POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES ARUS S.A.

NIT. 800.042.471-8

Dirección: Carrera 48 # 20 - 114 Piso 11, Torre 3, Edificio Centro Empresarial Ciudad del Río

Medellín – Antioquia

INTRODUCCIÓN

ARUS S.A. (en adelante, “ARUS”), en calidad de Responsable del tratamiento de los datos personales, ha establecido esta Política para el Tratamiento de Datos Personales (o “Política” o “Política de Privacidad”) para garantizar la confianza, seguridad, privacidad, protección y calidad de la información durante el tratamiento de los datos personales que ARUS desarrolla de las personas que hacen parte de sus Grupos de Interés, de acuerdo con la autorización otorgada por cada uno de los titulares y el Régimen General de Protección de Datos Personales en Colombia, conformado por la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013, el Decreto 886 de 2014, el Decreto Único Reglamentario 1074 de 2015, el Título V de la Circular Única de la Superintendencia de Industria y Comercio, y las disposiciones normas que las reglamentan, modifiquen y/o complementen.

ALCANCE

Esta Política aplica para todos los datos personales registrados en las bases de datos bajo responsabilidad o administración de ARUS, como Responsable del tratamiento de los datos personales. Asimismo, los lineamientos establecidos en esta Política deberán atenderse durante el tratamiento de todos los datos personales que realice ARUS por medio de todos los trabajadores, colaboradores o encargados que realicen el tratamiento de los datos personales en nombre de ARUS. Por lo cual, en esta Política se encuentran lineamientos sobre los siguientes asuntos:

  1. Términos relevantes
  2. Principios que guían el tratamiento de datos personales.
  3. Datos personales que recolecta y trata ARUS.
  4. Forma de recolección de los datos personales.
  5. Finalidades para el tratamiento de los datos personales:
    • 5.1 Finalidades para los Accionistas y miembros de Junta Directiva.
    • 5.2 Finalidades para los trabajadores, potenciales trabajadores y colaboradores.
    • 5.3 Finalidades para proveedores y contratistas.
    • 5.4 Finalidades para clientes y potenciales clientes.
  6. Forma de tratamiento de los datos personales de los clientes.
  7. Forma de tratamiento de los datos sensibles.
  8. Forma de tratamiento de los datos personales de niñas, niños y/o adolescentes.
  9. Forma de tratamiento de los datos personales no solicitados.
  10. Acceso autorizado a las bases de datos de ARUS.
  11. Compromiso de seguridad de ARUS.
  12. Actualización de datos personales y tratamiento de datos personales no autorizados.
  13. Tiempo de tratamiento de los datos personales.
    • 13.1 ¿Por cuánto tiempo se tratan los datos personales?
  14. Forma de tratamiento de los datos personales de terceros que no hacen parte de los Grupos de Interés de ARUS.
  15. Derechos de los titulares.
  16. Responsable de atender las consultas y reclamos en ARUS.
  17. Forma de presentar consultas, reclamos o ejercer los derechos por parte de los titulares de los datos personales.
  18. Forma de utilización de las cookies del navegador web.
  19. Vigencia de la Política de Tratamiento de Datos Personales y de las bases de datos.

1. TÉRMINOS RELEVANTES

En la presente Política, los siguientes términos tendrán la definición que se describe a continuación:

Término Definición
Autorización Es el consentimiento previo, expreso e informado que otorga el titular al Responsable o al Encargado, con el propósito de permitirle el tratamiento de sus datos personales.
Aviso de Privacidad Es la comunicación verbal o escrita que el Responsable pone a disposición de los titulares, mediante la cual se les informa sobre la existencia de la Política de Tratamiento de Datos Personales que les será aplicable, la forma de acceder a esta y las finalidades a las que estarán sujetos el tratamiento de sus datos personales.
Base(s) de dato(s) Es el conjunto organizado de datos personales que son objeto de tratamiento, que se encuentran en medio físico o digital bajo la administración de ARUS.
Cliente(s) Son las personas naturales o jurídicas que contratan a ARUS con el propósito de hacer uso de sus servicios.
Consulta Es la solicitud que realiza un titular, su causahabiente o su representante ante el Responsable o Encargado, en relación con sus datos personales que se encuentren en alguna de las bases de datos.
Dato(s) personal(es) Es cualquier información vinculada o que pueda vincularse a una o a varias personas naturales determinadas o determinables.
Dato(s) público(s) Es el dato que no tiene la calidad de semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos personales relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
Dato(s) sensible(s) Son los datos personales que pueden afectar la intimidad del titular o cuyo uso indebido puede generar su discriminación. Entre otros, son considerados datos sensibles: el origen racial o étnico, la orientación política, las convicciones religiosas, los datos relativos a la salud, a la vida sexual y los datos biométricos.
Encargado del tratamiento/Encargado Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otra, realiza el tratamiento sobre los datos personales por cuenta del Responsable.
Finalidades Son los propósitos para los cuales son tratados los datos personales, que deben ser informados y autorizados por el titular.
Política de Tratamiento de Datos Personales/Política de Privacidad/Política Es la presente Política de Tratamiento de Datos Personales de ARUS.
Reclamo Es la solicitud presentada por el titular, su causahabiente o representante, en los casos en que considere que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o en los casos en que advierta el presunto incumplimiento de un deber bajo el Régimen General de Protección de Datos Personales.
Régimen General de Protección de Datos Personales Se refiere a las disposiciones normativas que regulan la protección de datos personales en Colombia, la cual incluye: la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto 886 de 2014, el Decreto Único Reglamentario 1074 de 2015, el Título V de la Circular Única de la Superintendencia de Industria y Comercio, y las demás que la complementen, reglamenten o modifiquen.
Responsable del tratamiento/Responsable Es la persona natural o jurídica que decide sobre las bases de datos y/o el tratamiento de los datos personales de sus Grupos de Interés. Para los efectos de esta Política, ARUS será el Responsable del tratamiento, a menos que de manera expresa se establezca lo contrario.
Titular Es la persona natural cuyos datos personales son tratados por ARUS.
Trabajadores Son todas las personas naturales que se encuentren vinculadas a ARUS, y que ejecutan actividades tendientes a desarrollar su objeto, con independencia del tipo de vinculación o contrato suscrito. Asimismo, se entenderán como trabajadores todas aquellas personas naturales vinculadas a los Encargados.
Transferencia Es la entrega de datos personales o bases de datos que realiza un Responsable y/o Encargado ubicado en Colombia, a un receptor, que, a su vez, es Responsable del tratamiento y que se encuentra ubicado dentro o fuera del país.
Transmisión Es el tratamiento de datos personales que implica la comunicación de los mismos, dentro o fuera de Colombia, con el propósito de que un Encargado los trate por cuenta de un Responsable.
Tratamiento Es cualquier operación o conjunto de operaciones que se realicen sobre los datos personales, tales como: la recolección, el almacenamiento, el uso, la circulación o la supresión.

