POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES

VERIHALAL S.A.S. – COLOMBIA
El presente Manual Interno (el “Manual”) constituye un instrumento normativo corporativo de obligatorio cumplimiento para VERIHALAL S.A.S (“VERIHALAL” o la “Compañía”), sus administradores, empleados, trabajadores, contratistas y terceros que actúen por cuenta o en interés de la Compañía y que, en desarrollo de sus funciones, intervengan en cualquier operación de tratamiento de datos personales.
Su objeto es establecer, con carácter vinculante, el modelo de gobierno, los estándares mínimos de actuación y los procedimientos internos mediante los cuales VERIHALAL materializa su Política de Tratamiento de Datos Personales (la “Política”) y asegura el cumplimiento integral del régimen colombiano de protección de datos personales.
En caso de divergencia entre este Manual y la Política, prevalecerá la Política. Este Manual se entiende como la norma interna que define el modo de ejecución y el estándar probatorio (“evidencias”) para demostrar cumplimiento.
OBJETO.
Regular internamente, de forma completa y verificable, el tratamiento de datos personales bajo responsabilidad de VERIHALAL, determinando: (i) la estructura de gobernanza; (ii) los deberes por rol; (iii) el procedimiento para la obtención y conservación de autorizaciones; (iv) el procedimiento para el ejercicio de derechos de titulares (consultas y reclamos); (v) el régimen de seguridad y gestión de incidentes; (vi) la contratación y control de Encargados; y (vii) las reglas de conservación y disposición final de datos.
ÁMBITO DE APLICACIÓN.
El Manual aplica a toda actividad que implique tratamiento de datos personales, independientemente del soporte (físico o digital), del sistema o repositorio utilizado, y del canal de captura (presencial, telefónico, electrónico, web, eventos, contratos, aplicaciones o equivalentes). Se extiende a tratamientos ejecutados por terceros en calidad de Encargados, subencargados o proveedores que accedan a datos por instrucción de VERIHALAL.
IDENTIFICACIÓN DEL RESPONSABLE Y CANAL CORPORATIVO DE HABEAS DATA.
VERIHALAL, en su calidad de Responsable del Tratamiento, centraliza la recepción y gestión de solicitudes de titulares y reportes relacionados con privacidad mediante el correo corporativo de Habeas Data: [*] La administración de dicho canal corresponde al Oficial de Protección de Datos o a quien haga sus veces, conforme a la designación interna.
PRINCIPIOS RECTORES Y REGLA DE DECISIÓN.
Toda actuación deberá sujetarse, como mínimo, a los principios de legalidad, finalidad, libertad, transparencia, acceso y circulación restringida, seguridad y confidencialidad, veracidad y calidad.
La regla interna de decisión es la siguiente: si una operación de tratamiento no puede justificarse con base legal/finalidad definida y no puede acreditarse mediante evidencia verificable, dicha operación se entenderá no autorizada y deberá suspenderse hasta tanto se subsane.
PROHIBICIONES INTERNAS EXPRESAS.
Se prohíbe: (i) recolectar datos sin finalidad específica y documentada; (ii) tratar datos para fines distintos a los informados; (iii) transferir o transmitir datos a terceros sin validación previa del Oficial de Protección de Datos y sin instrumento contractual o fundamento legal habilitante; (iv) almacenar bases en repositorios personales o no autorizados; (v) omitir el reporte de incidentes reales o sospechados; y (vi) acceder a datos sin necesidad funcional, fuera del marco del rol asignado.
ÓRGANOS Y ROLES OBLIGATORIOS.
VERIHALAL adoptará la siguiente estructura mínima:
Alta Dirección: aprueba el Manual y la Política, asigna recursos, define la tolerancia al riesgo y ordena correctivos estructurales.
Oficial de Protección de Datos (OPD): es el responsable funcional del programa de privacidad y, en particular, de: (i) la administración del canal de Habeas Data; (ii) la aprobación de altas y modificaciones de tratamientos; (iii) el control de versiones de textos de autorización/avisos; (iv) la coordinación de la atención de titulares; (v) la articulación del reporte de incidentes con TI y Jurídica; y (vi) la consolidación del inventario y de las evidencias internas.
Administradores de Bases/Tratamientos (por proceso): son los líderes designados por área que detentan la obligación de asegurar que el tratamiento en su dominio se ejecute conforme a finalidad, base legal, evidencias y controles. Su deber no es meramente formal: responden por la existencia de soportes, por la calidad del dato, por la minimización, por la gestión de accesos y por la retención/disposición final dentro de su proceso.
TI/Seguridad de la Información: define e implementa controles técnicos (identidades y accesos, registros de auditoría, respaldos, recuperación, protección, etc.), ejecuta contención y remediación técnica y conserva evidencia técnica.
Jurídica/Compliance: establece y revisa cláusulas de encargo, confidencialidad, transferencias, y acompaña decisiones de reporte, comunicaciones sensibles y requerimientos de autoridad.

