Políticas de privacidad

Enterprise Holdings, Inc., a través de sus subsidiarias regionales independientes (colectivamente, “Enterprise Holdings”) y la red de franquiciados independientes y socios de cumplimiento que operan las marcas Enterprise Rent-A-Car, National Car Rental, Alamo Rent A Car, brinda administración global de reservas y alquileres servicios. Este sitio es para un franquiciado autorizado. Para el intercambio de datos y las prácticas de reserva global de Enterprise Holdings, consulte la Política de privacidad global de Enterprise Holdings.
Para obtener información sobre las prácticas de privacidad del franquiciado autorizado para este país, consulte a continuación.

1. Objetivo

Definir los lineamientos generales para la implementación, aplicación, monitoreo, sostenimiento y mejora continua del Programa corporativo integral de protección de datos personales en la operación de MASSY MOTORS RENTALS S.A.S.

2. Consideraciones generales y alcance

MASSY MOTORS RENTALS S.A.S, identificada con NIT 901.252.875 - 7, con domicilio principal en Avenida las Américas 23 N 44, Cali, Valle del Cauca, Colombia, en adelante MMR o La Compañía, en su condición de Responsable del Tratamiento, reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos personales de sus trabajadores, clientes, proveedores, socios, aliados comerciales y en general de todos sus agentes de interés respecto de los cuales ejerce Tratamiento de Información Personal. Por lo que, en cumplimiento a los mandatos constitucionales y legales, presenta el siguiente documento que contiene sus políticas para el tratamiento y protección de los datos personales, para todas sus actividades que involucren tratamiento de información personal de titulares o interesados del territorio nacional de Colombia.

3. Ámbito de aplicación

La presente política aplica para todas las actividades de tratamiento de datos personales desarrolladas por La Compañía en el ámbito del territorio nacional de Colombia, así como al tratamiento de datos personales de titulares ubicados en el marco comunitario de la Unión Europea, en adelante Unión, así como frente a las actividades de tratamiento de datos personales desarrolladas o promovidas por la Compañía que impliquen transferencia o despliegue de flujos de información de naturaleza personal hacia terceros Encargados o Responsables del tratamiento domiciliados fuera del territorio colombiano.

El presente documento debe ser aplicado por la totalidad de los colaboradores, aliados y proveedores de la Compañía.
Toda persona externa a la Compañía que acceda o realice tratamiento de datos personales sujetos a su responsabilidad o encargo, deberá dejar constancia expresa del conocimiento de la presente política de tratamiento de datos personales. Las personas o colaboradores directamente vinculados con la Compañía que accedan o realicen tratamiento de datos personales sujetos a su responsabilidad o encargo, deberán dejar constancia expresa del conocimiento de la presente política de tratamiento personales, así como del Manual de tratamiento de datos personales de la Compañía.

