Políticas de tratamiento de datos personales
Los procesos de matrículas de salidas pedagógicas, campamentos y eventos requieren que recolectemos de los participantes una amplia variedad de datos personales para con ello poder prestar un mejor servicio en caso de emergencias. Para ello contamos con una base de datos electrónica que almacena la información en un servidor principal. En este documento la llamaremos en adelante BBDDE. Es política de Kajuyalí ser consecuentes con las normas estipuladas en la Ley Estatutaria 1581 de 2012 de Protección de Datos (LEPD) y la Ley Estatutaria 1377 de 2013 del Congreso de la República de Colombia, por lo cual hemos establecido un procedimiento para comunicar nuestras promociones comerciales basado en las siguientes premisas:
1. Actores involucrados en la BBDDE
Los procesos de matrículas de salidas pedagógicas, campamentos y eventos requieren que recolectemos de los participantes una amplia variedad de datos personales para con ello poder prestar un mejor servicio en caso de emergencias. Para ello contamos con una base de datos electrónica que almacena la información en un servidor principal. En este documento la llamaremos en adelante BBDDE.
Es política de Kajuyalí ser consecuentes con las normas estipuladas en la Ley Estatutaria 1581 de 2012 de Protección de Datos (LEPD) y la Ley Estatutaria 1377 de 2013 del Congreso de la República de Colombia, por lo cual hemos establecido un procedimiento para comunicar nuestras promociones comerciales basado en las siguientes premisas:
Nivel | Cargo |
A |
Director General de Kajuyalí |
A |
Proveedor externo de tecnología |
A |
Coordinador de Tecnología de Kajuyalí |
B |
Director Comercial de Kajuyalí |
B |
Director Operativo de Kajuyalí |
B |
Director Administrativo de Kajuyalí |
B |
Director de Staff |
B |
Coordinador de Servicio al Cliente de Kajuyalí |
B |
Director de Campamento / Salida Pedagógica |
B |
Médico de Campamento / Salida Pedagógica |
C |
Asesor de Reservas y Mercadeo de Kajuyalí |
C |
Asesor de Recursos Humanos |
C |
Coordinador de Contabilidad |
C |
Logístico de Campamento |
C |
Distritos Regionales de Mercadeo y Ventas |
2. Niveles de acceso a la BBDDE
Hemos definido tres diferentes niveles de acceso a la información de la BBDDE. Cada nivel tiene acceso a ciertas partes de la información y tienen autoridad de administrar los accesos de los sub-niveles para mejorar la seguridad:
NIVEL A: Tiene total acceso a la información para diseño – acceso – administración y eliminación de datos. Lidera los procesos de restauración y protección de datos.
• Director General de Kajuyalí.
• Proveedor externo de tecnología (ARKEDATA SAS.)
• Coordinador de Tecnología.
NIVEL B: Tiene acceso parcial al sistema para gestionar clientes, facturas, reservas y contenidos. Puede crear campañas y comunicarse abiertamente con toda la BBDDE.
• Nivel A.
• Coordinador de Servicio al Cliente.
• Directores Comercial, Operativo, Administrativo, Staff.
NIVEL C: Tiene acceso a ver – editar – completar la información de los clientes. Tiene acceso restringido a eliminar información. No tiene acceso a Scrypts de programa.
• Nivel B.
• Asesores y usuarios autorizados con clave.
3. Servidor de almacenamiento – acceso físico:
3.1 El servidor físico que conserva la información digital de la Base de Datos deberá permanecer en un rack bajo llave en la oficina principal de Kajuyalí. Dicho acceso será exclusivo para NIVEL A Y NIVEL B. Con el fin de evitar la pérdida de información del servidor por daño o robo, este servidor realiza copias automáticas digitales a través de un disco duro externo que debe permanecer también bajo llave en el rack. Las llaves deben permanecer en la caja fuerte de la empresa. Dicho acceso será exclusivo para
NIVEL A Y NIVEL B.
3.2 Adicionalmente, este servidor realiza copias de seguridad digitales en la nube con el sistema ONEDRIVE. A esta información solamente tiene acceso el NIVEL A.
4. Servidor de almacenamiento - Acceso Electrónico:
4.1 El acceso a la BBDDE se realiza a través de una clave cifrada de usuario/clave personal (no-transferible) que es creada a partir de un
procedimiento de creación de usuario autorizada únicamente por el NIVEL A.
4.2 Dicha clave compromete a los usuarios de todos los niveles con el uso responsable de la información para lo cual deberá mediar el documento CONTRATO DE PRESTACIÓN DE SERVICIOS que los compromete para alinearse con las políticas de Protección de datos personales de la empresa. Este rige como regla interna de trabajo.
4.3 El sistema permite acceso desde un terminal de computador, tableta o celular y sólo requiere de un acceso web. Por ello, cada vez que un usuario ingresa en el sistema queda registrado en una bitácora que registra la IP de acceso con su fecha/hora. Esto permite tener el control necesario para saber quién, cuándo y dónde ha tenido acceso a información de la BBDDE.
4.4 La BBDDE permite la selección de búsquedas particulares diseñadas especialmente para poder realizar mercadeo y promoción de programas de Kajuyalí. Esta selección lleva a poder extraer información en archivos de tipo .cvs ó .txt u otros formatos. La extracción de estas listas masivas está dada por el sistema solo bajo la supervisión del NIVEL A y el NIVEL B.
