresa a la Plataforma, es importante mencionar que, empleamos distintos tipos de cookies, herramientas de recopilación de datos, análisis de perfiles y publicidad en línea. En ese sentido, a fin de que cuente con la información a detalle, le solicitamos revisar la Política de Uso de Cookies.

5. Almacenamiento de sus datos personales

ACADEMIA VIP SAS solicita los datos necesarios para la comercialización de sus bienes y servicios, la adquisición de créditos, servicios e interacción con sus clientes, así como aquella requerida por el gobierno para el proceso de facturación y pago. En algunos casos, puede solicitar información adicional y sensible la cual es de libre y voluntaria entrega por parte del titular del dato.

Una vez suministrados sus datos personales, de manera voluntaria y libre, a través del registro en nuestros portales Web, entre otros, los mismos son almacenados en la base de datos pertinente de acuerdo al servicio o producto adquirido. Las bases de datos se encuentran detrás de un firewall para mayor seguridad y los servidores en los que reposan las bases de datos están protegidos físicamente en un lugar seguro. Sólo personal autorizado que ha firmado acuerdos de confidencialidad de la información, puede acceder a él y por tanto a los datos personales de nuestros clientes y/o usuarios.

6. Modificaciones a las Políticas de Tratamiento de Datos Personales

T ACADEMIA VIP SAS ERESA Q SAS se reserva el derecho de modificar, en cualquier momento, de manera unilateral, sus políticas y procedimientos de tratamiento de datos personales. Cualquier cambio será publicado y anunciado. Además, se conservarán las versiones anteriores de la presente políticas de tratamiento de datos personales. El uso continuo de los servicios o no desvinculación de los mismos por el titular del dato después de la notificación de los nuevos lineamientos constituye la aceptación de la misma.

7. Revelación de la información

El titular del dato, con la aceptación de esta política de tratamiento de datos personales, declara conocer que ACADEMIA VIP SAS puede suministrar esta información a las entidades vinculadas y aliadas y a las entidades judiciales o administrativas y demás entes del Estado que, en ejercicio de sus funciones, soliciten esta información. Igualmente, acepta que pueden ser objeto de procesos de auditoría interna o de auditoría externa por parte de empresas encargadas de este tipo de control. Lo anterior, sujeto a la confidencialidad de la información.

8. Vigencia de la Política de tratamiento de datos personales

La política del tratamiento de datos personales rige a partir del momento en que sea aprobada por ACADEMIA VIP SAS

Los Datos personales proporcionados se conservarán mientras no se solicite su supresión por el interesado (salvo que se solicite y exista un deber legal de conservarlos). Las bases de datos de EL RESPONSABLE tendrán un periodo de vigencia indefinido ya que el tratamiento de los mismos será necesario mientras subsista EL RESPONSABLE y el desarrollo de su objeto social, en todo caso este término no será inferior a (50) años. La presente versión de esta política rige a partir de la fecha de su publicación, la cual reemplaza de manera completa toda disposición o política de tratamiento de datos anterior, y estará vigente de manera indefinida y durante el tiempo que EL RESPONSABLE ejecute las actividades descritas en la en ella y las mismas se correspondan con las finalidades de tratamiento que inspiraron la presente política

9. Atención de consultas y reclamos

Para la recepción de consultas, reclamos, quejas o para el ejercicio de los derechos como usuario o cliente, puede comunicarse a través de cualquiera de los canales de Atención al Cliente que ACADEMIA VIP SAS tiene dispuestos en la página web o plataforma de la academia ACADEMIA VIP SAS y se atenderán en los tiempos establecidos por la Ley vigente de la jurisdicción colombiana.

1.La ley que regula el manejo de tratamiento de datos es la LEY ESTATUTARIA 1581 DE 2012.

La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. (art.1 LEY 1581 DE 2012).

La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:

a)A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

(…….)

e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley;

Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

DEFINICIONES. Para los efectos de la presente ley, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

g)Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión

CATEGORÍAS ESPECIALES DE DATOS-DATOS SENSIBLES. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

TRATAMIENTO DE DATOS SENSIBLES. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

EL RESPONSABLE procura en el desarrollo de su actividad económica no recaudar información de menores de edad, si tiene menos de 18 años de edad, sus datos solo podrán ingresar a nuestras bases de datos con el consentimiento expreso del representante legal del menor de edad.