4. Glosario

• Autorización: Consentimiento previo, expreso e informado del Titular Interesado para llevar a cabo el Tratamiento de datos personales. El consentimiento puede otorgarse por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir que otorgó la autorización.
• Aviso de privacidad: Comunicación verbal o escrita cuyo fin es dar cumplimiento al deber de informar al Interesado sobre las actividades, tipos de tratamiento, finalidades y demás aspectos asociados al manejo de información personal.
• Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento almacenadas en medios manual o automatizados, cuyo contenido incluye información de personas naturales claramente identificadas o identificables (ej. Base de Datos de trabajadores, Base de Datos de proveedores, Base de Datos de clientes, entre otras).
• Causahabiente: Persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero o legatario).
• Datos personales: Cualquier información vinculada o que pueda asociarse a una o varias personas físicas o naturales determinadas o determinables.
• Datos personales privados: Aquellos cuyo conocimiento está restringido al público.
• Datos públicos: Dato que no sea semiprivado, privado o sensible, que puede ser tratado por cualquier persona, sin necesidad de autorización para ello. Son públicos, entre otros, los datos contenidos en el registro civil de las personas (p.ej. si se es soltero o casado, hombre o mujer) y aquellos contenidos en documentos públicos (p.ej. contenidos en Escrituras Públicas), en registros públicos entre otros.
• Datos sensibles: Son aquellos que afectan la intimidad del Interesado o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc.
• Delegado de protección de datos: Rol corporativo encargado de vigilar, controlar y promover la aplicación de los elementos del Programa Corporativo de Protección de datos Personales así como de su mejora continua y sostenible bajo la observancia la normatividad aplicable.
• Designados de privacidad por áreas: Rol asignado a un funcionario de cada una de las distintas áreas de la Compañía, con el objetivo de apoyar y coordinar con el Delegado de privacidad el desarrollo de las distintas actividades y procedimientos internos para el cumplimiento de las disposiciones corporativas y normativas en materia de protección de datos personales.
• Elaboración de perfiles: Confección de decisiones individuales basadas en un tratamiento automatizado de datos, destinadas a evaluar aspectos personales o analizar o predecir el rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de una persona.
• Encargado del tratamiento: Persona física o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Para los efectos del presente documento, se entiende como aquel aliado o proveedor que realiza tratamiento de datos personales en el marco de la ejecución de un contrato o convenio conforme a las instrucciones, lineamientos y finalidades definidas por la Compañía.
• Interés público: Justificación que motiva el tratamiento de datos personales en función de alguno o varios de los siguientes eventos:
  • Tratamientos realizados por Autoridades u Organismos públicos en el ejercicio de sus funciones.
  • Tratamientos con fines de interés público fundamentados en la legislación vigente.
  • Tratamientos con fines de investigación histórica, estadística o científica.
• Responsable del tratamiento: Persona física o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o su Tratamiento.
• Titular de la información o interesado: Persona natural o física cuyos datos personales sean objeto de Tratamiento.
• Tratamiento de datos: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión, ya sean que impliquen todas o alguna de ellas.
• Transferencias internacionales de datos: Traspaso de datos a personas, sociedades u otras entidades de terceros países u organizaciones internacionales no establecidas en el territorio nacional. Conforme a los lineamientos organizacionales, estas transferencias pueden tener como destinatario un Responsable (transferencia internacional de datos) o un Encargado del tratamiento (Transmisión internacional de datos personales).

5. Marco normativo

Legislación básica aplicable

• Constitución Política de Colombia
• Ley 1581 de 2012. Por la cual se dictan las disposiciones generales para la protección de datos personales
• Ley 1266 de 2008. Por la cual se dictan disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países y se dictan otras disposiciones
• Decreto Único 1074 de 2015. Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo

Legislación complementaria de referencia

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• Ley Orgánica 3/2018, de 5 de diciembre, Protección de datos personales y garantías de los derechos digitales
• LSSICE - Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
• Real Decreto 3/2010, de 8 de enero por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

6. Principios generales, postulados y principios específicos

6.1 Principios generales y postulados

MMR promueve la protección de derechos como el habeas data, la privacidad, la intimidad, el buen nombre, honra e imagen personal. Con tal propósito, todas las actuaciones se regirán por los postulados de la buena fe, la legalidad, la autodeterminación informática, la libertad y la transparencia.

MMR reconoce que su legítimo derecho al Tratamiento de los datos personales de los Interesados de información debe ser ejercido dentro del marco específico de la legalidad, el consentimiento del Interesado y las específicas instrucciones impartidas por los Responsables del Tratamiento cuando sea el caso, procurando en todo momento preservar el equilibrio entre los derechos y deberes de Interesados, los responsables y otros encargados del Tratamiento vinculados a su operación.

Quien en ejercicio de su actividad suministre cualquier tipo de información o dato personal a La Compañía en su condición de Encargado o Responsable del Tratamiento, podrá ejercer sus derechos como Interesado de la información para conocerla, actualizarla y rectificarla, así como para el ejercicio de los demás derechos que le confiere la Ley 1581 de 2012 conforme a los procedimientos establecidos en la normatividad aplicable y la presente política.

