POLÍTICA DE TRATAMIENTO DE DATOS

Fecha de emisión

02/08/2023

Fecha de actualización

25/03/2025

Código

PL-002-GR

Versión

002

Logotipo Descripción generada automáticamente

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

CÓDIGO:PL-002-GR

Versión: 2


Control de Versiones

Versión

Fecha de Publicación

Descripción de Proceso

Colaborador Responsable

001

02/08/2023

Creación de documento

David Muñoz

002

25/03/2025

Actualización documento

Andres Esguerra

CONTENIDO

1. Introducción        4

2. Objeto        4

3. Destinatarios        4

4. Alcance        5

5. Definiciones        5

6. Principios Rectores        7

7. Tratamiento  y Finalidades        8

8. Derechos de los Titulares de los datos        10

9. Deberes en relación con el tratamiento de datos personales        10

10. Autorizaciones y Consentimiento        12

11. Tratamiento de datos de niños, niñas y adolescentes        13

13. Seguridad de los Datos Personales        15

14. Vigencia        15

Yo Presto es una empresa de tecnología que ofrece servicios de apoyo a las empresas n.c.p , identificado con el NIT 901.095.036-0, con domicilio principal en la Cll 2# 71D-65 Ofc 301, Bogotá Colombia. El presente documento ha sido elaborado bajo los lineamientos señalados en la normatividad vigente sobre la materia y tendrá como alcance la aplicación a todas las bases de datos en donde se almacene información personal y que sean objeto de tratamiento de datos por parte de Yo Presto.

  1. Introducción

En Yo Presto, estamos comprometidos con la protección y privacidad de los datos personales de nuestros clientes, empleados, proveedores y cualquier persona que interactúe con nuestra empresa. Esta política tiene como objetivo establecer las medidas y procedimientos para garantizar el adecuado tratamiento de los datos personales conforme a la legislación vigente en Colombia, en particular a la Ley 1581 del 17 de octubre de 2012, reglamentada por los Decretos 1377 de 2023 y 886 de 2015 (hoy incorporados en el Decreto único 1074 de 2015).

  1. Objeto

La presente política tiene como objeto dar a conocer la información necesaria y suficiente a los diferentes grupos de interés, así como establecer los lineamientos que garanticen  la protección de los datos personales que son objeto de tratamiento de datos personales a través de los procedimiento de Yo Presto y de esta forma dar cumplimiento a la ley, políticas y procedimientos de atención de derechos de los titulares, criterios de recolección, almacenamiento, uso, circulación y supresión que se dará a los datos personales.

  1. Destinatarios

Esta política se aplicará a todas las bases de datos tanto físicas como digitales, que contengan datos personales y que sean objeto de Tratamiento por parte de Yo Presto, considerada como responsable. Igualmente, en aquellos casos en que operen como encargadas del tratamiento de datos personales.

Para efectos de esta política está dirigida a que la ciudadanía en general tenga a su disposición la información necesaria y suficiente sobre los diferentes tratamientos y fines sobre los que serán objeto sus datos, así como los derechos que ellos, como titulares de datos personales, pueden ejercer frente a Yo Presto cuando esta tenga el rol de responsable del tratamiento de sus datos personales.

  1. Alcance

Esta política es de obligatorio conocimiento y cumplimiento por parte de Yo presto, sus directores, administradores, colaboradores y demás terceros responsables de la administración de bases de datos personales de Yo Presto.

Todos los colaboradores de Yo Presto deben respetar, cumplir y hacer cumplir esta Política en el desarrollo de sus funciones.

  1. Definiciones

En el desarrollo, interpretación y aplicación de la ley, regulacion y normatividad vigente se aplicarán, de manera integral las siguientes definiciones:

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Aviso de Privacidad: documento físico, electrónico o en cualquier otro formato generado de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento; electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; los Datos Personales incluyen, pero no se limitan a, datos de identificación, información de contacto y de localización (incluida la geolocalización), datos catalogados como sensibles, información financiera, preferencias y comportamientos de consumo, datos inferidos a partir de información observada o entregada directamente por el titular o por terceros e información demográfica y transaccional.