2. PRINCIPIOS QUE GUÍAN EL TRATAMIENTO DE DATOS PERSONALES

En la presente Política, los siguientes principios guiarán a ARUS durante el tratamiento de los datos personales:

Principio Definición
Principio de acceso y circulación restringida El acceso a los datos personales debe ser adecuado, relevante y limitado al personal autorizado. Las bases de datos y los datos personales, salvo los datos públicos, no podrán estar disponibles en internet o en otros medios de divulgación o comunicación masiva, a menos que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Responsables, los titulares o terceros autorizados.
Principio de confidencialidad La confidencialidad e integridad de los datos personales se garantizará por medio de controles técnicos, jurídicos y administrativos.
Principio de libertad El tratamiento solo puede ejercerse con la autorización previa, expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de un mandato legal o judicial que releve esta autorización.
Principio de finalidad La autorización para la recolección y tratamiento de datos personales debe obedecer a las finalidades legítimas y autorizadas de manera expresa, previa e informada de conformidad con la Constitución, la Ley y el Régimen General de Protección de Datos Personales.
Principio de legalidad El tratamiento de datos personales deberá cumplir con las disposiciones aplicables al Régimen General de Protección de Datos Personales.
Principio de seguridad Se implementarán todas las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a las bases de datos y a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de veracidad o calidad de Información Los datos personales sujetos a tratamiento deberán ser veraces, completos, exactos, actuales y comprensibles. No se tratarán datos parciales, incompletos, fraccionados o que introduzcan a error.
Principio de transparencia Se garantizará el derecho del titular a obtener del Responsable o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de los datos personales de su titularidad.
Principio de minimización Se garantizará que solo sean tratados los datos personales que sean adecuados, pertinentes y limitados a los necesarios para los fines específicos del tratamiento.

3. DATOS PERSONALES QUE RECOLECTA Y TRATA ARUS

ARUS recolectará diferentes datos personales en atención al contexto de sus interacciones con los Grupos de Interés y de las solicitudes que a futuro realicen los titulares de los datos personales respecto del tratamiento de su información o de los servicios que presta ARUS. Entre los datos personales que ARUS podría recolectar, se encuentran:

  • i) Nombre, tipo y número de identificación.
  • ii) Datos de contacto.
  • iii) Cargo o profesión.
  • iv) Datos demográficos, sociales y/o geolocalización.
  • v) Datos de voz, firma, imágenes y/o videos.
  • vi) Datos asociados al estado de la salud y la condición física.
  • vii) Datos de identificación electrónica o credenciales web e información del navegador, incluida información técnica sobre los medios de conexión o número de proveedor de servicios de Internet.

Los datos personales señalados a partir de literal iv) se consideran datos sensibles, por lo que su tratamiento seguirá lo indicado para este tipo de información de acuerdo con esta Política.

4. FORMA DE RECOLECCIÓN DE LOS DATOS PERSONALES

ARUS solamente tratará los datos personales que hayan sido autorizados por su titular de manera previa, expresa e informada por medio de una autorización otorgada de manera escrita, verbal, por medio de una conducta inequívoca de parte del titular o a través de cualquier medio que permita su adecuada conservación y consulta posterior.

La copia de la mencionada autorización será conservada por ARUS. En el momento en que el titular otorgue su autorización, ARUS le informará las finalidades y el tratamiento al que estarán sometidos sus datos personales, sus derechos y los medios por los cuales podrá ejercerlos. El titular podrá revocar su autorización y solicitar la supresión inmediata de sus datos personales por medio de los canales establecidos en esta Política, a menos que exista el deber contractual o legal de permanecer en la base de datos. Ahora bien, ARUS no estará obligado a solicitar la autorización del titular de los datos personales, cuando se trate de:

  • i) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
  • ii) Datos públicos.
  • iii) Casos de urgencia médica o sanitaria.
  • iv) Información autorizada por la ley para fines históricos, estadísticos o científicos.

En los eventos señalados, y en cumplimiento de sus obligaciones legales, ARUS podrá recolectar los datos personales, incluso los datos sensibles, y transmitirlos, transferirlos o entregarlos a las entidades públicas o administrativas correspondientes, o a las entidades que ellas deleguen, en ejercicio de sus funciones, sin que sea necesario advertir de este hecho al titular. En estos escenarios, ARUS se abstendrá de utilizar los datos personales para finalidades propias o finalidades diferentes a las permitidas por sus obligaciones legales o autorizadas por el titular.

5. FINALIDADES PARA EL TRATAMIENTO DE LOS DATOS PERSONALES

Sin perjuicio de las finalidades que de manera específica autoricen los titulares por medio de la autorización, ARUS tratará los datos personales para las siguientes finalidades:

Finalidades para los Accionistas y miembros de Junta Directiva

  • i) Mantener una eficiente comunicación con información que sea de utilidad para el desarrollo y cumplimiento de las obligaciones existentes, incluyendo aquellas relacionadas con el Gobierno Corporativo.
  • ii) Adelantar los trámites de inscripción que se requieran ante la Cámara de Comercio respectiva, cuando haya lugar a ello.
  • iii) Realizar todas las actividades administrativas, contables y tributarias que permitan a ARUS cumplir con sus obligaciones sociales, corporativas, crediticias o de cualquier índole.
  • iv) Verificar el cumplimiento del régimen de inhabilidades e incompatibilidades previsto en la ley y en normas internas de ARUS para el desempeño del cargo, según corresponda.
  • v) Mantener a los Accionistas informados sobre temas de actualidad relacionados con las actividades de ARUS y con el desarrollo de su objeto social.
  • vi) Realizar la verificación y actualización de los datos personales.
  • vii) Verificar la información en centrales de riesgo o listas restrictivas, con el propósito de utilizarla como un elemento de análisis.
  • viii) Presentar información a autoridades de control y vigilancia y soportar procesos de auditoría interna o externa.