6.2 Principios específicos

La Compañía aplicará los siguientes principios específicos, que constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento, intercambio y supresión de datos personales:

• Licitud: Lealtad y transparencia con el Titular o Interesado.
• Limitación de los fines: Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
• Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario o judicial que releve el consentimiento.
• Minimización de los datos: Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Exactitud: Actualizados sin demora con respecto a los fines para los que se tratan.
• Limitación del plazo de conservación: Mantenidos de forma que se permita la identificación de los Titulares o Interesados durante no más tiempo del necesario para los fines por los que se tratan, excepto si el Tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica.
• Integridad y confidencialidad: Implementando medidas técnicas y organizativas adecuadas para proteger los datos contra Tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
• Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. Para estos propósitos la obligación de La Compañía será de medio.
• Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento en el desarrollo de las actividades de La Compañía, serán objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios físicos y electrónicos, evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado.
• Responsabilidad proactiva: Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del Tratamiento.
• Incorporación sistemática: Los principios de protección de datos personales se implementarán e irradiarán la interpretación de todos los procesos y procedimientos de MMR.

7. Condición de responsable y encargado del tratamiento de información personal de Massy Motors Rentals

A continuación, se definen los escenarios en los que La Compañía ostenta la condición de Responsable o Encargado del Tratamiento frente a los distintos tipos de Interesados de información, en función de su capacidad de decidir sobre los medios o finalidades del Tratamiento de los datos personales:

Encargado

MMR obrará como Encargado del Tratamiento de datos personales siempre que para el desarrollo de sus actividades realice uso o Tratamiento de información personal por encargo de un tercero que ostente la condición de Responsable sobre los datos tratados. Conforme a la naturaleza de la operación y el objeto social de la Compañía, las actividades como Encargado del Tratamiento de datos personales se realizarán principalmente sobre los datos de los usuarios de los clientes de MMR, cuya información es encomendada para la prestación de los servicios y capacidades tecnológicas contratadas según la oferta de servicios comerciales que constituye el objeto misional de la Compañía.

Si bien MMR cuenta con autonomía técnica y operativa para la toma de decisiones sobre la información personal, no podrá decidir ni disponer sobre las bases de datos en sí o la forma de su Tratamiento, por ejemplo: eliminar, compartir o divulgar la base de datos sin el consentimiento o autorización previa del Responsable del Tratamiento o el Interesado del dato. Por lo anterior, será responsabilidad de quien ostente el título de Responsable del Tratamiento acreditar la existencia del deber de información, gestionar el consentimiento, acreditar la base jurídica o interés legítimo sobre el cual se soporta el desarrollo de las actividades de Tratamiento de datos personales requeridas para la cabal ejecución de las actividades encargadas a la Compañía.

Responsable

MMR obrará como Responsable del Tratamiento de datos personales siempre que para el desarrollo de sus actividades realice uso o Tratamiento de información personal gestionando de manera directa el deber de informar al Interesado, el consentimiento, base jurídica o cualquier otro evento de interés legítimo aplicable conforme a las disposiciones normativas aplicables.

8. Registro de actividades de tratamiento de datos personales

En el desarrollo de sus actividades misionales, estratégicas, de soporte y conexas, la Compañía realiza actividades de Tratamiento de datos personales frente a las siguientes categorías de titulares y actividades de Tratamiento, respecto de las cuales ostenta la condición tanto de Responsable como de Encargado del Tratamiento:

Registro de actividades de tratamiento en condición de responsable

Clientes

Categorías de clientes

1. Clientes: Personas con las que mantiene una relación comercial para la prestación de los servicios corporativos, siendo necesario el conocimiento de datos de representantes legales y personas de contacto.

Tipos de datos

1. Datos generales referentes a su condición de mayoría de edad, fecha y lugar de nacimiento, edad, sexo, nacionalidad.
2. Datos de identificación tales como nombres, apellidos, DNI/NIF/Documento identificativo, firma.
3. Datos de contacto comercial: dirección, teléfonos, correo electrónico.
4. Datos socioeconómicos: datos de carácter económico como datos de naturaleza tributaria, actividad económica y datos de tarjetas de crédito, datos necesarios para la habilitación del servicio y la facturación.

