MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES

MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES

ABBIS S.A.S. – GENESIX

Versión: 1.0
Fecha de entrada en vigencia: [_______________]
Naturaleza del documento: Interno – reservado – de uso exclusivo corporativo

  1. OBJETO

El presente Manual Interno de Políticas y Procedimientos para el Tratamiento de Datos Personales tiene por objeto establecer los lineamientos, roles, controles, protocolos, medidas y procedimientos internos que regirán en ABBIS S.A.S., identificada con NIT 901.238.721-3, para asegurar el cumplimiento adecuado de la normatividad colombiana sobre protección de datos personales en todos los procesos corporativos, comerciales, operativos, creativos, tecnológicos, administrativos y contractuales de la compañía.

  1. FINALIDAD DEL MANUAL

El presente manual tiene como finalidades principales:

  1. a) traducir el régimen legal de protección de datos a prácticas operativas internas;
     b) definir responsables y niveles de intervención dentro de la organización;
     c) establecer protocolos claros para recolección, almacenamiento, uso, circulación, transmisión, supresión y custodia de datos personales;
     d) unificar criterios frente al uso de CRM, formularios, automatizaciones, herramientas de marketing, plataformas tecnológicas, canales de mensajería, páginas web y bases de datos;
     e) prevenir incidentes, fugas, accesos no autorizados, errores operativos o tratamientos indebidos;
     f) documentar las medidas de cumplimiento y control adoptadas por la compañía; y
     g) servir como instrumento de trazabilidad, formación interna y mejora continua.
  1. ALCANCE

El presente manual aplica a:

  1. a) administradores, directivos, empleados, contratistas, freelancers, practicantes y terceros que actúen por cuenta de ABBIS S.A.S.;
     b) todas las áreas y procesos de la compañía;
     c) todas las bases de datos personales administradas directa o indirectamente por la compañía;
     d) todos los tratamientos realizados por ABBIS S.A.S. en calidad de responsable o encargado; y
     e) todos los entornos físicos, digitales, remotos, híbridos o tercerizados en los que se traten datos personales.

  2.  MARCO INTERNO DE CUMPLIMIENTO

La compañía reconoce que el tratamiento de datos personales constituye una actividad transversal a su operación y, en consecuencia, todo tratamiento deberá ajustarse a:

  1. a) la Política de Tratamiento de Datos Personales de ABBIS S.A.S.;
     b) el presente Manual Interno;
     c) los avisos de privacidad y formatos de autorización vigentes;
     d) los contratos celebrados con clientes, proveedores, empleados, contratistas y encargados;
     e) los protocolos internos de seguridad y acceso; y
     f) las instrucciones emitidas por la administración de la compañía o por el área encargada de protección de datos.
  1. PRINCIPIOS RECTORES DE ACTUACIÓN INTERNA

Todo colaborador, directivo, contratista o tercero vinculado a ABBIS S.A.S. deberá actuar con arreglo a los principios de:

  1. a) legalidad;
     b) finalidad;
     c) libertad;
     d) veracidad o calidad;
     e) transparencia;
     f) acceso y circulación restringida;
     g) seguridad;
     h) confidencialidad;
     i) necesidad y proporcionalidad; y
     j) responsabilidad demostrada.
  1. ESTRUCTURA DE GOBERNANZA INTERNA

6.1. Responsable del tratamiento

ABBIS S.A.S. será la responsable de las bases de datos personales que determine y administre en desarrollo de su actividad.

6.2. Área encargada de protección de datos

La compañía designa como área interna responsable de la coordinación operativa del cumplimiento del régimen de datos personales a la Área Administrativa

Esta área podrá estar integrada por personal interno, asesoría externa o apoyo interdisciplinario, según lo determine la administración de la sociedad.