Finalidades para los trabajadores, potenciales trabajadores y colaboradores

  • i) Establecer y gestionar la relación precontractual, contractual y postcontractual de naturaleza comercial, laboral, civil y cualquier otra que surja en virtud del cumplimiento de una obligación legal o contractual a cargo de ARUS.
  • ii) Dar cumplimiento a las leyes vigentes tales como, pero sin limitarse a: normatividad laboral, seguridad social, pensiones, riesgos profesionales, servicios sociales complementarios, cajas de compensación familiar (Sistema Integral de Seguridad Social) e impuestos. Lo anterior, implica todo el tratamiento necesario en virtud del contrato laboral, contrato de aprendizaje, convenio de práctica, entre otros.
  • iii) Cumplir las instrucciones de las autoridades judiciales y administrativas competentes.
  • iv) Confirmar la información personal que el titular nos entregue mediante el cruce de la misma con bases de datos públicas, centrales de riesgos, consulta en listas restrictivas, de lavado de activos y financiación del terrorismo, actividades ilícitas o situaciones que reglamenta el Código Penal colombiano, así como con compañías especializadas, referencias y contactos.
  • v) Monitorear a través de sistemas de video vigilancia las actividades que se lleven a cabo en las instalaciones de ARUS, sus agencias, sedes, sucursales y en aquellos establecimientos de sus entidades filiales, con el objeto de garantizar la seguridad de los bienes y las personas relacionadas con ARUS.
  • vi) Establecer controles de acceso tecnológicos y físicos para mantener la seguridad en la infraestructura física de las instalaciones y aplicativos de ARUS y sus filiales, así como el monitoreo de las actividades realizadas en los mismos.
  • vii) Realizar análisis, estudios y/o investigaciones con fines estadísticos para toma de decisiones corporativas y/o estratégicas de ARUS.
  • viii) ARUS podrá compartir con terceros, clientes o proveedores algunos de los datos personales para el desarrollo de obligaciones contractuales encargadas por ARUS o a cargo de ARUS.
  • ix) Enviar a través de cualquier medio de comunicación electrónico o físico, conocido o por conocerse, mediante mensajes de texto, correos electrónicos o WhatsApp, informaciones y notificaciones de carácter general, institucional, comercial y/o de mercadeo, relacionadas con los productos y servicios ofrecidos por ARUS, así como de sus entidades filiales, subordinadas o controladas.
  • x) Consultar la información para fines de ejecución de actividades de bienestar y salud integral, así como su retroalimentación.
  • xi) Publicar y divulgar imágenes, datos personales, voces, fotos, sonidos y filmaciones magnéticas, entre otras, durante los eventos, programas, plantillas y boletines realizados por ARUS.
  • xii) Incorporar los datos personales en las carpetas y archivos donde se relaciona la historia laboral del trabajador en ARUS.
  • xiii) Generar solicitudes que realice el trabajador relacionadas con su experiencia laboral, prestaciones sociales, impuestos y beneficios generados de la relación laboral.
  • xiv) Monitorear y utilizar las imágenes que se capten a través de sistemas de video vigilancia con la finalidad de controlar y fiscalizar el desarrollo y rendimiento de las actividades laborales en el espacio o puesto de trabajo.
  • xv) Utilizar los datos personales del trabajador o colaborador para evaluar su desempeño, competencia y habilidades en el desarrollo de las funciones propias que le corresponden en ARUS, así como para realizar los respectivos planes de desarrollo y formación.
  • xvi) Asignar herramientas de trabajo, permisos, roles y usos en activos de información de ARUS.
  • xvii) Utilizar los datos de carácter personal de los empleados, practicantes y aprendices para realizar un correcto proceso de pago, descuento e informes relativos a la nómina y/o cuota de sostenimiento.
  • xviii) Realizar estudios de seguridad, estudios de patrimonio, procesos de selección, visitas domiciliarias, investigaciones de accidentes de trabajo e incapacidades, segmentación de beneficios, identificación de riesgos, monitoreo de salud pública e investigaciones etéreas, así como la transferencia y/o transmisión de los datos personales del titular ya sea a proveedores, aliados de negocio o terceros con los que ARUS llegue a establecer relaciones comerciales para la ejecución de estudios, procesos, investigaciones y demás actividades descritas en este literal.
  • xix) Diligenciar formularios para pólizas de vida y accidentes personales.
  • xx) Realizar informes, tales como, pero sin limitarse a: DIAN, DANE, SENA, ICBF, UGPP, Superintendencias, Fiscalía, Juzgados, Entes Gubernamentales, COPNIA, Cooperativas, Cajas de Compensación, ARL.
  • xxi) Actualizar la información sociodemográfica en Cajas de Compensación y con proveedores.
  • xxii) Efectuar análisis e investigaciones comerciales, estudios de crédito, segmentación de mercado, promoción, análisis etnográficos, análisis estadísticos, análisis de riesgos, de mercado y financieros.
  • xxiii) Transferir y/o transmitir los datos personales, incluso datos personales sensibles, a terceros, clientes, proveedores o aliados de negocio con el fin de ejecutar y soportar procesos de auditoría interna o externa y procesos contables.
  • xxiv) Transferir y/o transmitir los datos personales ya sea a proveedores, aliados de negocio o terceros con los que ARUS llegue a establecer relaciones comerciales, siempre que el tratamiento sea pertinente. Este podrá realizarse en la nube o en el medio tecnológico existente o por existir que sea idóneo para tal fin. La transferencia y/o transmisión puede ser a terceros países que proporcionen niveles adecuados de protección de datos personales.