Finalidad del tratamiento

1. Gestión del relacionamiento comercial y administrativo de los clientes.

Legitimación

• Titulares domiciliados o residentes en la Unión:
  • Ejecución de un contrato de arrendamiento de vehículo.
  • Obligación legal.
• Titulares domiciliados o residentes en Colombia:
  • Consentimiento.

Categorías de destinatarios a quienes se comunicaron o comunicarán datos personales

1. Administración tributaria.
2. Bancos y entidades financieras.
3. Aliados comerciales.
4. Proveedores de servicios de hosting u otros servicios tecnológicos que soportan las capacidades técnicas de almacenamiento y procesamiento de información personal.

Plazos previstos para la supresión de los datos

1. Los datos personales se conservarán por el plazo necesario para dar cumplimiento a los fines de tratamiento, sin perjuicio de que su almacenamiento sea necesario para cumplir con obligaciones legales sobre gestión documental.
2. Los datos tratados para dar cumplimiento a normas sobre prevención del riesgo de lavado de activos y financiación del terrorismo se conservarán por un periodo de 10 años.

Transferencias internacionales de datos y documentación de garantías

1. Transferencia internacional de datos a las sociedades aliadas para fines de soporte tecnológico y administrativo.
2. Países destino: USA.
3. Base de legitimación:
   • Unión: interés legítimo (Art. 6.1 RGPD).
   • Colombia: consentimiento (Ley 1581 de 2012, art. 9).

Medidas de seguridad
Ver numeral 12.4.

Accionistas

Categorías de interesados

1. Accionistas: personas con participación patrimonial en la Compañía, sin distinción de su porcentaje.

Tipos de datos

1. Datos generales sobre mayoría de edad, fecha y lugar de nacimiento, edad, sexo, nacionalidad.
2. Datos de identificación.
3. Datos de contacto privados y comerciales.
4. Datos socioeconómicos, tributarios, domiciliación de pagos.

Finalidad del tratamiento

1. Gestión de la relación comercial, corporativa, asuntos societarios y estatutarios.

Legitimación

• Unión: interés legítimo prevalente, obligación legal.
• Colombia: consentimiento.

Destinatarios

1. Administración tributaria.
2. Bancos y entidades financieras.
3. Proveedores tecnológicos.

Plazo de supresión de datos
Mismos plazos que para clientes.

Transferencias internacionales
Mismos destinos y bases de legitimación que para clientes.

Medidas de seguridad
Ver numeral 12.4.

Proveedores

Categorías de interesados

1. Personas con vínculo contractual comercial para adquisición de bienes/servicios.

Tipos de datos

1. Generales (edad, sexo, nacionalidad).
2. Identificación.
3. Contacto comercial.
4. Socioeconómicos (tributarios, actividad económica, pagos).

Finalidad del tratamiento

1. Gestión de la relación comercial.

Legitimación

• Unión: ejecución contractual.
• Colombia: consentimiento.

Destinatarios
Mismos que anteriores.

Plazo de supresión de datos
Mismos que anteriores.

Transferencias internacionales
Mismos detalles que anteriores.

Medidas de seguridad
Ver numeral 12.4.

Empleados

Categorías de interesados

1. Empleados con contrato laboral directo.
2. Trabajadores en misión vía terceros.

Tipos de datos

1. Generales.
2. Identificación, imagen, voz.
3. Contacto.
4. Socioeconómicos y laborales.
5. Bancarios (nómina).
6. Antecedentes judiciales.
7. Credenciales de sistemas.
8. Datos sensibles (salud, discapacidad).

Finalidad del tratamiento

1. Gestión de la relación laboral.

Legitimación

• Unión: ejecución contractual, interés legítimo.
• Colombia: consentimiento.

Destinatarios

1. Autoridades laborales y fiscales.
2. Mutualidades, seguros, vigilancia, RRHH.
3. Proveedores tecnológicos.

Plazo de supresión de datos
Mismos que anteriores.

Transferencias internacionales
Mismos que anteriores.

Medidas de seguridad
Ver numeral 12.4.