6.3. Funciones del área encargada

Son funciones del área encargada de protección de datos:

  1. a) velar por la implementación efectiva de la política y del presente manual;
     b) coordinar la atención de consultas, reclamos y solicitudes de titulares;
     c) revisar formularios, avisos y autorizaciones;
     d) llevar trazabilidad de incidentes y eventos relevantes;
     e) proponer medidas correctivas y preventivas;
     f) coordinar capacitaciones internas;
     g) revisar prácticas de proveedores y encargados;
     h) mantener actualizado el inventario básico de tratamientos y bases de datos;
     i) articular cumplimiento con áreas comercial, operativa, tecnológica y administrativa; y
     j) escalar riesgos relevantes a la representación legal o a la dirección.
  1. CLASIFICACIÓN INTERNA DE LAS BASES DE DATOS

ABBIS S.A.S. podrá administrar, entre otras, las siguientes categorías de bases de datos:

  1. a) base de prospectos y leads;
     b) base de clientes activos y exclientes;
     c) base de proveedores y aliados;
     d) base de contratistas y freelancers;
     e) base de trabajadores, exempleados y aspirantes;
     f) base de contactos comerciales y networking;
     g) base de formularios, funnels, CRM y automatizaciones;
     h) base de asistentes a eventos, webinars o reuniones;
     i) base de soporte, tickets, trazabilidad y grabaciones operativas;
     j) base de testimonios, casos de éxito, imagen y voz, cuando aplique.

Cada base deberá tener, como mínimo, identificación del proceso que la usa, finalidad, categoría de titulares, fuente de obtención, responsable interno, ubicación o sistema donde reposa, terceros con acceso y criterio de conservación.

  1. REGLAS DE RECOLECCIÓN DE DATOS

La recolección de datos personales solo podrá realizarse cuando:

  1. a) exista una finalidad legítima y compatible con la actividad de la compañía;
     b) se utilice el formato, canal o flujo autorizado por ABBIS S.A.S.;
     c) se haya verificado si se requiere autorización previa del titular;
     d) se haya puesto a disposición del titular el aviso de privacidad o la política, cuando corresponda; y
     e) la recolección sea necesaria, pertinente y proporcional.

Está prohibida la recolección indiscriminada, excesiva o carente de finalidad clara.

  1. REGLAS SOBRE AUTORIZACIÓN

Todo colaborador o tercero que intervenga en la captura de datos deberá verificar, cuando aplique, que exista autorización válida del titular.

La autorización deberá ser:

  1. a) previa;
     b) expresa o derivada de conducta inequívoca permitida por la ley;
     c) informada; y
     d) trazable en la medida de lo posible.

ABBIS S.A.S. procurará conservar evidencia de la autorización mediante registros de formulario, logs, fecha, hora, IP, fuente, grabación, correo, aceptación de checkbox, documento firmado o mecanismo equivalente.

  1. CANALES AUTORIZADOS DE CAPTURA

Solo podrán utilizarse para recolección de datos personales los canales previamente aprobados por ABBIS S.A.S., entre ellos:

  1. a) sitio web oficial;
     b) landing pages autorizadas;
     c) formularios institucionales;
     d) CRM corporativo;
     e) correo corporativo;
     f) líneas de WhatsApp oficiales;
     g) reuniones o onboarding documentado;
     h) contratos, cotizaciones y documentos comerciales;
     i) herramientas de atención o soporte aprobadas; y
     j) otros canales expresamente habilitados por la administración.

Queda prohibido usar cuentas personales, hojas de cálculo no autorizadas, dispositivos no controlados o formularios improvisados sin aprobación interna previa, salvo contingencia debidamente justificada y documentada.

  1. TRATAMIENTO DE DATOS SENSIBLES

La compañía evitará recolectar datos sensibles, salvo que:

  1. a) resulten estrictamente necesarios;
     b) exista base legal suficiente;
     c) se informe expresamente al titular que no está obligado a autorizarlos; y
     d) se adopten medidas reforzadas de restricción y seguridad.