Adicionalmente, ARUS podrá recolectar, almacenar y tratar los siguientes datos personales sensibles que pueden afectar la intimidad o cuyo uso indebido puede generar discriminación, los cuales el titular no está obligado a suministrar:

  • i) Datos relacionados con el estado de salud.
  • ii) Datos que revelen los ingresos económicos.
  • iii) Datos que revelen las condiciones laborales.
  • iv) Datos que revelen el origen racial o étnico.
  • v) Datos que revelen la pertenencia a sindicatos y organizaciones sociales que promuevan derechos o intereses políticos.
  • vi) Datos biométricos como la imagen, la voz, la huella y cualquier otra que se pueda llegar a generar.
  • vii) Datos como la firma.

ARUS podrá tratar dichos datos personales sensibles para alcanzar las siguientes finalidades:

  • i) Realizar procesos de autenticación de identidad y control de accesos a instalaciones y sistemas operativos.
  • ii) Efectuar análisis e investigaciones comerciales y de mercado.
  • iii) Realizar proyectos de analítica de datos.
  • iv) Generar material publicitario para utilización interna y externa, en el cual se promueva la marca, productos y servicios, y/o comunicaciones corporativas.

Finalidades para proveedores y contratistas

  • i) Contactar y contratar a proveedores de servicios o productos que ARUS requiera para el desarrollo de sus actividades y la dotación de sus instalaciones, así como realizar las solicitudes necesarias para reportar la información contable, legal y tributaria relacionada con aquellos.
  • ii) Realizar todas las actividades necesarias para ejecutar adecuadamente los contratos existentes.
  • iii) Verificar el cumplimiento de las políticas de ARUS en materia de selección y contratación de proveedores y terceros.
  • iv) Verificar la información en centrales de riesgo o listas restrictivas, con el propósito de utilizarla como un elemento de análisis y cumplimiento de políticas y procedimientos correspondientes a la prevención del lavado de activos, financiación del terrorismo y proliferación de armas de destrucción masiva.
  • v) Realizar gestiones contables, fiscales, administrativas, debidas diligencias, facturación y demás propias de la relación comercial.
  • vi) Enviar comunicaciones por correo físico, electrónico, dispositivos móviles, o a través de cualquier otro medio de comunicación con información comercial, publicitaria o promocional sobre los servicios, eventos, campañas y/o concursos relacionados o adelantados por ARUS.
  • vii) Consultar, solicitar, suministrar, reportar, procesar, obtener, recolectar, compilar, confirmar, intercambiar, modificar, emplear, analizar, estudiar, conservar, recibir y enviar toda la información del titular que se refiere a su comportamiento crediticio, financiero, comercial, de servicios y la proveniente de terceros países de la misma naturaleza, con el fin de determinar la posibilidad de establecer relaciones comerciales o de cualquier índole.
  • viii) Presentar información a autoridades de control y vigilancia.
  • ix) Realizar la verificación y actualización de los datos personales.
  • x) Soportar procesos de auditoría interna o externa y realizar estudios estadísticos o procesos contables.
  • xi) Informar sobre cambios en la Política de Tratamiento de Datos Personales.
  • xii) Transferir los datos personales, incluyendo datos sensibles, a las entidades del Conglomerado Financiero SURA – Bancolombia y del Grupo Empresarial SURA, ubicadas en Colombia y otros países (las “Compañías”), para que estas, en calidad de Responsables de la información, puedan recolectar, almacenar y usar los datos para: (i) Conocer y consolidar el perfil comercial o transaccional del titular; (ii) Contactar al titular a través de cualquier medio de comunicación en relación con campañas comerciales y el ofrecimiento de productos o servicios; (iii) Elaborar encuestas, análisis etnográficos, análisis estadísticos, análisis de riesgos, de mercado y financieros; (iv) Transmitirlos con terceros, en calidad de Encargados de la información, que presten servicios de soporte a ARUS.
  • xiii) Efectuar análisis e investigaciones comerciales, estudios de crédito, segmentación de mercado, promoción, análisis etnográficos, análisis estadísticos, análisis de riesgos, de mercado y financieros.
  • xiv) Transferir y/o transmitir los datos personales ya sea a clientes, aliados de negocio o terceros con los que ARUS llegue a establecer relaciones comerciales, siempre que el tratamiento sea pertinente. Este podrá realizarse en la nube o en el medio tecnológico existente o por existir que sea idóneo para tal fin. La transferencia y/o transmisión puede ser a terceros países que proporcionen niveles adecuados de protección de datos personales.

Adicionalmente, ARUS podrá recolectar, almacenar y tratar los siguientes datos personales sensibles que pueden afectar la intimidad o cuyo uso indebido puede generar discriminación, los cuales el titular no está obligado a suministrar:

  • i) Datos relacionados con el estado de salud.
  • ii) Datos que revelen los ingresos económicos.
  • iii) Datos que revelen las condiciones laborales.
  • iv) Datos que revelen el origen racial o étnico.
  • v) Datos que revelen la pertenencia a sindicatos y organizaciones sociales que promuevan derechos o intereses políticos.
  • vi) Datos biométricos como la imagen, la voz, la huella y cualquier otra que se pueda llegar a generar.
  • vii) Datos como la firma.

ARUS podrá tratar dichos datos personales sensibles para alcanzar las siguientes finalidades:

  1. Realizar procesos de autenticación de identidad y control de accesos a instalaciones y sistemas operativos.
  2. Efectuar análisis e investigaciones comerciales y de mercado.
  3. Realizar proyectos de analítica de datos.
  4. Generar material publicitario para utilización interna y externa, en el cual se promueva la marca, productos y servicios, y/o comunicaciones corporativas.