El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

● Que responda y respete el interés superior de los niños, niñas y adolescentes.

● Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

De acuerdo con la Corte Constitucional Colombiana los datos personales de los menores de 18 años, pueden ser tratados, siempre y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales e inequívocamente responda a la realización del principio de su interés superior, sin perjuicio del cumplimiento de lo anterior, la recopilación y cualquier uso de los datos de los menores de edad que se encuentren registrados en las bases de datos de EL RESPONSABLE o que se soliciten requieren la autorización expresa del representante legal del niño, niña o EL RESPONSABLE facilitará la posibilidad de que puedan ejercer los derechos de acceso, cancelación, rectificación y oposición de los datos de sus tutelados.

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y en el decreto reglamentario.

La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y en el decreto reglamentario.

En virtud de lo anterior EL RESPONSABLE sólo tratará datos de menores de edad, previo el respeto de los principios ya indicados en la recolección de la autorización y siempre y cuando para en el tratamiento de los mismos sean respetados los intereses superiores de los menores.

ENCARGADOS DEL TRATAMIENTO

ACADEMIA VIP SAS necesita el apoyo de terceros para ofrecer adecuadamente sus servicios y productos, con los cuales celebra los debidos acuerdos de confidencialidad y verifica el cumplimiento de las normativas sobre protección de datos personales.

Los datos suministrados a estos terceros no podrán ser utilizados para otros fines no autorizados por el titular de los datos.

En cumplimiento de los principios de información y transparencia, se hace saber que estos terceros son:

•Active campaign: Utilizada para el email marketing y gestión de clientes. Este servicio estará cargo de la compañía ActiveCampaign, LLC, cuya oficina está ubicada en la ciudad de Chicago, EEUU. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea, que pueden ser consultadas en este enlace: https://www.activecampaign.com/gdpr-updates/. Puedes ver más información sobre política de privacidad aquí en https://www.activecampaign.com/privacy-policy/

•Amazon Web Services: Proveedor de Hosting (almacenamiento web). Puede ver su política de privacidad en https://aws.amazon.com/es/privacy/. El responsable por el tratamiento de los datos es Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburgo.

•Amazon: portal de venta de productos sugeridos en el sitio web. Toda información personal que facilite o se recoja a través de Amazon.com será tratada principalmente por Amazon.com, Inc. ubicada en P.O. Box 81226, Seattle, WA 98108-1226 EE.UU. Han adoptado cláusulas-tipo aprobadas por la Comisión Europea que pueden ser consultadas en: https://aws.amazon.com/pt/blogs/security/aws-gdpr-data-processing-addendum. Para más información sobre su política de privacidad: https://www.amazon.com/-/es/gp/help/customer/display.html/ref=hp_left_v4_sib?ie=UTF8&nodeId=GX7NJQ4ZB8MHFRNJ

•Bigmarker: Plataforma de video para realizar transmisiones en directo a cargo de BigMarker.com, LLC. Se encuentra localizado en Chicago, Estados Unidos. Puede ver más información sobre su política de privacidad en: https://get.bigmarker.com/legal/privacy-policy

•Clickfunnels: herramienta que gestiona la creación de páginas de aterrizaje y ayuda a las estadísticas. Está a cargo de la empresa Etison, LLC., ubicada en Estados Unidos. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea. Para más información sobre la privacidad puede consultarse en https://signup.clickfunnels.com/privacy-policy.

•Cloudflare: Servicio de hospedaje o alojamiento web (hosting) prestado por la empresa Cloudflare, Inc., que se encuentra domiciliada en 101 Townsend St, San Francisco, CA 94107- USA, puede ser contactada a través del correo electrónico privacyquestions@cloudflare.com. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que puede ser consultada en https://www.cloudflare.com/gdpr/introduction/. En caso de que, desees más información sobre su política de privacidad ingresa a https://www.cloudflare.com/privacypolicy/

•Digital Ocean: Servicio de servidores privados a cargo de DigitalOcean, LLC con domicilio en 101 6th Ave, New York, NY 10013, -USA. Ha adoptado Cláusulas-tipo de protección de datos aprobadas por Comisión Europea que pueden ser consultadas en: https://www.digitalocean.com/legal/data-processing-agreement/. Para más información sobre su política de privacidad, consulte https://www.digitalocean.com/legal/privacy-policy/