Todo tratamiento de datos sensibles deberá ser informado de inmediato al área encargada de protección de datos.

  1. TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES

La compañía no tratará datos de menores, salvo casos excepcionales legalmente admisibles y previamente validados por el área encargada de protección de datos.

Cuando ello ocurra, deberán existir:

  1. a) justificación documentada;
     b) revisión de necesidad y proporcionalidad;
     c) autorización del representante legal cuando corresponda; y
     d) medidas especiales de protección.
  1. USO DE CRM, AUTOMATIZACIONES Y HERRAMIENTAS DIGITALES

Todo uso de CRM, automatizaciones, email marketing, formularios, segmentaciones, chatbots, secuencias, integraciones, motores de IA o herramientas similares deberá observar las siguientes reglas:

  1. a) solo se usarán herramientas previamente aprobadas por la compañía;
     b) el acceso será por perfiles y necesidad de conocimiento;
     c) se evitará cargar datos sensibles o innecesarios;
     d) no se incorporarán bases ajenas o compradas sin validación legal previa;
     e) los flujos automatizados deberán reflejar las finalidades informadas al titular;
     f) toda herramienta nueva deberá pasar por revisión razonable de privacidad, seguridad y necesidad;
     g) cuando exista tratamiento por cuenta de clientes, deberá verificarse el marco contractual aplicable; y
     h) toda automatización con alto impacto reputacional, comercial o regulatorio deberá tener revisión humana razonable.
  1. REGLAS PARA TRATAMIENTO POR CUENTA DE CLIENTES

Cuando ABBIS S.A.S. trate datos personales por cuenta de clientes, el equipo deberá verificar:

  1. a) que exista contrato o documento que soporte la relación;
     b) que el cliente haya definido finalidad y alcance del tratamiento;
     c) que la fuente de los datos sea lícita;
     d) que existan instrucciones claras y uso limitado;
     e) que no se mezclen bases del cliente con bases propias; y
     f) que los accesos, exportaciones y devoluciones queden documentados.
  1. REGLAS PARA PROVEEDORES Y ENCARGADOS

Todo proveedor, aliado o tercero que acceda a datos personales deberá estar sujeto, según corresponda, a:

  1. a) cláusula de confidencialidad;
     b) obligaciones de seguridad;
     c) limitación de uso;
     d) deber de atender instrucciones de ABBIS S.A.S.;
     e) obligación de reportar incidentes; y
     f) reglas de devolución, supresión o bloqueo de acceso al terminar la relación.

Antes de habilitar accesos relevantes, ABBIS S.A.S. procurará verificar la necesidad del proveedor, su rol en el tratamiento y la razonabilidad de sus condiciones operativas.

  1. ACCESO Y CIRCULACIÓN RESTRINGIDA

El acceso a datos personales se regirá por el principio de necesidad de conocimiento.

En consecuencia:

  1. a) no todo colaborador puede acceder a todas las bases;
     b) cada acceso debe responder a una función concreta;
     c) los permisos deberán asignarse por perfil;
     d) debe existir control sobre creación, modificación y revocatoria de usuarios; y
     e) al terminar la relación con cualquier colaborador o contratista, deberán revocarse o bloquearse los accesos correspondientes.
  1. ALMACENAMIENTO Y CUSTODIA

Los datos personales deberán almacenarse en entornos razonablemente seguros y aprobados por la compañía.

Queda prohibido:

  1. a) almacenar bases en equipos personales no controlados;
     b) compartir bases completas por canales informales sin necesidad operativa;
     c) imprimir datos personales sin justificación;
     d) descargar masivamente bases sin autorización;
     e) dejar accesibles archivos con datos en enlaces públicos o repositorios abiertos.
  1. CONSERVACIÓN Y ELIMINACIÓN

Los datos personales no deberán conservarse indefinidamente por inercia operativa.