Dato Privado: es aquel que por su naturaleza íntima o reservada sólo es relevante para el Titular.

Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato personal semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como, entre otros, el dato referente al cumplimiento o incumplimiento de las obligaciones financieras o los datos relativos a las relaciones con las entidades de la seguridad social.

Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de los partidos políticos de oposición, así como los datos relativos a la salud, la vida sexual y los datos biométricos.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Información Digital: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.

Reclamo: significa la solicitud del Titular del dato o las personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus Datos Personales o cuando adviertan que existe un presunto incumplimiento del régimen de protección de datos, según el artículo 15 de la Ley 1581 de 2012.

Requisito de procedibilidad: paso previo que debe surtir el Titular antes de interponer una queja ante la Superintendencia de Industria y Comercio. Este consiste en una reclamación directa al Encargado o Responsable de sus Datos Personales.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos,

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

  1. Principios Rectores

En nuestro compromiso con la protección de datos personales, en los procesos de recolección, almacenamiento, custodia y tratamiento de datos personales, nos regimos por los siguientes principios:

Legalidad: El tratamiento de datos personales se realizará de manera lícita, cumpliendo con las normas aplicables. El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

Finalidad: Los datos personales serán recopilados con fines específicos y legítimos, y no serán tratados de manera incompatible con estos.

Minimización de datos: Se recopilará y tratará sólo la información necesaria y pertinente para cumplir con las finalidades establecidas.

Veracidad o Calidad: Nos aseguraremos de que los datos sean exactos, completos y actualizados, dentro de los límites de su utilización. La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos parciales, incompletos, fraccionados o que induzcan a error.

Libertad:  El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Seguridad:  La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Acceso y circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.

Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

  1. Tratamiento  y Finalidades

De acuerdo con lo establecido en la Ley 1581 de 2012 y de conformidad con las autorizaciones impartidas por los titulares de la información, Yo Presto realizará operaciones o conjunto de operaciones que incluyen recolección de datos, su almacenamiento, uso, circulación y/o supresión, con el fin de darle desarrollo del objeto social de la empresa. Este Tratamiento de datos se realizará exclusivamente para las finalidades autorizadas y previstas en la presente Política y en las autorizaciones específicas otorgadas por parte del titular, como se describe a continuación:

Comercios: En el desarrollo de la relación contractual que vincula a Yo Presto y los titulares tendrá la siguientes finalidades:

  1. Vinculación del comercio a los productos o servicios de Yo Presto.
  2. Realizar todas las gestiones necesarias tendientes a confirmar y actualizar la información de los Comercios.
  3. Cumplir con las obligaciones derivadas de  los contratos comerciales.
  4. Validar y verificar la identidad del comercio para la remisión de información comercial sobre los productos y/o servicios, promociones, a través de cualquier medio o canal.
  5. Describir los mecanismos y procedimientos para proteger los derechos de los Titulares.
  6. La adopción de medidas tendientes a la prevención de actividades ilícitas.
  7. Pago de obligaciones contractuales.
  8. Consultar los Datos Personales en las centrales de información para conocer la veracidad de los datos personales.
  9. Llevar a cabo análisis estadísticos.
  10. Realizar encuestas de satisfacción y calidad del servicio a los comercios.

Empleados:

  1. Registrar la información de empleados, ex empleados y/o pensionados en las bases de datos de Yo Presto, administración de información sobre sus afiliaciones a los sistemas de seguridad social, pagos de prestaciones sociales y salarios.
  2. Informar y comunicar las generalidades de los eventos desarrollados por Yo Presto por los medios y en las formas que se consideren convenientes.
  3. Gestionar la cadena presupuestal de Yo Presto: pagos de salarios, emisión de certificados de ingresos y retenciones ( personas naturales y jurídicas) y relaciones de pagos.
  4. Gestionar el proceso contable.
  5. Soportar procesos de auditoría interna y externa.