•Dropbox: Utilizada para el alojamiento en la nube de documentos relacionados con los productos o servicios que se ofrecen en el sitio web. Servicio prestado por Dropbox, Inc, ubicada en California, Estados Unidos. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en https://aem.dropbox.com/cms/content/dam/dropbox/www/en-us/security/DBX%20GDPR%20Compliance%20Journey_2020_updated.pdf. Para obtener más información sobre su política de privacidad puedes visitar https://www.dropbox.com/privacy

•Facebook: Herramienta utilizada como red social y a los fines de conectarse con el titular de los datos. El servicio es prestado por la empresa Facebook Ireland Ltd., sus servidores están en Estados Unidos. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://www.facebook.com/legal/terms/dataprocessing. . Puede consultarse su política de provacidad en https://www.facebook.com/business/gdpr. Con esta herramienta también se maneja la publicidad que se pueda realizar en Whatssapp y/o Instagram, así como el análisis de datos y estadísticas para una posible segmentación de la publicidad.

•Google: sistema de publicidad patrocinada (ADS), Servicio de análisis web, para ver las estadísticas del uso del sitio web (Analytics) y sistema de gestión de etiquetas (Tag Manager).Estos servicios son prestados por la empresa Google LLC, ubicada en Mountain View, California, Estados Unidos de América. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://cloud.google.com/security/gdpr/resource-center. Si desea obtener más información sobre su política de privacidad puede consultar: https://policies.google.com/privacy

•Gravityform: herramienta para la creación de formularios desarrollada por Rocketgenius, Inc. ubicada en 1620 Centerville Turnpike, Suite 102, Virginia Beach VA 23464-6500, USA. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://docs.gravityforms.com/wordpress-gravity-forms-and-gdpr-compliance/. Para más información sobre la política de privacidad visite: https://www.gravityforms.com/privacy/

•Hotjar: Hotjar Es una herramienta que permite realizar análisis tipo heatmaps, grabaciones, construcción de informes de funnel, análisis de formularios e, incluso, plantear widjets o encuestas a los visitantes de los sitios web con el único objetivo de mejorar la conversión. Se encuentra ubicada en Hotjar Ltd, Level 2, St Julians Business Centre,3, Elia Zammit Street St Julians STJ 1000, Malta, Europa. Puede ser contactada a través del correo electrónico support@hotjar.com y su política de privacidad puede observarse en https://www.hotjar.com/legal/policies/privacy

•HubSpot: herramienta para automatizar boletines de información comercial y enviar para el e-mail del titular de los dados, publicidad de los productos y/o servicios ofrecidos en el site. Es subministrado por la empresa HubSpot, Inc. com sede en 25 First Street, 2nd Floor, Cambridge, MA 02141 EE. UU. para los visitantes del Espacio Económico Europeo (“EEE”), la responsable por el tratamiento de datos personales es HubSpot Ireland Limited con sede en: 2nd Floor, 30 North Wall Quay Dublin 1, Ireland. Han suscrito cláusulas-tipo de protección de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://legal.hubspot.com/br/dpa. Para más información sobre su política de privacidad visite: https://legal.hubspot.com/br/privacy-policy

•Instagram: Red social y aplicación para subir fotos y vídeos cuyo propietario es la empresa Facebook Inc., que está ubicada en 1601 Willow Road Menlo Park, CA 94025, Estados Unidos de América. En caso de estar fuera de los Estados Unidos de América o Canadá, la entidad de control de datos responsable de la información es Facebook Ireland Ltd., que se encuentra ubicada en 4 Grand Canal Square Grand Canal Harbour, Dublín 2, Irlanda. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://www.facebook.com/legal/terms/dataprocessing. Para obtener más información sobre la política de privacidad ingresa en: https://help.instagram.com/155833707900388

•Kajabi: plataforma de marketing de contenido, desarrollada por Kajabi, LLC, ubicada en: 15495 Sand Canyon Ave Suite #300 Irvine, CA 92618, EUA. Ha suscrito Cláusulas-Tipo aprobadas por la Comisión Europea que pueden ser consultadas en: https://help.kajabi.com/hc/en-us/articles/360042185814-GDPR-Your-Path-to-Compliance#h_01EK0MAWMBT40E4NMEB570XMF4. Para más información sobre la política de privacidad visite: https://kajabi.com/policies/privacy