Finalidades para clientes y potenciales clientes

  1. Prestar los servicios contratados y desarrollar todas las actividades necesarias que le permitan a ARUS cumplir con sus obligaciones.
  2. Realizar campañas de satisfacción y hacer seguimiento de la prestación de los servicios que ARUS realiza.
  3. Enviar comunicaciones por correo físico, electrónico, dispositivo móvil, o a través de cualquier otro medio de comunicación con información comercial, publicitaria, o promocional sobre los servicios, eventos, campañas y/o concursos relacionados o adelantados por ARUS.
  4. Tramitar encargos, solicitudes o cualquier tipo de petición que sea realizada por el cliente a través de cualquiera de las formas de contacto que se ponen a su disposición.
  5. Realizar estudios estadísticos o de analítica de datos.
  6. Informar sobre cambios en la Política de Tratamiento de Datos Personales.
  7. Presentar información a autoridades de control y vigilancia.
  8. Soportar procesos de auditoría interna o externa y procesos contables.
  9. Realizar gestiones contables, fiscales, administrativas, debidas diligencias, facturación y demás propias de la relación comercial.
  10. Consultar, solicitar, suministrar, reportar, procesar, obtener, recolectar, compilar, confirmar, intercambiar, modificar, emplear, analizar, estudiar, conservar, recibir y enviar toda la información del titular que se refiere al comportamiento crediticio, financiero, comercial, de servicios y la proveniente de terceros países de la misma naturaleza a cualquier Operador de Información debidamente constituido o entidad que maneje o administre bases de datos con fines similares a los de tales Operadores de Información, dentro y fuera del territorio nacional.
  11. Verificar la información en centrales de riesgo o listas restrictivas, con el propósito de utilizarla como un elemento de análisis y cumplimiento de políticas y procedimientos correspondientes a la prevención del lavado de activos, financiación del terrorismo y proliferación de armas de destrucción masiva.
  12. Realizar la verificación y actualización de los datos personales.
  13. Enviar información respecto a campañas comerciales actuales y futuras, y demás comunicaciones necesarias para mantener comunicado y enterado a los clientes mediante: llamadas telefónicas, mensajes de texto, correos electrónicos, Facebook, Twitter, Instagram, WhatsApp o cualquier red social de integración, entre otros, así como la realización de encuestas de satisfacción concernientes a los servicios prestados por ARUS.
  14. Transferir los datos personales, incluyendo datos sensibles, a las entidades del Conglomerado Financiero SURA – Bancolombia y del Grupo Empresarial SURA, ubicadas en Colombia y otros países (las “Compañías”), para que estas, en calidad de Responsables de la información, puedan recolectar, almacenar y usar mis datos para: (i) Conocer y consolidar el perfil comercial o transaccional del titular; (ii) Contactar al titular a través de cualquier medio de comunicación en relación con campañas comerciales y el ofrecimiento de productos o servicios; (iii) Elaborar encuestas, análisis etnográficos, análisis estadísticos, análisis de riesgos, de mercado y financieros; (iv) Transmitirlos con terceros, en calidad de Encargados de la información, que presten servicios de soporte a ARUS.
  15. Efectuar análisis e investigaciones comerciales, estudios de crédito, segmentación de mercado, promoción, análisis etnográficos, análisis estadísticos, análisis de riesgos, de mercado y financieros.
  16. Transferir y/o transmitir los datos personales ya sea a proveedores, aliados de negocio o terceros con los que ARUS llegue a establecer relaciones comerciales, siempre que el tratamiento sea pertinente. Este podrá realizarse en la nube o en el medio tecnológico existente o por existir que sea idóneo para tal fin. La transferencia y/o transmisión puede ser a terceros países que proporcionen niveles adecuados de protección de datos personales.

Adicionalmente, ARUS podrá recolectar, almacenar y tratar los siguientes datos personales sensibles que pueden afectar la intimidad o cuyo uso indebido puede generar discriminación, los cuales el titular no está obligado a suministrar:

  1. Datos relacionados con el estado de salud.
  2. Datos que revelen los ingresos económicos.
  3. Datos que revelen las condiciones laborales.
  4. Datos que revelen el origen racial o étnico.
  5. Datos que revelen la pertenencia a sindicatos y organizaciones sociales que promuevan derechos o intereses políticos.
  6. Datos biométricos como la imagen, la voz, la huella y cualquier otra que pueda llegar a generarse.
  7. Datos como la firma.

ARUS podrá tratar dichos datos sensibles para alcanzar las siguientes finalidades:

  1. Realizar procesos de autenticación de identidad y control de accesos a instalaciones y sistemas operativos.
  2. Efectuar análisis e investigaciones comerciales y de mercado.
  3. Realizar proyectos de analítica de datos.
  4. Solicitar testimonios y experiencia de servicio.
  5. Generar material publicitario para utilización interna y externa, en el cual se promueva la marca, productos y servicios, y/o comunicaciones corporativas.

6. FORMA DE TRATAMIENTO DE LOS DATOS PERSONALES DE LOS CLIENTES

ARUS podrá actuar como Responsable del tratamiento, en aquellos casos en los cuales recaude la autorización del titular de cada uno de los clientes para las finalidades anteriormente descritas. Generalmente, dicha autorización se recolecta al momento de la vinculación formal como cliente para la realización de todos los procedimientos de debida diligencia al interior de ARUS.

Del mismo modo, ARUS podrá recibir datos personales correspondientes a los Grupos de Interés de sus clientes, con el fin de prestar sus servicios, entre otros, servicios tecnológicos, analítica, gestión y administración de información y demás. En estos casos, frente a la información recepcionada para la prestación de los servicios de ARUS, este tratará la información en calidad de Encargado. Por lo tanto, los clientes tendrán la calidad de Responsables del tratamiento de la información en los términos del Régimen General de Protección de Datos Personales y tendrán a su cargo el cumplimiento de las obligaciones y responsabilidades en atención a su calidad. ARUS suscribirá acuerdos de transmisión de datos personales con sus clientes, con el objetivo de regular el tipo de información a suministrar, las finalidades, las actividades y los términos y condiciones del tratamiento al que serán sometidos los datos suministrados. Ahora bien, dicho tratamiento de los datos personales se regirá por las siguientes premisas:

  1. El cliente deberá contar con la autorización para el tratamiento de los datos personales que se encuentren bajo su responsabilidad, en cumplimiento de los requisitos del Régimen General de Protección de Datos Personales, de manera previa a la entrega de información. Asimismo, los clientes serán quienes almacenen la copia de dicha autorización y deberá ser suministrada a ARUS en todos los casos en que este la solicite.
  2. El cliente y ARUS suscribirán un acuerdo de transmisión de datos personales en cumplimiento de los requisitos del Régimen General de Protección de Datos Personales, en el que, además, se definirán las finalidades, el tratamiento y las operaciones que ARUS podrá realizar sobre los datos personales en calidad de Encargado.
  3. El cliente entregará las bases de datos o los datos personales haciendo uso de los medios establecidos en el acuerdo de transmisión de datos personales, que, en todo caso, propenderán por la seguridad de la información.
  4. El almacenamiento de la información a la que se hace referencia en este acápite se realizará con apoyo de proveedores de tecnologías de la información, con los estándares de seguridad utilizados en la industria.
  5. ARUS, por medio de la autorización que los clientes soliciten a las personas que hacen parte de sus Grupos de Interés, se encontrará autorizado para realizar el tratamiento de los datos personales en calidad de Encargado y en los términos señalados en este acápite.
  6. Los clientes serán los responsables de atender las consultas, los reclamos y las solicitudes que realicen los titulares de la información que hagan parte de sus Grupos de Interés y que se relacionen con el tratamiento de sus datos personales. Por lo cual, en el evento en que ARUS reciba alguna consulta, reclamo y/o solicitud la remitirá directamente al cliente correspondiente. En los casos en que la consulta, reclamo o solicitud se relacionen con el tratamiento de los datos personales que desarrolla ARUS, este seguirá lo establecido en el numeral 17 de esta Política.

7. FORMA DE TRATAMIENTO DE LOS DATOS SENSIBLES

De manera general, ARUS obtendrá la autorización para recolectar y tratar datos sensibles de sus Grupos de Interés. En estos casos, ARUS informará a los titulares de los datos sensibles que serían objeto de tratamiento, las finalidades específicas de su tratamiento y que, por tratarse de datos sensibles, no están obligados a suministrarlos, salvo en los casos en que exista un deber legal o contractual que así lo requiera. En caso de tener dudas respecto de la necesidad de entregar datos sensibles, por favor comuníquese con ARUS de manera previa a la entrega de dicha información.

Por lo demás, ARUS no condicionará la existencia y el mantenimiento de su relación con el titular al suministro de datos sensibles, a menos que tales datos, en efecto, deban obtenerse por ser indispensables para la existencia y/o mantenimiento adecuado de la relación o para el cumplimiento de los deberes a cargo de ARUS y/o del titular.

8. FORMA DE TRATAMIENTO DE LOS DATOS PERSONALES DE NIÑAS, NIÑOS Y/O ADOLESCENTES

De manera general, ARUS se abstendrá de recolectar y tratar datos personales de niños, niñas o adolescentes. En caso de que sea necesario, ARUS se limitará al tratamiento de los datos personales públicos o solicitará la correspondiente autorización a su representante legal. ARUS hará su mejor esfuerzo para verificar que quien actúe como representante legal del niño, niña o adolescente, efectivamente, tenga esta calidad. No obstante, partirá de la buena fe de quien otorgue la autorización para el tratamiento de los datos personales del niño, niña o adolescente y señale que tiene la calidad de representante legal.

Los servicios de ARUS, por regla general, no están dirigidos a menores de edad, niños, niñas y adolescentes. ARUS agradece a estas personas no proporcionar información personal por ningún medio o canal de contacto habilitado. Ahora, en caso de que un representante de un menor de edad conozca de este hecho, solicitamos nos informen de esta situación de manera inmediata a fin de eliminar los datos personales.

9. FORMA DE TRATAMIENTO DE LOS DATOS PERSONALES NO SOLICITADOS

De manera previa al inicio formal de relaciones comerciales o laborales con ARUS, es posible que nos sean remitidos datos personales sin la autorización otorgada por el titular. En estos casos, el titular acepta que, por medio de su conducta inequívoca consistente en enviar su información a ARUS, otorga su autorización para el tratamiento de sus datos personales con la finalidad estrictamente relacionada con el trámite o solicitud realizada.

La autorización por conducta inequívoca se aplicará, incluyendo, pero sin limitación, al envío de información de: i) Personas que desean trabajar en ARUS; ii) Personas que desean vincularse como proveedores o clientes de ARUS; y, iii) Personas que presentan solicitudes, quejas o reclamos de cualquier naturaleza a ARUS. Sin perjuicio de lo anterior, y solo en caso en que la relación con estos terceros se formalice, se solicitará la autorización correspondiente para continuar con el tratamiento de los datos personales para otras finalidades.

10. ACCESO AUTORIZADO A LAS BASES DE DATOS DE ARUS

El acceso a las bases de datos que se encuentren bajo la responsabilidad de ARUS solamente estará disponible para los trabajadores de ARUS que requieran acceder y tratar esta información para el desarrollo de sus funciones. ARUS no compartirá o entregará las bases de datos ni los datos personales almacenados en estas a terceras personas con las que no tenga ningún tipo de relación.

Sin embargo, en los casos en que lo requiera para alcanzar las finalidades autorizadas, los datos personales podrán ser legítimamente transferidos y/o transmitidos a proveedores. Estos proveedores podrán estar ubicados fuera o dentro del país e, incluso, en jurisdicciones con diferentes disposiciones normativas y niveles de protección de datos personales como Estados Unidos de América. Con estos proveedores se firmarán los correspondientes acuerdos de transferencia y/o transmisión de datos personales para proteger la información, los derechos de los titulares y para tomar todas las medidas pertinentes para que el tratamiento de los datos personales se realice en cumplimiento de esta Política y del Régimen General de Protección de Datos Personales.

Dentro de los proveedores encargados de la información con los que usualmente se comparten los datos personales, se encuentran aquellos que proveen servicios de hospedaje y moderación de sitios web, incluidos almacenamiento en la nube, alojamiento de aplicaciones móviles, procesamiento de datos, provisión de infraestructura digital y servicios de TI.

