Índice
- Objeto, alcance y responsable del tratamiento
- Principios y bases de licitud
- Datos sensibles y biométricos
- Categorías de datos y finalidades
- Destinatarios y divulgación de datos
- Transferencias internacionales
- Seguridad de la información e incidentes
- Conservación y supresión
- Derechos de los titulares y procedimiento
- Cookies y tecnologías similares
- Tratamiento de datos de menores
- Decisiones automatizadas e IA
- Canales de contacto
1. Objeto, alcance y responsable del tratamiento
La presente Declaración de Privacidad establece las reglas aplicables al tratamiento de datos personales realizado en el marco de la operación de soluciones de identidad digital, autenticación y prevención de fraude, incluyendo actividades comerciales, contractuales, soporte técnico y gestión del sitio web institucional.
Cuando GPIN determina los fines y medios del tratamiento, actúa en calidad de responsable del tratamiento. En escenarios donde procesa datos por cuenta de terceros clientes, actúa como encargado, conforme a instrucciones documentadas y acuerdos contractuales vigentes.
2. Principios y bases de licitud
El tratamiento se ejecuta con observancia de los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
La licitud del tratamiento se sustenta, según corresponda, en:
- Autorización previa, expresa e informada del titular.
- Ejecución y cumplimiento de relaciones contractuales o precontractuales.
- Cumplimiento de deberes legales, regulatorios o requerimientos de autoridad competente.
- Interés legítimo, previa verificación de proporcionalidad y no afectación indebida de derechos.
3. Datos sensibles y biométricos
En atención a la naturaleza de los servicios, pueden tratarse datos de categoría especial, incluidos datos biométricos para autenticación, verificación de identidad y prevención de fraude.
- Clasificación: los datos biométricos son datos sensibles.
- Condición general: su tratamiento requiere autorización expresa del titular, salvo excepción legal aplicable.
- Control reforzado: cifrado, minimización, trazabilidad y controles de acceso con privilegio restringido.
4. Categorías de datos y finalidades
Las categorías de datos tratadas varían según el rol del titular y el servicio contratado. De manera enunciativa, se tratan las siguientes:
- Datos de identificación y contacto comercial.
- Datos de cuentas, perfiles autorizados y administración contractual.
- Información de soporte, comunicaciones y trazabilidad operativa.
- Datos de facturación y gestión de pagos mediante proveedores especializados.
- Datos técnicos (IP, dispositivo, navegador, eventos de seguridad y acceso).
- Datos de interacción digital para analítica y mejora continua del servicio.
Las finalidades incluyen prestación del servicio, autenticación, seguridad, cumplimiento contractual, prevención de fraude, atención de requerimientos, y cumplimiento de obligaciones legales y regulatorias.
5. Destinatarios y divulgación de datos
La divulgación de datos personales se limita a supuestos necesarios y legítimos, con sujeción a deberes de confidencialidad y seguridad:
- Encargados y proveedores que prestan servicios en nombre de GPIN.
- Compañías vinculadas para finalidades administrativas, operativas o de soporte.
- Autoridades públicas cuando exista mandato legal o requerimiento válido.
- Terceros involucrados en reorganizaciones corporativas, con información previa cuando aplique.
6. Transferencias internacionales
Cuando por razones operativas sea necesario transferir datos a otras jurisdicciones, se implementarán salvaguardas contractuales, técnicas y organizativas adecuadas para garantizar niveles de protección equivalentes a los exigidos por la normativa colombiana.
7. Seguridad de la información e incidentes
Se adoptan medidas de seguridad razonables y proporcionadas para proteger la confidencialidad, integridad y disponibilidad de los datos personales, incluyendo controles de acceso, cifrado, segregación de ambientes y monitoreo.
En caso de incidentes de seguridad, se activarán planes de respuesta, contención y mitigación, así como reportes y notificaciones cuando la ley lo exija o cuando exista riesgo significativo para los titulares.
8. Conservación y supresión
Los datos personales se conservarán durante la vigencia de la relación contractual y, posteriormente, por los términos necesarios para atender obligaciones legales, regulatorias, tributarias, contables o judiciales.
Una vez agotadas las finalidades y plazos aplicables, se procederá a la supresión o anonimización, según corresponda, salvo deber legal de conservación.
9. Derechos de los titulares y procedimiento
El titular podrá ejercer, entre otros, los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales.
- Solicitar prueba de la autorización otorgada.
- Ser informado sobre el uso dado a sus datos.
- Presentar quejas ante la autoridad de control competente.
- Revocar autorización y solicitar supresión cuando proceda.
- Acceder de manera gratuita a sus datos objeto de tratamiento.
- Oponerse al tratamiento para fines de mercadeo directo cuando aplique.
Las consultas y reclamos deberán remitirse a privacidad@gpin.com.co, indicando nombre completo, documento de identidad, petición concreta y canal de respuesta.
- Consultas: hasta diez (10) días hábiles.
- Reclamos: hasta quince (15) días hábiles.
10. Cookies y tecnologías similares
El sitio utiliza cookies y tecnologías equivalentes para funciones esenciales, seguridad, analítica y mejora de experiencia. El titular puede gestionar preferencias de almacenamiento conforme a las opciones disponibles en el navegador y en los mecanismos de configuración del sitio.
11. Tratamiento de datos de menores
El sitio web no se encuentra dirigido a menores de edad. Ante detección de recolección no autorizada de datos de menores, se adoptarán medidas de bloqueo, supresión y gestión conforme a la normativa aplicable.
12. Decisiones automatizadas e inteligencia artificial
Se emplean modelos automatizados para análisis de riesgo, detección de fraude y validación de identidad. Cuando una decisión automatizada produzca efectos jurídicos o impactos significativos y la ley lo requiera, se habilitarán mecanismos de revisión humana y canales de impugnación.
Canal especializado: ia@gpin.com.co
13. Canales de contacto
Sin perjuicio de lo anterior, el titular podrá acudir a la Superintendencia de Industria y Comercio (SIC) para la tutela de sus derechos en materia de protección de datos personales.
Volver al portal