RESPONSABILIDAD POR ROL Y EVIDENCIA.
Cada rol responde por evidencias específicas:
OPD: evidencia de versiones, radicados, respuestas, inventario y decisiones.
Administradores: evidencia de autorizaciones, matrices de acceso, registros de tratamiento, retención y eliminación.
TI: evidencia técnica.
Jurídica: evidencia contractual .

DEBERES DEL PERSONAL Y DE LOS ENCARGADOS.
Toda persona que intervenga en el tratamiento de datos personales por cuenta de VERIHALAL, ya sea en calidad de empleado, trabajador, contratista o Encargado, deberá: guardar reserva y confidencialidad; actuar conforme a las instrucciones del Responsable; tratar los datos únicamente para las finalidades autorizadas; aplicar los controles de seguridad definidos por VERIHALAL; reportar de manera inmediata cualquier incidente real o sospechado; y abstenerse de realizar tratamientos no autorizados, exportaciones de información o accesos por fuera de su rol.
DERECHOS DE LOS TITULARES DE LA INFORMACIÓN.
El Titular de los datos personales tendrá, entre otros, los siguientes derechos:
Conocer, actualizar y rectificar sus datos personales frente a VERIHALAL, en su condición de Responsable del Tratamiento.
Solicitar prueba de la autorización otorgada, cuando aplique.
Ser informado por VERIHALAL, previa solicitud, respecto del uso que se ha dado a sus datos personales.
Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la normativa aplicable, una vez haya agotado el trámite interno de consulta o reclamo ante VERIHALAL.
Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, sin perjuicio de las causales de improcedencia por deber legal o contractual de conservación debidamente sustentado.
Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, en los términos previstos en la ley.

DEBERES EN EL TRATAMIENTO DE LOS DATOS PERSONALES.
VERIHALAL tendrá presente, en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que solo estas pueden decidir sobre los mismos. En consecuencia, VERIHALAL hará uso de los datos personales exclusivamente para las finalidades respecto de las cuales se encuentre debidamente facultada y respetando integralmente el régimen de protección de datos personales.
En particular, VERIHALAL asume como deberes permanentes, como mínimo, los siguientes:
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
Conservar la información bajo condiciones de seguridad idóneas para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Realizar oportunamente la actualización, rectificación o supresión de los datos, cuando proceda.
Tramitar las consultas y reclamos formulados por los Titulares en los términos legales y en los procedimientos internos definidos por la Compañía.
Insertar en la base de datos la leyenda “información en discusión judicial” cuando, por notificación de autoridad competente, se tenga conocimiento de procesos judiciales relacionados con la calidad o detalles del dato personal.
Abstenerse de circular información controvertida por el Titular y cuyo bloqueo haya sido ordenado por la autoridad competente.
Permitir el acceso a la información únicamente a las personas que, por rol, función y necesidad, se encuentren autorizadas para ello.
Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos o controles de seguridad y existan riesgos en la administración de la información de los Titulares, en los eventos en que resulte aplicable.
Cumplir las instrucciones y requerimientos que imparta la autoridad competente en materia de protección de datos personales.