Para todos los efectos, ARUS solo podrá entregar información contenida en sus bases de datos a los titulares, sus causahabientes o sus representantes legales, las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial, los terceros autorizados por el titular o por el Régimen General de Protección de Datos Personales. ARUS se reserva el derecho de solicitar documentación adicional a fin de verificar la calidad de la persona que solicita la información. Adicionalmente, ARUS implementará mecanismos que les permitan tener a disposición de los titulares la información de los datos personales, las finalidades para las que han sido tratados y el tratamiento que se ha dado a los mismos.

Sin perjuicio de lo anterior, ARUS podrá compartir con sus aliados comerciales, afiliados de confianza o anunciantes, información agregada genérica no vinculada a ninguna persona identificada o identificable.

11. COMPROMISO DE SEGURIDAD DE ARUS

ARUS está comprometido con la confidencialidad y seguridad de los datos personales que se encuentran almacenados en sus bases de datos, bajo restricciones de acceso, disponibilidad y consulta por parte de terceros no autorizados. ARUS velará porque los datos personales que se encuentran en sus archivos y bases de datos sean almacenados y administrados en razonables condiciones de seguridad y confidencialidad.

Con base en lo anterior, ARUS informa a los titulares de los datos personales que ha adoptado medidas y prácticas adecuadas para la conservación de los datos personales bajo condiciones de seguridad típicas de la industria, que buscan impedir su adulteración, pérdida, sustracción, consulta pública, uso o acceso no autorizado o fraudulento, así como la implementación de prácticas internas que contribuyan a un ambiente seguro de la información. No obstante, ARUS no podrá garantizar la seguridad total de ningún tratamiento de datos personales por internet o por sistemas de almacenamiento de datos. En caso de que algún titular considere que sus datos personales no están siendo tratados de manera segura, ARUS agradece ser notificado en el menor tiempo posible a fin de revisar el asunto con la prioridad que esto amerita.

Todos los trabajadores de ARUS deberán velar por la confidencialidad y seguridad de las bases de datos y de los datos personales y velar porque los Encargados acceden a la misma también se responsabilicen de esta. El deber de reserva de los colaboradores frente a los datos personales a los que tengan acceso se extiende después de finalizada la actividad realizada por este en relación con el tratamiento.

12. ACTUALIZACIÓN DE DATOS PERSONALES Y TRATAMIENTO DE DATOS PERSONALES NO AUTORIZADOS

ARUS está comprometido con el tratamiento de la información bajo estricto cumplimiento del principio de veracidad o calidad, por lo cual recuerda el derecho que tienen los titulares de actualizar y rectificar sus datos personales y los invita a que reporten cualquier actualización, cambio y/o modificación respecto de sus datos personales en el menor tiempo posible. Del mismo modo, ARUS se reserva el derecho de realizar actividades encaminadas a mantener actualizados los datos personales de los titulares que hacen parte de sus Grupo de Interés.

En el escenario de actualización, cambio y/o modificación de datos personales no reportados eficazmente a ARUS, solicitamos la compresión de cualquier tratamiento de datos de terceros (no parte de nuestras bases de datos) ocasionado por este hecho. En estos escenarios, y tan pronto sea informado a ARUS, se eliminará el dato personal del titular no relacionado con sus Grupos de Interés de manera inmediata y se procederá con la actualización de la información en la base de datos correspondiente.

13. TIEMPO DE TRATAMIENTO DE LOS DATOS PERSONALES

13.1. ¿Por cuánto tiempo se tratan los datos personales?

ARUS conservará los archivos o bases de datos que contengan datos personales por el período que la normatividad vigente así se lo exija. El período mínimo de conservación de los datos personales corresponderá al término de duración de la relación legal o contractual del titular con ARUS; aquel que sea requerido para que ARUS cumpla con sus obligaciones; aquel término en que se mantengan y se utilicen los datos personales para la finalidades descritas en esta Política de Privacidad; o aquel necesario para que se puedan ejercer los derechos por parte del titular en el marco de la naturaleza de la relación que los vincula. Terminado este tiempo, ARUS podrá destruir los datos personales o eliminarlos de sus bases de datos, salvo que continúe vigente un deber legal o contractual que disponga lo contrario.

14. FORMA DE TRATAMIENTO DE LOS DATOS PERSONALES DE TERCEROS QUE NO HACEN PARTE DE LOS GRUPOS DE INTERÉS EN ARUS

En el evento en que ARUS tenga acceso a datos personales de terceros que hayan sido suministrados por una persona que hace parte de sus Grupos de Interés, ARUS entenderá que este último cuenta con la autorización expresa del tercero en calidad de titular para suministrar sus datos personales. Así, esta persona que hace parte de los Grupos de Interés y suministra la información del titular a ARUS, declara y reconoce que cuentan con la autorización otorgada por el titular para que ARUS acceda y trate sus datos personales de acuerdo con lo establecido en esta Política. Lo anterior aplica, sin limitar, a datos personales que clientes o proveedores personas jurídicas comparten respecto de sus trabajadores, contratistas o colaboradores.

En caso de que la persona que hace parte de los Grupos de Interés no cuente de manera expresa con la respectiva autorización otorgada por el titular, ARUS se limitará al tratamiento de datos públicos.

15. DERECHOS DE LOS TITULARES

Los titulares de los datos personales tendrán los siguientes derechos:

  1. Acceder, conocer, actualizar y rectificar los datos personales que haya suministrado a ARUS.
  2. Solicitar prueba de la autorización otorgada a ARUS, en su calidad de Responsable del tratamiento, salvo en los casos en que esta se exceptúe como requisito para el tratamiento de los datos personales, de conformidad con las excepciones que establece el Régimen General de Protección de Datos Personales.
    a. Ser informado por ARUS, previa solicitud, respecto del uso que se le ha dado a los datos personales.
    b. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en el Régimen General de Protección de Datos personales, previo trámite de consulta o reclamo ante ARUS.
    c. Modificar y/o revocar la autorización y/o solicitar la supresión del dato personal.
    d. Acceder en forma gratuita a los datos personales que hayan sido objeto de tratamiento, a menos que exista un deber legal o contractual que obligue a conservar la información.
    e. Abstenerse de responder las preguntas sobre datos sensibles o sobre datos de las niñas, niños y adolescentes.
    f. Los demás que reconozca el Régimen General de Protección de Datos Personales.