  1. Derechos de los Titulares de los datos

En el Tratamiento de Datos Personales por parte de Yo Presto, se respetarán en todo momento los derechos de los titulares de Datos Personales que son:

  1. Conocer, actualizar y rectificar los Datos frente a él o los Encargados del Tratamiento de datos, datos parciales, inexactos, incompletos, fraccionados, que induzcan al error o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
  2. Solicitar prueba de la autorización otorgada, o cualquier otra que suscriba el titular de los Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito para el Tratamiento de datos de conformidad con la ley.
  3. Ser informado por la Entidad o el Encargado del Tratamiento, previa solicitud, respecto del uso que se le ha dado a los datos.
  4. Presentar ante la Autoridad Competente quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, sustituyan o adicionen.
  5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Autoridad Competente haya determinado que, en el Tratamiento Yo Presto o Encargados del Tratamiento de Datos Personales, han incurrido en conductas contrarias a la ley y a la Constitución. La revocatoria procederá siempre y cuando no exista la obligación legal o contractual de conservar el dato personal.
  6. Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento.

 

  1. Deberes en relación con el tratamiento de datos personales

Yo Presto como responsable del Tratamiento, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
  3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
  7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
  8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
  9. Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
  10. Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
  11. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio
  12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
  13. Informar a solicitud del Titular sobre el uso de sus datos.
  14. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

  1. Autorizaciones y Consentimiento

Yo Presto solicitará la autorización de manera que el titular de la información otorgue su consentimiento libre, previo, expreso e informado del tratamiento al cual son sujetos sus datos personales.

El consentimiento del titular se podrá obtener por cualquier medio que pueda ser objeto de consulta posterior, tales como, comunicación escrita, verbal, virtual o por conductas inequívocas.

  1. Medios para otorgar autorización

La autorización puede constar en un documento físico, electrónico, mensaje de datos, grabaciones de voz, en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento, u otro mediante el cual se pueda concluir de manera inequívoca que, de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos.

  1. Prueba de la Autorización

Yo Presto adoptará todos los mecanismos con los que cuenta en la actualidad , como los códigos OTP, enviado al número celular y correo electrónico registrado. para implementar las acciones tendientes y necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de conservación de la autorización entregada por parte de los titulares de los datos personales para el tratamiento de los mismos.

  1. Revocatoria de la autorización

De acuerdo al artículo 8 del Decreto 1377, Yo Presto ha dispuesto un mecanismo a través del cual el Titular puede en todo momento, y siempre que no medie un deber legal o contractual que así lo impida, solicitar a Yo Presto la supresión de sus datos personales y/o revocar la autorización que ha otorgado para el Tratamiento de los mismos, mediante la presentación de una solicitud donde deberá indicar a cuál de estas corresponde y de ser parcial deberá indicar para cuáles de los fines desea revocar la autorización.

Si vencido el término legal respectivo, Yo Presto  no elimina sus datos personales de las bases de datos, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.

  1. Tratamiento de datos de niños, niñas y adolescentes

Yo Presto en el normal desarrollo de sus operaciones, no realiza tratamiento de datos de menores de edad. Si por algún fraude o error llegase a tener almacenada información de un menor de edad, esta será suprimida  de nuestras bases de datos, una vez se conozca que pertenece a un menor de edad.

Sin embargo, en caso de ser imperativo hacerlo contará con las autorizaciones correspondientes emitidas por sus representantes legales o acudientes, siempre velando porque en el tratamiento de sus datos se protejan sus intereses y derechos fundamentales.

  1. Canales de acceso, consulta y reclamación
  1. Responsables del tratamiento de datos personales

A través de su Gerencia, Yo Presto atenderá todas las peticiones, consultas, quejas y/o reclamos del titular de la información, relacionadas con los derechos establecidos en la ley para conocer, actualizar, rectificar y suprimir sus datos personales.

En concordancia con el artículo 14 de la Ley 1581 de 2012, la consulta será atendida en un término máximo quince (15) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los diez (10) días hábiles siguientes al vencimiento del primer término.