INVENTARIO DE TRATAMIENTOS.
VERIHALAL mantendrá un Inventario que identifique, por cada tratamiento: (i) nombre; (ii) finalidad; (iii) categoría de titulares; (iv) categoría de datos y clasificación (incluyendo sensibles); (v) fuentes y canales de recolección; (vi) repositorios/sistemas; (vii) responsables y administradores; (viii) encargados; (ix) transferencias/transmisiones y países; (x) retención y disposición final; y (xi) medidas de seguridad mínimas.
CUSTODIA Y REPOSITORIO DE SOPORTES.
Los Administradores deberán garantizar un repositorio único, indexado, seguro y controlado por versión para los soportes de autorización. Se prohíbe conservar evidencias en correos personales o dispositivos particulares. TI deberá habilitar repositorios corporativos con control de acceso, historial y respaldos.
PRINCIPIO DE CANAL ÚNICO Y RADICACIÓN OBLIGATORIA.
Toda consulta o reclamo se gestionará bajo radicado interno, con trazabilidad integral. La radicación deberá identificar: (i) tipo de solicitud; (ii) titular; (iii) legitimación; (iv) bases consultadas; (v)responsable asignado; (vi) fecha de vencimiento; y (vii) evidencia de respuesta.
PROCEDIMIENTO INTERNO DE CONSULTAS.
El OPD verificará identidad y coordinará con los Administradores y TI la búsqueda integral en repositorios relevantes. La respuesta deberá (i) ser comprensible; (ii) detallar finalidades y usos; y (iii) proteger información de terceros. Se conservará expediente completo.
PROCEDIMIENTO INTERNO PARA RECLAMOS
El reclamo se tramitará con evaluación de completitud, subsanación cuando aplique, anotación interna de “reclamo en trámite” en los sistemas donde proceda, análisis de base legal/retención, ejecución de correcciones o supresiones cuando correspondan, y respuesta motivada. Cuando la supresión no proceda por deber legal o contractual, se aplicará bloqueo o archivo restringido con justificación documentada.
ESTÁNDAR DE SEGURIDAD.
En desarrollo del principio de seguridad, VERIHALAL adoptará medidas técnicas, humanas y administrativas razonables y proporcionales para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Estas medidas aplican a toda base de datos, archivo, repositorio o sistema de información que contenga datos personales, con independencia del medio o tecnología utilizada.
IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD.
VERIHALAL mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a datos personales y para los sistemas de información que los soportan. Dichos protocolos deberán considerar, como mínimo:
Ámbito de aplicación del procedimiento, con especificación de recursos protegidos.
Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido por el régimen aplicables.
Funciones y obligaciones del personal, incluyendo reglas de acceso por rol y deber de confidencialidad.
Estructura general de repositorios y sistemas que soportan bases de datos, con responsables internos definidos.
Procedimiento para la notificación, gestión y cierre de incidentes de seguridad que afecten datos personales, incluyendo preservación de evidencia y medidas de contención.
Procedimientos de realización de copias de respaldo y de recuperación de datos, con pruebas periódicas de restauración cuando resulte viable.
Controles periódicos para verificar cumplimiento, incluyendo auditoría de accesos y revisiones por cambios relevantes.
Medidas a adoptar cuando un soporte o documento vaya a ser transportado, desechado o reutilizado, asegurando cadena de custodia cuando aplique y destrucción segura.
Actualización permanente del procedimiento y revisión cada vez que se produzcan cambios relevantes en los sistemas de información o en la organización del tratamiento.
Adecuación continua a las disposiciones vigentes en materia de seguridad de datos personales.
INCIDENTES DE SEGURIDAD.
Todo incidente real o sospechado que comprometa o pueda comprometer datos personales deberá reportarse de inmediato al OPD y a TI. El procedimiento interno exige: (i) radicación; (ii) contención; (iii) preservación de evidencia; (iv) análisis de causa y alcance; (v) remediación; (vi) determinación documentada de reporte a autoridad y/o comunicación a titulares cuando corresponda; y (vii) cierre con plan de mejora. La no activación del procedimiento, o la activación tardía sin causa, constituye incumplimiento grave.
ENCARGADOS.
Ningún proveedor podrá acceder o tratar datos personales por cuenta de VERIHALAL sin: (i) evaluación previa; (ii) acuerdo de encargo; (iii) obligaciones de seguridad y confidencialidad; (iv) obligación de reporte de incidentes; (v) restricción de subencargados; (vi) retorno o supresión al finalizar; y (vii) registro en el Inventario de Tratamiento.
AUTORIZACIÓN.
La recolección, almacenamiento, uso, circulación, transferencia, transmisión, actualización, rectificación o supresión de datos personales por parte de VERIHALAL. requiere, como regla general, el consentimiento libre, previo, expreso e informado del Titular.
VERIHALAL, en su condición de Responsable del Tratamiento, dispondrá y mantendrá mecanismos idóneos para obtener dicha autorización y, en todo caso, garantizará que sea posible verificar su otorgamiento, su alcance y la versión del texto de autorización aplicable.
Lo anterior se entiende sin perjuicio de los eventos excepcionales en los que, conforme a la normativa vigente, no se requiera autorización; en tales casos, el área responsable del tratamiento deberá conservar soporte del fundamento jurídico y del análisis interno que sustenta la excepción.
FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN.
La autorización podrá constar en documento físico, electrónico o en cualquier otro formato o medio que permita su posterior consulta y verificación. VERIHALAL podrá emplear, entre otros, formularios físicos, formatos contractuales, firmas manuscritas o electrónicas, grabaciones de voz con trazabilidad, correos electrónicos con aceptación expresa, validaciones en plataformas digitales, y demás mecanismos equivalentes que permitan acreditar el consentimiento. En todos los casos, la autorización deberá ponerse a disposición del Titular con anterioridad o, a más tardar, al momento del tratamiento.
DEBER DE INFORMACIÓN.
Con carácter previo a la obtención de la autorización (cuando aplique), VERIHALAL informará al Titular, de manera clara y suficiente, como mínimo: la identidad del Responsable; las finalidades específicas del tratamiento; los derechos del Titular y los medios para ejercerlos; el carácter facultativo de suministrar datos sensibles, cuando corresponda; y la existencia del canal corporativo para consultas y reclamos. Cuando el tratamiento implique transmisión a Encargados o transferencias a terceros Responsables, VERIHALAL informará dicha circunstancia en los términos que resulten exigibles, con el alcance y salvaguardas aplicables.
PRUEBA, CUSTODIA Y DISPONIBILIDAD DE LA AUTORIZACIÓN.
VERIHALAL mantendrá registros verificables sobre la autorización otorgada por cada Titular, de forma que sea posible reconstruir, como mínimo: quién autorizó, cuándo autorizó, por qué canal, para qué finalidades y bajo qué versión del texto de autorización.
Los soportes deberán reposar en repositorios corporativos administrados o aprobados por VERIHALAL, con control de acceso, integridad, conservación y trazabilidad. Se prohíbe la custodia exclusiva de evidencias en dispositivos personales, correos particulares o medios no administrados por la Compañía.
TRATAMIENTO DE DATOS DE MENORES Y DATOS SENSIBLES.
Con relación a los datos personales de niños, niñas y adolescentes, VERIHALAL adelantará el tratamiento únicamente en la medida en que resulte jurídicamente procedente y respetando, de manera estricta, los siguientes requisitos:
Responder y respetar el interés superior de los niños, niñas y adolescentes.
Asegurar el respeto de sus derechos fundamentales.
Obtener autorización del representante legal, verificando la legitimación y conservando evidencia reforzada del consentimiento.
Cuando sea pertinente, garantizar el derecho del menor a ser escuchado y valorar su opinión de acuerdo con su madurez, autonomía y capacidad para comprender el asunto. En todo caso, el Responsable y el Encargado involucrados deberán velar por el uso adecuado de estos datos, aplicando controles reforzados de acceso, minimización y conservación.
DATOS SENSIBLES.
El tratamiento de datos sensibles por VERIHALAL se entiende, como regla, restringido y sujeto a estándar reforzado. Solo podrá realizarse cuando exista causal habilitante y, en particular, cuando concurra alguna de las siguientes hipótesis, debidamente soportada:
El Titular haya otorgado autorización explícita para dicho tratamiento, salvo los casos en que por ley no sea requerido el otorgamiento de autorización.
El tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado; en estos eventos, los representantes legales deberán otorgar la autorización.
El tratamiento se refiera a datos necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
El tratamiento tenga finalidad histórica, estadística o científica, siempre que se adopten salvaguardas adecuadas.