•Linkedin: Red social orientada a las empresas, a los negocios y el empleo. Puede ser contactada en https://www.linkedin.com/help/linkedin?lang=es y su política de privacidad puede observarse en https://www.linkedin.com/legal/privacy-policy

•PayPal (Europe) S.à r.l. et Cie, S.C.A.: empresa utilizada para gestionar los pagos mediante tarjeta de débito y crédito en el sitio web. Ubicada en 22-24 Boulevard Royal L-2449, Luxemburgo. Para más información puede visitar https://www.paypal.com/es/webapps/mpp/ua/privacy-full?locale.x=es_ES

•Pixel de Facebook: herramienta de análisis para publicidad, utilizado para conocer las acciones de los titulares de los datos en este sitio web. Este servicio es proporcionado por Facebook, Inc., que está ubicada en 1601 Willow Road Menlo Park, CA 94025, Estados Unidos de América. En caso de estar fuera de los Estados Unidos de América o Canadá, la entidad de control de datos responsable de la información es Facebook Ireland Ltd., que se encuentra ubicada en 4 Grand Canal Square Grand Canal Harbour, Dublín 2, Irlanda. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://www.facebook.com/legal/terms/dataprocessing. Para obtener más información sobre la política de privacidad ingresa en https://www.facebook.com/privacy/explanation

•Sendgrid: herramienta para la gestión de comunicaciones con clientes desarrollada por Twilio Inc., a Delaware corporation, con domicilio en 375 Beale Street, Suite 300, San Francisco, CA 94105. Ha adoptado Cláusulas-tipo de protección de datos aprobadas por Comisión Europea que pueden ser consultadas en: https://www.twilio.com/legal/data-protection-addendum. Para más información sobre su política de privacidad, consulte https://www.twilio.com/legal/privacy.»

•Smartlook: servicio de análisis web, para ver las estadísticas del uso del sitio web, desarrollado por Smartlook.com, s.r.o., Company reg. no.: 095 08 830, VAT ID: CZ09508830, con domicilio en Šumavská 524/31, Veveří, 602 00 Brno, República Checa. Su política de privacidad puede ser consultada en: https://help.smartlook.com/en/articles/3244452-privacy-policy

•Stripe: herramienta utilizada para gestionar los pagos mediante tarjeta de débito y crédito en el sitio web. El servicio es prestado por Stripe Inc que está ubicada en los Estados Unidos. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://stripe.com/dpa/legal. Para más información en https://stripe.com/us/privacy

•Thrive Cart: herramienta gestora de pagos que está a cargo de la empresa WebActix Ltd ubicada en Nueva Zelanda. Para conocer más sobre su política de privacidad puede visitar https://legal.thrivecart.com/platform/gdpr/

•TikTok: Red social y aplicación para subir vídeos cuyo propietario es la empresa TikTok Technology Limited ubicada en 10 Earlsfort Terrace, Dublín, D02 T380, Irlanda. Para los usuarios del Reino Unido: TikTok Information Technologies UK Limited, WeWork, 125 Kingsway, Londres, WC2B 6NH, Reino Unido. Para obtener más información sobre la política de privacidad ingresa en: https://www.tiktok.com/legal/privacy-policy?lang=es

•Twitter: Red social con sede en San Francisco, California, con filiales en San Antonio y Boston en Estados Unidos, prestado por la empresa Twitter, Inc. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://gdpr.twitter.com/. Puede ser contactada en https://help.twitter.com/en/contact-us y su política de privacidad puede observarse en https://twitter.com/es/privacy

•Typeform: herramienta para la creación de formularios y encuesta desarrollada por TYPEFORM SL ubicada en Carrer Bac de Roda, 163, local, 08018 – Barcelona (España). Para más información sobre la política de privacidad visite: https://admin.typeform.com/to/yFvrNI/

•Vimeo: plataforma creada para la disposición de videos. Este servicio está a cargo de la empresa Vimeo, Inc., ubicada en Estados Unidos y que ha adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea. Para más información sobre su política de privacidad puede visitar https://vimeo.com/privacy