16. RESPONSABLE DE ATENDER LAS CONSULTAS Y RECLAMOS EN ARUS

Área encargada de atender las consultas y reclamos relacionados con el tratamiento de los datos personales: Dirección de Asuntos Legales.

Correo electrónico: asuntoslegales@arus.com.co

A esta misma dirección de contacto podrá elevarse cualquier consulta o reclamo relacionada con la Política y las prácticas relacionadas con el tratamiento de los datos personales por parte de ARUS. Del mismo modo, el titular de los datos tiene la posibilidad de ejercer sus derechos a través del mismo medio por el cual fue recolectada su información, frente a la cual, se dejará constancia y trámite de la respectiva solicitud.

17. FORMA DE PRESENTAR CONSULTAS, RECLAMOS O EJERCER LOS DERECHOS POR PARTE DE LOS TITULARES DE LOS DATOS PERSONALES

Los titulares de la información podrán ejercer sus derechos a autorizar, conocer, actualizar, rectificar, suprimir la información suministrada o revocar la autorización otorgada mediante el envío de una comunicación escrita a nuestras oficinas, ubicadas en la Carrera 48 # 20 - 114 Piso 11, Torre 3, Edificio Centro Empresarial Ciudad del Río Medellín – Antioquia, teléfono (+57) 444 61 00, o a través del correo electrónico: asuntoslegales@arus.com.co.

De esta manera, y en cumplimiento de las disposiciones normativas sobre protección de datos personales, ARUS, en calidad de Responsable del tratamiento de datos personales, presenta el procedimiento y requisitos mínimos para el ejercicio de los derechos de los titulares:

Para la radicación y atención de la solicitud le solicitamos suministrar la siguiente información:

  1. Nombre completo y apellidos: así como los datos de contacto (dirección física y/o electrónica y teléfonos o información de contacto).
  2. Motivo(s)/hecho(s): que dan lugar a la consulta o reclamo, con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información).
  3. Firma: (si aplica) y número de identificación.

En el caso de consultas:

El titular o solicitante deberá identificarse plenamente y describir de manera clara su consulta. En aquellos casos en los que no se esté actuando como titular de la información, deberá indicar la calidad en la que se actúa y adjuntar el documento que lo faculta para realizar la petición o consulta, bien sea poder, registro civil, entre otros.

ARUS atenderá las consultas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro del término mencionado, ARUS informará al interesado expresando los motivos de la prórroga del tiempo y señalando el nuevo término para atender la petición o consulta, el cual no superará los cinco (5) días hábiles, contados a partir del vencimiento del término en el anterior punto.

En el caso de reclamos:

El interesado deberá indicar de manera detallada la razón del incumplimiento. En este caso, ARUS atenderá el reclamo en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, ARUS informará al interesado los motivos de la prórroga del tiempo y la fecha en que se atenderá el reclamo, la cual, en ningún caso, podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Si el reclamo recibido resulta incompleto, ARUS requerirá al interesado dentro de los cinco (5) días hábiles siguientes al recibo del mismo para que lo subsane respecto de sus imprecisiones. Si transcurren dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, ARUS entenderá que se ha desistido del reclamo.

Si mediante el reclamo se solicita la eliminación de los datos personales y/o revocatoria de la autorización para el uso de los datos personales, ARUS procederá conforme a esto. No obstante, guardará copia del reclamo, incluida la información que en ella se relacione, para efectos documentales en eventuales procesos administrativos o judiciales.

18. FORMA DE UTILIZACIÓN DE LAS COOKIES DEL NAVEGADOR WEB

ARUS hará uso de “cookies”, entendidas estas como herramientas que recolectan información sobre la navegación de los usuarios en sus sitios web, con el propósito de mejorar la experiencia del usuario. ARUS actuará como Responsable de la información que recolecte por medio de las cookies y someterá su tratamiento a los estándares de protección establecidos en el Régimen General de Protección de Datos Personales. Así pues, en el evento en que, efectivamente, ARUS decida implementar cookies, informará a los usuarios en su calidad de titulares, por medio del correspondiente Aviso de Privacidad, sobre la utilización de esta tecnología, sus términos y alcance. De esta forma, los titulares que no deseen la instalación de “cookies” podrán rechazar o desactivar esta opción en la configuración de su navegador. Sin embargo, si el usuario rechaza o desactiva las cookies, podría afectar algunos aspectos funcionales del sitio web durante su experiencia de navegación.

19. VIGENCIA DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES Y DE LAS BASES DE DATOS

La Política entró en vigor el 01 de mayo de 2013. La presente versión actualizada de la Política de Privacidad se encuentra vigente desde el 22 de agosto de 2023.

Las bases de datos bajo la administración de ARUS tendrán una vigencia igual al tiempo en que se utilicen los datos personales para las finalidades descritas en esta Política y se conservarán los datos personales incluidos en estas, a menos que el titular solicite su supresión y no exista un deber legal o contractual de conservar la información.

ARUS informa que todo cambio sustancial en la Política de Tratamiento de Datos Personales será comunicado oportunamente por sus sitios web y canales de comunicaciones y difusión de información oficiales.

Razón social

ARUS S.A.

Número de Identificación Tributaria (NIT)

800.042.471-8

Dirección

Carrera 48 # 20 – 114, Piso 11, Torre 3, Edificio Centro Empresarial Ciudad del Río, Medellín – Antioquia

Correo electrónico

asuntoslegales@arus.com.co

Teléfono

(+57) 444 61 00

Línea Ética | Política de tratamiento de datos | Aviso de privacidad clientes - proveedores | Código de buen gobierno - ARUS | Código de buen gobierno - SURA | Código de conducta - SURA