El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:

  • El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

  • Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  • c. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

  1. Procedimiento para ejercer el derecho de consultas y reclamaciones.

Los titulares podrán ejercer el derecho a consultas y reclamaciones respecto con los datos personales tratados por Yo Presto a través de los siguientes canales dispuestos para tal fin:

  • Envío de correo electrónico: yo.ayudo@yopresto.co
  • Línea WhatsApp: 316 730 0001

Para el adecuado trámite de consulta o reclamación, adicione la siguiente información mínima:

  • Nombres y apellidos del titular de los datos personales,
  • Datos de contacto (Dirección, física y/o electrónica y teléfonos de
  • contacto),
  • Medio por el cual desea recibir respuesta a su solicitud,
  • Motivo(s)/hecho(s) que dan lugar a la consulta o reclamo,
  • Descripción del Derecho que desea ejercer y los datos personales sobre los cuales recae,
  • Firma, número de identificación o procedimiento de validación correspondiente,

  1. Seguridad de los Datos Personales

La protección de datos personales es un aspecto crítico en la era digital, y las medidas técnicas, físicas y organizativas implementadas varían según las regulaciones y las prácticas de cada organización. Aquí hay una descripción general de las medidas comunes que se suelen implementar:

Medidas Técnicas:

  • Cifrado: Los datos personales se cifran tanto en reposo como en tránsito para protegerlos de accesos no autorizados. El cifrado asegura que solo las partes con la clave correcta puedan acceder a la información.
  • Acceso Basado en Roles: Se establecen roles y permisos específicos para limitar el acceso a los datos. Solo las personas autorizadas tienen acceso a la información según su función en la organización.
  • Firewalls y Seguridad de Red: Se implementan firewalls y soluciones de seguridad de red para proteger los sistemas contra amenazas externas. Estas soluciones controlan el tráfico de red y bloquean actividades maliciosas.
  • Autenticación Multifactor (MFA): Se exige más de una forma de autenticación para acceder a los sistemas y datos. Esto añade una capa adicional de seguridad, ya que incluso si se compromete una contraseña, se necesita un segundo factor para acceder.
  • Monitorización y Detección de Intrusiones: Se utilizan herramientas de monitorización y detección de intrusiones para supervisar el tráfico y los sistemas en busca de actividades sospechosas o no autorizadas
  • Bastion: Se incorpora un acceso único con credenciales a las bases de datos

Medidas Físicas:

  • Seguridad de los equipos: Los servidores y sistemas de almacenamiento se mantienen en la nube con acceso restringido. Además, se implementan medidas para prevenir el robo o la manipulación
  • Medidas Organizativas:
  1. Políticas y Procedimientos de Seguridad: Se establecen políticas y procedimientos claros para el manejo y protección de datos personales. Esto incluye cómo se recopilan, almacenan, comparten y eliminan los datos.
  2. Entrenamiento y Concienciación: Se brinda capacitación regular a los empleados sobre la importancia de la protección de datos, las mejores prácticas de seguridad y cómo reconocer posibles amenazas.
  3. Gestión de Incidentes: Se establece un plan de gestión de incidentes para responder de manera eficaz en caso de una brecha de seguridad. Esto incluye pasos para mitigar el impacto y notificar a las partes afectadas y las autoridades según sea necesario.
  4. Auditorías y Evaluaciones de Riesgos: Se realizan auditorías regulares y evaluaciones de riesgos para identificar posibles vulnerabilidades en los sistemas y procesos, y tomar medidas para mitigar esos riesgos.

  1. Vigencia

Entra en vigencia esta política a partir de 01/08/2023 . Yo Presto informará a sus Titulares en caso de presentarse cambios, modificaciones y/o ampliaciones sustanciales en el contenido de la misma, los cuales puedan afectar el contenido de la autorización que los titulares han otorgado. Yo Presto se reserva el derecho de modificar, en cualquier momento, de manera unilateral, la política de tratamiento de datos. Cualquier cambio será publicado y anunciado por los canales dispuestos por Yo Presto

INFORMACIÓN PÚBLICA

Página  de