Cada área deberá aplicar criterios razonables de conservación, atendiendo:

  1. a) la finalidad del tratamiento;
     b) la vigencia de la relación con el titular;
     c) obligaciones contractuales, contables, laborales, legales o probatorias; y
     d) la necesidad real de archivo.

Cuando proceda la eliminación, esta deberá hacerse de forma segura, documentada y, en la medida de lo posible, verificable.

  1. GESTIÓN DE CONSULTAS Y RECLAMOS

Toda consulta, reclamo, solicitud de actualización, rectificación, supresión o revocatoria deberá remitirse inmediatamente al área encargada de protección de datos.

Ningún colaborador podrá responder de fondo por fuera del procedimiento interno sin coordinación previa.

El flujo interno mínimo será:

  1. a) recepción de la solicitud;
     b) registro de fecha y canal de ingreso;
     c) validación de identidad o legitimación;
     d) clasificación entre consulta o reclamo;
     e) verificación de completitud;
     f) traslado al área o sistema donde reposa la información;
     g) consolidación de respuesta;
     h) emisión de respuesta dentro del término legal; y
     i) archivo del soporte y cierre del caso.
  1. GESTIÓN DE INCIDENTES DE SEGURIDAD

Se entenderá por incidente cualquier evento que implique o pueda implicar pérdida, acceso no autorizado, fuga, exposición, alteración, indisponibilidad, uso indebido o tratamiento no autorizado de datos personales.

Ante un incidente, todo colaborador deberá:

  1. a) reportarlo inmediatamente al área encargada;
     b) abstenerse de ocultarlo, minimizarlo o corregirlo informalmente sin trazabilidad;
     c) preservar evidencias razonables;
     d) seguir las instrucciones de contención; y
     e) no comunicar externamente el incidente sin autorización de la administración.

El área encargada deberá, según el caso:

  1. a) registrar el incidente;
     b) clasificar su nivel de criticidad;
     c) coordinar medidas de contención;
     d) determinar impacto y bases comprometidas;
     e) evaluar necesidad de escalar a dirección, cliente, proveedor o autoridad;
     f) definir acciones correctivas y preventivas; y
     g) documentar el cierre.
  1. USO DE CORREO, WHATSAPP Y MENSAJERÍA

El tratamiento de datos personales a través de correo electrónico, WhatsApp o mensajería deberá ajustarse a estas reglas:

  1. a) usar canales corporativos o autorizados;
     b) evitar compartir bases completas o documentos sensibles sin necesidad;
     c) verificar destinatarios antes de enviar;
     d) limitar reenvíos innecesarios;
     e) usar lenguaje adecuado y trazable;
     f) no compartir capturas de clientes o titulares en grupos informales sin justificación; y
     g) documentar autorizaciones o instrucciones relevantes cuando el canal sea utilizado para ese fin.
  1. REUNIONES, LLAMADAS Y GRABACIONES

Cuando por razones operativas, de soporte, calidad, onboarding, seguimiento o prueba se graben llamadas, videollamadas, reuniones o sesiones, deberá verificarse previamente que exista información suficiente al participante y base jurídica adecuada para ello.

Las grabaciones deberán almacenarse con acceso restringido y por el tiempo razonablemente necesario para la finalidad que justificó su obtención.

  1. MARKETING Y COMUNICACIONES COMERCIALES

Las campañas, secuencias, newsletters, follow-ups, automatizaciones comerciales y mensajes promocionales deberán:

  1. a) estar alineados con las finalidades informadas;
     b) respetar las preferencias, revocatorias o exclusiones de titulares;
     c) evitar listas no legitimadas;
     d) permitir, cuando corresponda, mecanismos razonables de baja o exclusión; y
     e) no utilizar datos para fines incompatibles con la autorización o expectativa legítima del titular.
  1. USO DE DATOS EN PROYECTOS DE IA

Cuando ABBIS S.A.S. utilice herramientas de inteligencia artificial o automatizaciones con tratamiento de datos personales, el equipo deberá aplicar, adicionalmente:

  1. a) minimización de datos;
     b) revisión de necesidad real del dato dentro del flujo;
     c) anonimización o seudonimización cuando resulte razonable;
     d) validación humana sobre outputs de impacto relevante;
     e) control sobre herramientas aprobadas;
     f) prohibición de cargar información sensible o confidencial en herramientas no autorizadas; y
     g) documentación básica del riesgo cuando el tratamiento sea significativo.
  1. CAPACITACIÓN Y CONCIENTIZACIÓN

ABBIS S.A.S. procurará realizar procesos de capacitación y actualización interna sobre protección de datos personales, al menos cuando:

  1. a) se vinculen nuevos colaboradores;
     b) se adopten nuevas herramientas o flujos;
     c) se identifiquen incidentes o errores recurrentes;
     d) cambie el marco regulatorio o documental aplicable; o
     e) la administración lo considere necesario.
  1. AUDITORÍA, MONITOREO Y MEJORA CONTINUA

La compañía podrá realizar revisiones periódicas, muestreos, controles, auditorías internas o validaciones razonables sobre:

  1. a) bases de datos;
     b) autorizaciones;
     c) formularios;
     d) accesos;
     e) contratos con encargados;
     f) incidentes;
     g) uso de herramientas tecnológicas; y
     h) cumplimiento general de este manual.

Los hallazgos deberán documentarse y, cuando corresponda, dar lugar a acciones correctivas.

  1. RÉGIMEN INTERNO DE INCUMPLIMIENTO

El incumplimiento de este manual por parte de empleados, contratistas o terceros podrá dar lugar, según la naturaleza del vínculo y la gravedad del hecho, a:

  1. a) llamados de atención;
     b) restricciones o revocatoria de accesos;
     c) requerimientos de corrección inmediata;
     d) reportes a supervisión o dirección;
     e) activación de cláusulas contractuales;
     f) terminación del vínculo; y
     g) acciones legales a que haya lugar.
  1. RESERVA DEL MANUAL

El presente manual tiene naturaleza interna y reservada. No está diseñado como documento público ni como sustituto de la Política de Tratamiento de Datos Personales.

Su circulación se limitará a quienes, por razón de sus funciones, deban conocerlo, aplicarlo o supervisarlo.

  1. VIGENCIA Y ACTUALIZACIÓN

El presente manual entra en vigencia el [________________] y permanecerá vigente hasta que sea modificado, reemplazado o derogado por ABBIS S.A.S.

La administración o el área encargada de protección de datos podrán proponer ajustes cuando:

  1. a) cambie la operación del negocio;
     b) se adopten nuevas tecnologías o flujos;
     c) se detecten riesgos o incidentes;
     d) se modifique el marco normativo o regulatorio; o
     e) se considere necesario fortalecer el sistema interno de cumplimiento.
Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare

Preferencias de cookies

Otras
Otras cookies sin categorizar son aquellas que están siendo analizadas y aún no han sido clasificadas en ninguna categoría.

Necesarias

 Necesarias
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan las funcionalidades básicas y las características de seguridad del sitio web, de forma anónima.

Publicidad
Las cookies de publicidad se utilizan para ofrecer a los visitantes anuncios y campañas de marketing relevantes. Estas cookies rastrean a los visitantes a través de los sitios web y recopilan información para proporcionar anuncios personalizados.

Analíticas
Las cookies analíticas se utilizan para comprender cómo los visitantes interactúan con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas como el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.

Funcionales
Las cookies funcionales ayudan a realizar ciertas funciones como compartir el contenido del sitio web en plataformas de redes sociales, recopilar comentarios y otras funciones de terceros.

Rendimiento
Las cookies de rendimiento se utilizan para comprender y analizar los índices clave de rendimiento del sitio web, lo que ayuda a ofrecer una mejor experiencia de usuario a los visitantes.