•VWO: herramienta de optimización y pruebas de sitios web desarrollada por Wingify Software Pvt. Ltd. Con domicilio en 1104, 11th Floor, KLJ Tower North B-5, Netaji Subhash Place, Pitampura, Delhi – 110034, India. Han adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://help.vwo.com/hc/en-us/sections/360004958813-GDPR. Su política de privacidad puede ser consultada en https://vwo.com/privacy-policy/

•WhatsApp: Herramienta utilizada para la comunicación con los usuarios, compradores, clientes y participantes a través de la empresa WhatsApp Ireland Limited (para los que se encuentran ubicados en Europa), puede contactarse a través del enlace https://www.whatsapp.com/contact/?subject=messenger y su política de privacidad puede observarse en https://www.whatsapp.com/legal?eea=1#privacy-policy

•WP Engine: Servicio de Hosting (almacenamiento web) proveido por WPEngine, Inc. con domicilio en 504 Lavaca Street, Suite 1000, Austin, TX 78701-USA. Ha adoptado Cláusulas-tipo de protección de datos aprobadas por Comisión Europea que pueden ser consultadas en: https://wpengine.com/legal/dpa/ . Para más información sobre su política de privacidade, consulte https://wpengine.com/legal/privacy/

•Zendesk: sistema de gestión de clientes desarrollado por REDK INGENIERÍA DEL SOFTWARE, S.L. con domicilio en C/ José Abascal nº 53, 5ª planta, CP: 28003. Madrid-España. Puedes consultar su política de privacidad en: https://www.redk.net/es-ES/politica-de-privacidad/

•Zoom: herramienta utilizada para videoconferencias. Este servicio está a cargo de la empresa Zoom Video Communications, Inc., ubicada en Estados Unidos de América, ha adoptado cláusulas tipo de procesamiento de datos aprobadas por la Comisión Europea que pueden ser consultadas en: https://zoom.us/gdpr. Si desea obtener más información sobre su política de privacidad puede consultar: https://zoom.us/privacy

En casos puntales ACADEMIA VIP SAS podrá utilizar aplicaciones o herramientas que no hayan sido incluidas o nombradas en este listado, lo anterior por ser una mejor opción que coadyuve a la realización de una determinada tarea; si esto sucediera ACADEMIA VIP SAS notificará de esta situación a sus usuarios, clientes o participantes según fuere el caso.

DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS. - DERECHOS DE LOS TITULARES. El Titular de los datos personales tendrá los siguientes derechos:

a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;

c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

ARTÍCULO 9o. AUTORIZACIÓN DEL TITULAR. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN. La autorización del Titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

b) Datos de naturaleza pública;

c) Casos de urgencia médica o sanitaria;

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

e) Datos relacionados con el Registro Civil de las Personas.

Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.

2.La forma válida por medio de la cual el cliente debe darle la autorización de tratamiento de datos:

AUTORIZACIÓN DEL TRATAMIENTO

Para el tratamiento de información personal EL RESPONSABLE solicitará la autorización previa e informada a los titulares de la información, esta podrá ser escrita, verbal o mediante conductas inequívocas como aquella otorgada a través de medios digitales como páginas web, redes sociales o WhatsApp. EL RESPONSABLE conservará prueba de las autorizaciones obtenidas para el tratamiento de los datos.

El artículo 11 de la mencionada ley, refiere que la información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos con los requisitos de ley. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos. Es importante no negar el acceso a la información contratada aún cuando el titular de los datos no acceda a autorizar el envío de datos empresariales, o sobre servicios relativos al portafolio.

CONCLUSIÓN: Sin menos cabo de poseer un formato para recaudar cada tipo de información el medio válido para recaudar esta información debe ser ESCRITO, y enviado de manera física adicionándolo a los demás anexos requeridos. También puede efectuarse su envío a través de la página web mediante la creación de usuarios y plantilla por cada cliente, donde se visualice el anexo de AUTORIZACIÓN, y el anexo de las políticas de manejo de los datos.

normatividad internacional y la aplicación de los datos personales

RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES

El artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), establece las condiciones para realizar la transferencia internacional de datos personales:

“Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuando se trate de:

a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.

b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.

c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.

e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.

f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Parágrafo 1. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales.