5. Almacenamiento de la Información:
El usuario accede a una matrícula o inscripción a través del sistema online que lo lleva a completar datos médicos, comportamentales y de contacto. Para poderse matricular un usuario en un programa de Kajuyalí deberá aceptar los Términos y Condiciones del Contrato de Servicio el cual se anexa a este documento.
5.1 Ingreso al sistema de inscripción a la BBDDE: Un usuario de nuestra BBDDE se crea de manera automática cuando ingresa al sistema buscando crear una matrícula y/o adquirir uno de los programas. Este proceso se lleva a cabo online a través de la página web. Al inscribirse el sistema podrá solicitar información personal que está cobijada por las leyes de Protección de Datos. Al hacerlo, el usuario debe crear una clave de usuario para acceder a su cuenta. Dicho acceso es permanente y libre por parte del usuario. Algunos campos son indispensables para poderse inscribir. La información se ceñirá al formato de Términos y Condiciones correspondiente y deberá ser aceptado por el ususario para poder acceder a la matrícula.
5.2 Ingreso de información en el sistema a partir de un evento corporativo o empresarial: Cuando quiera que recolectamos datos de personas interesadas en el servicio a través de un stand o evento (TGMP) buscaremos que dicha información cuente con la aprobación del interesado de manera escrita haciendo uso del formato KCTGMPDATAFORM22 (Aceptación de Términos y Condiciones).
Estos datos son llevados a la BBDDE de manera manual para que pueda ejecutarse el envío de información. Eventualmente el usuario deberá aceptar el envío de información a través del proceso de matrícula electrónica en la web.
5.3 Aceptación de inscripción en la BBDDE: Al acceder el cliente a nuestro proceso de matrículas, acepta que su información sea almacenada en nuestra BBDDE por los siguientes 5 años a su última inscripción en un programa de Kajuyalí. Esto lo hacemos para poder contar con información histórica del usuario para eventuales situaciones o necesidades dadas durante o después de una operación. Por ejemplo una enfermedad o dolencia que aparece 2 años después.
5.4 Aceptación para recibir información: Como parte de la estrategia comercial de Kajuyalí se enviará correos de promoción de sus programas solamente a los usuarios que están registrados en la BBDDE y que hayan autorizado el envío de información comercial. Es por eso que el proceso de inscripción online realiza una consulta a los inscritos para saber si están de acuerdo en recibir dichas promociones por cualquier medio. A partir del 23 de noviembre de 2016, Kajuyalí pregunta siempre a quien procese una matrícula si quiere o no hacer parte de la lista de personas a las que se les envía promociones por diferentes medios a través del siguiente texto presente al final de la hoja de matrícula:
5.5 Almacenamiento de usuarios que no autorizaron el envío de correos promocionales: Es política de Kajuyalí que nuestros usuarios permanecen en la BBDDE por 10 años. Durante este período de tiempo el usuario no recibirá correos promocionales. Al cabo del décimo año le consultaremos al usuario si quiere continuar en nuestra BBDDE. Si la respuesta es “no”, lo borraremos.
Conservamos la información por 10 años para poder hacer uso de la información cuando requiera por asuntos relacionados con la operación de un programa, por una re-compra o cuando quiera que haya una eventual reclamación o se requiera información médica de la familia.
5.6 Almacenamiento de usuarios que sí autorizan: Al igual que a los no autorizados, estos permanecen en la BBDDE por 10 años. Sin embargo, estos son usuarios que han aceptado que se les envíe información serán incluidos en las promociones y comunicaciones a menos que:
5.6.1 Pasen 12 meses desde su última matrícula.
5.6.2 El usuario ingrese al sistema con su clave personal y retire su nombre ó familia de la lista de usuarios que nos autorizan a enviarles correos promocionales al solicitar que sea “Des-inscrito” (unsuscribe).
6. Casos de pérdida de información:
En caso que haya alguna situación externa a Kajuyalí por la cual un listado parcial o total de la BBDDE se extravíe o sea robado, se activará un Protocolo de Emergencia que vincula a la última persona asociada a esa información en cualquiera de los tres niveles (A,B ó C) y se hará responsable mientras se halla una solución.
Procedimiento de emergencia en caso de pérdida de información: Este proceso busca restablecer el servicio de información y limitar el acceso a la información de manera física o electrónica a quien quisiera hacer uso indebido de la misma.
6.1.1 La BBDDE representada por el servidor físico será desactivado temporalmente y se realizará una extracción temporal de los elementos hardware de archivo. Para esto se desconectará de la red por 6 horas a partir de ser la falla encontrada.
6.1.2 La BBDDE representada por la información electrónica será limitada a accesos de NIVEL B Y NIVEL C al erradicar los usuarios por 6
horas.
6.1.3 Se realizará una investigación con el Coordinador de Tecnología quien deberá buscar las fallas electrónicas y pérdidas asociadas a
dicho ataque, presentará un informe detallado y un plan de acción para corregir las fallas y evitar así que se repita.
Este documento se realizó en Bogotá, es aprobado y publicado por el director General de Grupo Kajuyalí el día 1 de septiembre de 2022 y tiene una vigencia de 24 meses a partir de esta fecha.