Describir y formalizar las políticas para el tratamiento de datos personales en Great Culture To Innovate Center S.A.S., alineado al Régimen General de Protección de Datos (Ley 1581 de 2012 y el Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015) – el “RGPD”) con el fin de dar a conocer al público en general los procesos formales de gestión de datos de índole personal recolectados.

El alcance de esta política contempla exclusivamente los datos personales recolectados y almacenados en bases de datos ubicadas en diferentes medios físicos y electrónicos bajo la custodia de Great Culture To Innovate Center S.A.S., dentro de este alcance se incluyen titulares de estos datos personales, encargados de tratamiento y colaboradores.

El marco legal vigente dispone las directrices para el tratamiento adecuado de los datos personales de ciudadanos colombianos, las responsabilidades de las compañías públicas y privadas, los procesos de gestión de solicitudes y reclamos, como las definiciones técnicas del tratamiento de datos personales:

• Ley estatutaria 1581 de 2012
• Ley 1266 de 2008
• Decreto 1377 de 2013 del Ministerio de Comercio, Industria y Turismo

• Anonimizar: Expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad.
• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
• Aviso de privacidad: Comunicación verbal o escrita generada por el responsable de tratamiento, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
• Base de Datos: Conjunto organizado de datos personales que sean objeto de tratamiento.
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
• Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del tratamiento.
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
• Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
• Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
• Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

• Se debe garantizar al titular el pleno y efectivo ejercicio del derecho de hábeas data.
• Se debe solicitar y conservar el registro o copia de la autorización otorgada por el titular.
• Informar al titular sobre la finalidad de la recolección y los derechos que le asisten.
• Conservar la información bajo las medidas y condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta o accesos no autorizados.
• Tramitar las solicitudes formuladas por los titulares a través de los canales establecidos en este documento.
• Se designa el rol de oficial de protección de datos al oficial de seguridad de la información.
• Se deben reportar a las partes interesadas y de acuerdo con lo descrito por la ley, cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

Responsable de Tratamiento

Los colaboradores de Great Culture To Innovate Center S.A.S. y terceros encargados del procesamiento actuando como procesadores de datos pueden utilizar los datos personales para las finalidades establecidas a continuación:

• Proporcionar los servicios ofrecidos a través de la plataforma y solicitados por los usuarios de la plataforma o el cliente.
• Ejecutar los acuerdos suscritos entre Great Culture To Innovate Center S.A.S. y sus clientes.
• Acceder, consultar, comparar y evaluar en cualquier momento toda la información acerca de los titulares de los datos almacenados en la plataforma a fin de proporcionar los servicios contratados por los clientes.
• Configuración de perfiles de usuario y las contraseñas para el uso de la plataforma.
• Adecuar, ofrecer, presentar y gestionar los servicios ofrecidos desde la plataforma en donde los usuarios deciden registrarse, utilizar o contratar; como la carga, almacenamiento, organización, consolidación, procesamiento, certificación, clasificación, investigación, capacitación, elaboración de informes, estadísticas, análisis y planificación con el fin de producir diferentes tipos de informes y estudios requeridos por el Cliente.
• Para registrar información estadística sobre el estudio cuantitativo y cualitativo de las visitas y la utilización de los servicios por parte de los clientes.
• Para enviar contenido multimedia relacionado a Great Culture To Innovate Center S.A.S. a sus empresas afiliadas a través de canales tradicionales y electrónicos.
• Realizar encuestas sobre los productos y/o servicios ofrecidos por People’s Voice.
• Cualquier otra finalidad determinada por los responsables del tratamiento de datos personales para su procesamiento, y que se informó a los titulares en el momento de la recolección de los datos.
• Transferir o transmitir datos personales a empresas aliadas, dentro y fuera del país para efecto de ofrecer los servicios contratados por nuestros clientes.

Los titulares de datos tienen los derechos establecidos por la ley, y serán informados acerca de los mismos cuando le sean solicitados datos personales de cualquier tipo. Se informará a los titulares de datos a más tardar al momento de recolectar datos personales, acerca de los siguientes derechos:

• El derecho a conocer, actualizar y rectificar sus datos personales. El ejercicio de este derecho está relacionado, entre otros, a cualquier dato parcial, inexacto, incompleto o engañoso, así como datos para los que el procesamiento está expresamente prohibido, o no ha sido autorizado.
• El derecho a solicitar pruebas del consentimiento otorgado a Great Culture To Innovate Center S.A.S., salvo que por ley no se requiera el consentimiento del titular de los datos para las actividades de procesamiento.
• El derecho a presentar peticiones ante Great Culture To Innovate Center S.A.S. en relación con el procesamiento de datos, y el derecho a recibir información sobre los datos personales procesados.
• El derecho a revocar el consentimiento y/o solicitar la eliminación de sus datos personales de las bases de datos, siempre y cuando no exista una obligación legal o una obligación contractual a cargo de Great Culture To Innovate Center S.A.S., en virtud de la cual el interesado o sujeto de datos no tenga derecho a solicitar su supresión o revocar su consentimiento para su procesamiento. Si no hay ninguna obligación legal o contractual, y Great Culture To Innovate Center S.A.S. no ha eliminado los datos personales del titular o el consentimiento no ha sido revocado por la persona autorizada para hacerlo, el interesado podrá exigir ante la Superintendencia de Industria y Comercio (“SIC”) que se revoque el consentimiento y/o se eliminen sus datos personales.
• El derecho a ser informado acerca de la manera en que sus datos personales están siendo procesados.
• El derecho de libre acceso a sus datos personales, sujetos a procesamiento.
• El derecho a presentar reclamaciones ante el SIC, debido a la violación de la ley.

Antes de realizar cualquier tipo de tratamiento de datos personales, la autorización de uso de los datos personales, expreso e informado del titular de los datos es obligatoria, a menos que la ley establezca una excepción que podría ser objeto de un consentimiento posterior. El consentimiento no será necesario en los siguientes eventos:

• Cuando la información es necesaria debido a la orden de una autoridad o administrativa en el ejercicio de sus funciones.
• Cuando la información sea considerada como datos públicos.
• Cuando los datos personales se requieren debido a una emergencia sanitaria o de salud.
• Cuando el tratamiento de datos personales está autorizado por la ley, con propósitos históricos, estadísticos y/o científicos, siempre y cuando en estos tres casos Great Culture To Innovate Center S.A.S. recoja esta información desde el comienzo de la transformación y durante el procesamiento, y anonimizar la identidad del titular de los datos.
• Datos personales asociados al registro civil del individuo.

En cualquier otro caso, se deberá solicitar el consentimiento del sujeto de los datos para llevar a cabo cualquier tratamiento de los datos personales. La autorización otorgada por el titular o responsable debe cumplir con los siguientes requisitos:

• Por escrito o medio tecnológico.
• De forma oral.
• Mediante conductas inequívocas (excepto el silencio) del responsable o titular.

El tratamiento de los datos sensibles a los cuales se refiere el Artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los siguientes casos:

• Cuando el titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
• Cuando el tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
• Cuando el tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
• Cuando el tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
• Cuando el tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.

Great Culture To Innovate Center S.A.S. informará al titular de los datos acerca de sus derechos, así como: para qué, quién, qué y cómo se realizaría el tratamiento de su información.

• Para qué: se informa sobre el propósito y los usos de los datos personales.
• A quién: se proporciona al titular de los datos, la información de contacto del responsable de los datos (nombre o razón social, dirección física y número de teléfono).
• Qué: se notifica a los titulares de los datos acerca de los datos personales que se recogen, especialmente si se trata de datos confidenciales. Asimismo, le notifica que el consentimiento para el procesamiento de datos sensibles es opcional y nunca obligatorio.
• Cómo: se notifica al titular de los datos sobre las operaciones o tipos de procesamiento que serán efectuados sobre los datos personales recopilados. Por ejemplo: almacenamiento, uso, entrega, cesión, transmisión, divulgación, aseguramiento, etc.
• Derechos: se notifica a los titulares de los datos como mínimo acerca de sus derechos a acceder, modificar, rectificar y suprimir sus datos personales y el derecho a ser informado, previa petición, sobre los usos dados a sus datos. El titular de los datos también tiene el derecho a presentar reclamaciones y quejas ante la SIC, y el derecho a revocar el consentimiento si es posible de acuerdo con la ley y las obligaciones contractuales pertinentes.
• Mecanismos de acceso a la política: se informa a los interesados acerca de cómo pueden acceder a la política. Por ejemplo: (i) para virtual consentimiento, incluyendo un hipervínculo a la política; (ii), incluyendo una página web donde la política puede ser consultada; (iii) incluyendo una dirección física donde el titular podría eventualmente consultar la política.

Los titulares de los datos pueden ejercer sus derechos y desarrollar los procedimientos establecidos dirigiendo sus comunicaciones hacia Great Culture To Innovate Center S.A.S. a través de la dirección de email legalaffairs@gcti.co, conforme a los términos de la política. Si las solicitudes son recibidas por colaboradores distintos a los autorizados para resolverlas, de inmediato se remitirá esta información, y como máximo dos (2) días después de su recepción.

Great Culture To Innovate Center S.A.S. dispondrá de mecanismos que permitan a los titulares, sus apoderados, sus representantes y/o abogados, quienes tienen derecho por estipulación, o los tutores designados por ley para menores que son titulares de los datos, formular denuncias o preguntas sobre: (i) los datos personales procesados que están sujetos a corrección, actualización o supresión, o (ii) el supuesto incumplimiento de obligaciones legales por parte de Great Culture To Innovate Center S.A.S..