Visitantes a instalaciones de la compañía

Categorías de interesados

1. Personas que acceden a locaciones físicas de la Compañía.

Tipos de datos

1. Generales.
2. Identificación, imagen, video.
3. Contacto (teléfono).

Finalidad del tratamiento

1. Seguridad física y control de acceso.

Legitimación

• Unión: interés legítimo prevalente.
• Colombia: consentimiento.

Destinatarios

1. Autoridades judiciales, fuerzas de seguridad.
2. Vigilancia, aseguradoras, RRHH, proveedores tecnológicos.

Plazo de supresión de datos

1. 30 días desde la recolección.

Transferencias internacionales
No se realiza.

Medidas de seguridad
Ver numeral 12.4.

Contactos comerciales y laborales

Categorías de interesados

1. Contactos comerciales (relacionados con la actividad de la empresa).
2. Contactos laborales (empleados o temporales).
3. Contactos institucionales (entidades o autoridades).

Tipos de datos

• Identificación y firma electrónica.
• Contacto (privado y comercial).
• Datos profesionales (cargo, funciones).

Finalidad del tratamiento

1. Comunicación con terceros relacionados con la actividad de la empresa.

Legitimación

• Unión: ejecución contractual (laboral o mercantil), interés legítimo.
• Colombia: consentimiento.

Destinatarios

1. Proveedores de servicios tecnológicos.

Plazo de supresión de datos
Mismos que anteriores.

Transferencias internacionales

1. Transferencia a sociedades aliadas en USA.
2. Unión: interés legítimo (Art. 6.1 RGPD).
3. Colombia: consentimiento (Ley 1581 de 2012, art. 9).

Medidas de seguridad
Ver numeral 12.4.

9. Principales escenarios y finalidades específicas del tratamiento de la información personal

Las actividades de Tratamiento de datos personales que desarrolla la Compañía se encuentran asociadas a los escenarios y finalidades específicas que se detallan a continuación:

1. Gestión de compras y adquisiciones

a) Verificar antecedentes comerciales, reputacionales y riesgos asociados a lavado de activos y financiación del terrorismo.
b) Vincular jurídica y comercialmente al proveedor o aliado con la Compañía.
c) Formalizar la relación contractual y controlar la ejecución de obligaciones.
d) Evaluar desempeño y resultados del proveedor.

2. Gestión del talento humano y relaciones laborales

a) Verificación de antecedentes.
b) Evaluación y selección de aspirantes.
c) Verificación de elementos socioeconómicos.
d) Gestión ante autoridades administrativas.
e) Registro en sistemas internos.
f) Gestión de novedades de nómina.
g) Bienestar y desarrollo del trabajador.
h) Programas de capacitación.
i) Gestión de seguridad y salud en el trabajo.
j) Evaluación del desempeño.
k) Procedimientos de desvinculación.
l) Desarrollo de labores operativas.
m) Aplicación del reglamento interno.
n) Monitoreo del uso de herramientas corporativas.
o) Comunicación de información semi privada.
p) Respaldos de información.
q) Uso de imagen y voz para fines de comunicación corporativa.

3. Gestión de la relación comercial con clientes

a) Verificación de antecedentes.
b) Registro en sistemas para operación comercial.
c) Gestión de PQRS y fidelización.
d) Marketing e inteligencia de mercado.
e) Participación en eventos promocionales.
f) Inteligencia de negocios.
g) Publicidad comportamental.

4. Gestión administrativa, gobierno, riesgo y cumplimiento

a) Registro y control de acceso.
b) Auditorías internas o externas.
c) Cumplimiento ambiental, calidad e información.
d) Obligaciones legales.
e) Denuncias de malas prácticas.
f) Gestión de herramientas informáticas.
g) Acciones judiciales y extraprocesales.
h) Obligaciones societarias.

5. Gestión contable y tesorería

a) Registro de movimientos económicos.
b) Generación de reportes e indicadores.
c) Presentación de informes ante autoridades.
d) Validación de pagos a proveedores.
e) Relaciones con entidades del Estado.

10. Solicitud de autorización y consentimiento del interesado

10.1 Medio y manifestaciones para otorgar la autorización

Se detalla cómo se obtiene la autorización mediante avisos de privacidad y mecanismos físicos, verbales o digitales.