TRANSFERENCIAS INTERNACIONALES.
Toda transferencia internacional o almacenamiento/acceso desde el exterior requerirá análisis previo del OPD, validación técnica de TI, revisión Jurídica y registro expreso en el Inventario de Tratamiento, incluyendo país, receptor, finalidad, salvaguardas y, cuando aplique, autorización del titular.
RETENCIÓN POR FINALIDAD.
Cada tratamiento deberá contar con regla de retención definida. Vencida la finalidad y agotados los términos aplicables, los datos deberán suprimirse o anonimizarse.
Cuando exista obligación de conservar, se archivarán bajo acceso restringido y solo podrán usarse para las finalidades residuales justificadas (cumplimiento legal, defensa judicial, auditoría, etc.).
EVIDENCIA DE ELIMINACIÓN.
Toda eliminación o destrucción deberá dejar evidencia documental mínima: causal, alcance, método, fecha, responsable, y verificación, archivada en el repositorio corporativo.
CAPACITACIÓN OBLIGATORIA.
VERIHALAL implementará inducción y capacitación periódica, con registros de asistencia y evaluación mínima. La capacitación será especializada para áreas con tratamientos sensibles o de riesgo elevado.
AUDITORÍA Y MEJORA CONTINUA.
El OPD realizará auditorías periódicas sobre: (i) inventario; (ii) autorizaciones; (iii) tiempos y expedientes de hábeas data; (iv) encargados; (v) incidentes; y (vi) retención/eliminación. Los hallazgos deberán traducirse en planes de acción, responsables y fechas.

INCUMPLIMIENTO
El incumplimiento del Manual activará medidas internas disciplinarias o contractuales, sin perjuicio de acciones legales y reportes que correspondan.