HABILITACIÓN DE TRANSFERENCIA DE DATOS INTERNACIONALES

De acuerdo con el referido artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), hay 3 supuestos que habilitan la transferencia internacional de datos personales, a saber:

(i) El país receptor ofrece un nivel adecuado de protección, de acuerdo con los estándares fijados por la Superintendencia de Industria y Comercio, que no podrán ser inferiores a los dispuestos en la ley.

(ii) La operación de transferencia se encuentra enmarcada dentro de las excepciones fijadas por el artículo 26.

(iii) La Superintendencia de Industria y Comercio profiere una declaración de conformidad relativa a la viabilidad de la transferencia internacional de datos personales que en concreto se somete a su consideración.

En el 2013, la Superintendencia de Industria y Comercio contrató un estudio con una firma de abogados sobre la aplicación en Colombia de las normas sobre transferencia internacional de datos personales. Con fundamento en lo establecido en el artículo 26 de la Ley 1581 de 2012 y la sentencia de la Corte Constitucional antes citada, dentro del estudio ya referido se elaboró una lista no exhaustiva de países que, según el análisis efectuado por dicha firma tienen un nivel adecuado de protección. Para el efecto, en dicho estudio se tuvieron en cuenta las normas de dichos países y lo regulado por estas frente a los principios que rigen el tratamiento de datos personales, los derechos de los titulares, los deberes de Responsables y Encargados de Tratamiento, los mecanismos dispuestos para hacer efectivos esos derechos y la existencia de autoridades que garanticen de manera efectiva los mismos y hagan cumplir la ley.

El listado de países respecto de los cuales se concluyó ofrecen un nivel adecuado de protección incluye los países miembros de la Unión Europea, regidos por la Directiva 95/46/CE1 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

De otra parte, dicho listado contiene también a México, República de Corea, Costa Rica, Serbia, Perú, Noruega, Islandia y Estados Unidos, este último en relación con las empresas que se adhirieron al marco “Safe Harbor” o Puerto Seguro, el cual fue reemplazado en el 2016 por el marco “Privacy Shield” o Escudo de Privacidad.

El Decreto 1377 de 2013, incorporado al Decreto Único 1074 de 2015, estableció el principio de responsabilidad demostrada en virtud del cual los Responsables del Tratamiento deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), de tal manera que garanticen la protección de los derechos de los titulares de la información. Este principio resulta aplicable a todo tratamiento de datos realizado por los Responsables, incluida la transferencia internacional, como una modalidad de circulación de los mismos.

TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES

Estándares de un nivel adecuado de protección del país receptor de la información personal

El análisis para establecer si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:

a) Existencia de normas aplicables al tratamiento de datos personales.

b) Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

c) Consagración normativa de derechos de los Titulares.

d) Consagración normativa de deberes de los Responsables y Encargados.

e) Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley.

f) Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza (n) de manera efectiva sus funciones. 3.2 Países que cuentan con un nivel adecuado de protección de datos personales

PAISES QUE GARANTIZAN UN NIVEL ADECUADO DE PROTECCIÓN DE DATOS:

Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con nivel adecuado de protección por la Comisión Europea.

La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.

Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.

Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al Responsable del tratamiento que efectuará la transferencia verificar si la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, si ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrá realizar la trasferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

El simple tránsito transfronterizo o redirección de datos no comporta una transferencia de datos a terceros países.

Declaración de conformidad

Para solicitar la Declaración de Conformidad para la transferencia internacional de datos personales, el Responsable del tratamiento deberá radicar una petición ante la Superintendencia de Industria y Comercio en el Grupo de Gestión Documental y Recursos Físicos de la Entidad, o a través del correo electrónico contactenos@sic.gov.co, en la que suministre la información contenida en la “Guía para Solicitar la Declaración de Conformidad sobre las Transferencias Internacionales de Datos Personales”, publicada en la página web de esta Superintendencia. Los soportes y documentos remitidos deben estar traducidos al castellano.

Cuando los Responsables del Tratamiento, que a efectos de cumplir con el principio de responsabilidad demostrada, suscriban un contrato o implementen otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.

Se da la presente política de tratamiento de datos el día ( 30 ), del mes ( 12 ), del año ( 2019 )