Los mecanismos que se han establecido para comunicación contemplan procedimientos no presenciales, a través de e-mail o por teléfono, sin embargo, también podrán ser procedimientos físicos, o a través de llamadas telefónicas realizadas a una línea de atención donde se reciben las solicitudes y quejas.

Great Culture To Innovate Center S.A.S. le solicitará al Titular que radique su queja, reclamación o solicitud por medio de un comunicado formal electrónico o físico, lo anterior para conservar dicho registro. En caso de ser un comunicado físico, este deberá ser enviado a la dirección registrada en este documento en el capítulo 5.

Si el solicitante está habilitado para presentar la consulta, la persona encargada de asistirlo debe recoger toda la información en las bases de datos de Great Culture to Innovate® Center.

• La persona encargada de asistir la consulta va a ofrecer una respuesta al solicitante mientras él/ella tiene el derecho de hacerlo por ser el titular de los datos, su representante y/o abogados, quienes tienen derecho por estipulación, o los tutores designados por ley para menores que son titulares de los datos. Esa respuesta debe ser enviada dentro de un plazo de diez (10) días hábiles, contados a partir de la fecha en que se recibió la solicitud por parte de Great Culture To Innovate Center S.A.S. Contestar es obligatorio, aun en aquellos casos en que el solicitante no tiene la capacidad para archivar, en cuyo caso él/ella será informado y se concederá otra oportunidad para demostrar su interés y habilidad para la recepción de la información.
• En el caso de que la solicitud no pueda ser atendida en un plazo de diez (10) días hábiles, el solicitante será contactado para informarle acerca de las razones por las que la solicitud está siendo procesada, y se le indicará la fecha en la que la consulta será atendida, la cual nunca podrá exceder cinco (5) días hábiles a partir del vencimiento de los primeros diez (10). Para dar respuesta, se utilizarán los mismos o similares medios por los cuales la consulta fue presentada o recibida.
• La respuesta definitiva a cada solicitud no deberá exceder quince (15) días hábiles desde la recepción de la solicitud por parte de Great Culture to Innovate® Center.

Cuando la reclamación está relacionada con la supresión de datos, se debe determinar si la petición de supresión de datos es procedente. Una solicitud de supresión de datos es procedente cuando no obstaculice actuaciones judiciales o administrativas relacionadas con las obligaciones tributarias, investigación y enjuiciamiento de un delito, o la actualización de sanciones administrativas.

Si la solicitud de supresión de datos es procedente, bajo el entendimiento de que no existe ninguna obligación legal o contractual que limita la posibilidad de que el titular de los datos presente dicha solicitud, el gestor de bases de datos y los empleados de Great Culture To Innovate Center S.A.S., que tienen acceso al sistema, deberán eliminar todos los datos personales relacionados con ese titular de datos.

Internamente, una persona será seleccionada para realizar un proceso de verificación periódico, con el objetivo de establecer si existen datos restantes luego de realizar la supresión de información. Este proceso de verificación deberá utilizar los motores de búsqueda dentro del sistema y dentro de Great Culture To Innovate Center S.A.S. para sus bases de datos. Si la persona encargada de llevar a cabo el proceso de verificación encuentra rastros de datos personales relacionados con una solicitud de este tipo, la persona notificará el hallazgo y procederá a eliminar inmediatamente la información del sistema.

Una vez que el proceso de verificación se realiza, el interesado recibirá un documento que certifica que la empresa ha completado la supresión y el alcance de almacenamiento de los datos. (Cuando los datos no están contenidos en todas las bases de datos de la empresa, se indica de qué repositorios o bases de datos fue eliminada la información).

El plazo máximo para atender la solicitud será de quince (15) días hábiles contados desde el día siguiente a la fecha de su recepción. Si no es posible dar respuesta a la solicitud dentro de dicho período, el interesado deberá ser informado de las razones que justifiquen el retraso y la fecha en que la reclamación será contestada. La respuesta nunca deberá exceder un plazo de ocho (8) días hábiles siguientes al vencimiento del primer término.

De acuerdo con lo establecido por la ley, Great Culture To Innovate Center S.A.S. sea en su rol de responsable o encargado de los datos personales, reportará a la Superintendencia de Industria y Comercio como autoridad de protección de datos, a más tardar dentro de los 15 días hábiles siguientes cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. El procedimiento de reporte de incidentes se realizará acorde a lo establecido en el “Manual de Ayuda del Registro Nacional de Bases de Datos” establecido por la autoridad de protección de datos.

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley 1581 de 2012 y en el decreto 1377 de 2013.

Las políticas de protección de datos personales de Great Culture To Innovate Center S.A.S. rigen a partir del 1 de enero de 2014, y cubren las bases de datos que estén sujetas a tratamiento por parte de la compañía de acuerdo con lo establecido contractual y/o legalmente.

Control de Cambios

Esquema de Revisión y Aprobación