10.2 Prueba de la autorización

La prueba se acreditará según el medio de autorización:

• Modelos de solicitud.
• Conductas inequívocas.
• Evidencias físicas, digitales o verbales.

Para datos sensibles, se exigirá aceptación expresa y escrita.

10.3 Obligaciones de terceros proveedores

a) Adoptar política de tratamiento.
b) Manual de procedimientos internos.
c) Canales de atención a titulares.

10.4 Obligaciones de los trabajadores

a) Conocer y cumplir esta política.
b) Salvaguardar la seguridad de los datos.

11. Procedimientos para la gestión y atención de consultas, reclamos, rectificaciones y actualizaciones

Consultas

Se describe el derecho a la consulta y el procedimiento detallado (puntos a-e) para ejercerlo, incluyendo requisitos de identidad, documentación, tiempos de respuesta y formatos de apoyo.

Reclamos

Derechos:

• Rectificación
• Limitación
• Supresión

Derechos adicionales (Unión Europea – RGPD):

• Portabilidad
• Oposición

Procedimiento para reclamos

Se enumeran las fases del procedimiento desde la presentación, documentación requerida, verificación de identidad, tiempos de respuesta (10 y 15 días hábiles) y requisitos de formato.

11.1 Canales habilitados para el ejercicio de los derechos de los interesados

• Dirección: Avenida 3 Norte No. 34 – 46, Santiago de Cali – Valle del Cauca
• Teléfono: (602) 485 39 99
• Correo electrónico: asistente.juridico@massygroup.com

12. Disposiciones especiales para el tratamiento de datos personales y acreditación del principio de “responsabilidad proactiva”

12.1 Identificación y actualización del ciclo de la información personal

Elementos definidos:

a) Procesos que justifican el tratamiento.
b) Canales y puntos de captura.
c) Repositorios de datos.
d) Usuarios internos con acceso.
e) Nodos de salida y transferencias.
f) Disposición final de la información.

12.2 Relacionamiento con terceros

Requisitos para terceros vinculados y medidas de supervisión para asegurar cumplimiento normativo, incluyendo planes de acción o terminación del vínculo en caso de incumplimiento.

12.3 Evaluación de impacto de privacidad

Procedimiento preventivo liderado por el Delegado de Privacidad para identificar riesgos y adoptar medidas. Incluye evaluación:

a) Frente a interesados.
b) Frente a terceros.
c) Frente a autoridades.
d) Internamente.
e) Gestión del riesgo.

13. Gestión del riesgo de seguridad y privacidad de la información

Se promueve la seguridad técnica y organizacional para evitar tratamiento no autorizado o ilícito.

Obligaciones:

• Minimización de datos.
• Medidas técnicas y organizativas según costos, riesgos, naturaleza y contexto del tratamiento.

13.1 Medidas organizativas

• Roles definidos: responsable de seguridad, administrador, usuarios.
• Obligaciones: confidencialidad, gestión de contraseñas, incidencias.
• Procedimientos administrativos diversos.

13.2 Medidas técnicas

• Seguridad física (acceso, incendios, archivadores).
• Captación de imágenes: ubicación, conservación, acceso.
• Seguridad informática, cloud, cifrado, pseudonimización.

14. Programa corporativo integral de protección de datos personales

Componente orgánico

Define roles administrativos y asigna al Delegado de Privacidad la coordinación y reporte a la alta dirección.

Componente programático

Define actividades anuales como:

• Capacitación.
• Apoyo en coberturas jurídicas/técnicas.
• Control interno.
• Acciones de mejora.
• Reportes externos e internos.

15. Sistema de video vigilancia

Protocolo para solicitud, revisión y entrega de información capturada por cámaras, asegurando la custodia y control de acceso a imágenes.

16. Disposiciones finales y vigencia

16.1 Modificaciones a la política

La Compañía podrá modificar la política, informando con cinco (5) días hábiles de anticipación. La vigencia de los datos se mantiene mientras subsistan las finalidades legales y contractuales.

16.2 Vigencia

Desde: 01 de febrero de 2026

Política de privacidad global de Enterprise Holdings