¿Quieres hacer un aporte?
Sé parte de la transformación y descubre cómo tu organización puede sembrar impacto real.
PREÁMBULO
La Fundación Cultivando Saber, entidad sin ánimo de lucro con enfoque educativo, social, tecnológico y humanista, adopta la presente Política de Privacidad y Tratamiento de Datos Personales con el fin de garantizar la protección integral de los datos personales confiados por los titulares y de asegurar el cumplimiento de la legislación colombiana en la materia. Este documento es de obligatorio cumplimiento para todo el personal vinculado, contratistas, voluntarios, aliados y terceros que actúen en nombre de la Fundación.
CAPÍTULO I – DISPOSICIONES GENERALES
Artículo 1. Objeto de la política.
La presente política tiene por objeto establecer los lineamientos, principios y procedimientos aplicables al tratamiento de datos personales por parte de la Fundación Cultivando Saber, en calidad de responsable o encargado, conforme a la Ley 1581 de 2012 y sus normas reglamentarias. Su finalidad es garantizar el respeto, la protección y la autodeterminación informativa de los titulares de los datos personales recolectados, almacenados, usados, transmitidos o suprimidos en el marco de las actividades institucionales.
Artículo 2. Ámbito de aplicación.
Esta política aplica a todos los datos personales tratados por la Fundación Cultivando Saber, tanto en formato físico como digital, incluyendo los recolectados por medios automatizados, electrónicos o tradicionales. Es obligatoria para directivos, trabajadores, contratistas, voluntarios, aliados, socios estratégicos y demás terceros que actúen en nombre o representación de la Fundación.
Artículo 3. Marco normativo.
Esta política se fundamenta principalmente en la Ley 1581 de 2012, el Decreto 1377 de 2013, la Sentencia C-748 de 2011, la Circular Externa 003 de 2015 de la Superintendencia de Industria y Comercio y las demás normas nacionales e
internacionales que regulen la materia. Su interpretación se hará bajo el principio pro persona, conforme al bloque de constitucionalidad y los tratados internacionales ratificados por Colombia en materia de derechos humanos.
Artículo 4. Definiciones.
Para efectos de esta política, se entenderán los siguientes términos conforme a la ley:
a) Datos personales: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
b) Titular: persona natural cuyos datos personales son objeto de tratamiento.
c) Tratamiento: cualquier operación u operaciones sobre datos personales, como la recolección, almacenamiento, uso, circulación o supresión.
d) Responsable del tratamiento: persona natural o jurídica que decide sobre la base de datos y/o el tratamiento.
e) Encargado del tratamiento: persona natural o jurídica que realiza el tratamiento por cuenta del responsable.
f) Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento.
Artículo 5. Principios rectores del tratamiento.
El tratamiento de datos personales por parte de la Fundación se regirá por los siguientes principios:
a) Legalidad: el tratamiento es una actividad regulada y debe sujetarse a la ley.
b) Finalidad: el tratamiento debe obedecer a una finalidad legítima informada al titular.
c) Libertad: solo puede ejercerse con el consentimiento previo, expreso e informado del titular.
d) Veracidad o calidad: la información debe ser veraz, completa, actualizada, comprobable y comprensible.
e) Transparencia: se debe permitir al titular el acceso y conocimiento del tratamiento.
f) Acceso y circulación restringida: sólo se permite a personas autorizadas.
g) Seguridad: se adoptarán medidas técnicas, humanas y administrativas para proteger los datos.
h) Confidencialidad: todas las personas que intervienen en el tratamiento están
obligadas a garantizar la reserva.
Capítulo II – Principios Rectores del Tratamiento de Datos Personales
Artículo 6. Principio de legalidad en el tratamiento.
El tratamiento de datos personales es una actividad reglada que debe realizarse de conformidad con la Constitución Política de Colombia, la Ley 1581 de 2012 y demás disposiciones normativas vigentes. Ningún tratamiento podrá realizarse al margen de lo dispuesto en el ordenamiento jurídico colombiano.
Artículo 7. Principio de finalidad.
Todo tratamiento debe tener una finalidad legítima, clara, expresa e informada al titular, relacionada con las funciones, objetivos o actividades propias de la Fundación Cultivando Saber. El tratamiento posterior con fines distintos a los autorizados está prohibido, salvo autorización adicional del titular.
Artículo 8. Principio de libertad.
El tratamiento sólo puede realizarse con el consentimiento previo, expreso e informado del titular. En ningún caso los datos podrán obtenerse o tratarse mediante engaño, coacción, silencio o inactividad. El consentimiento deberá constar de manera verificable, física o electrónicamente.
Artículo 9. Principio de veracidad o calidad del dato.
La información objeto de tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. La Fundación adoptará medidas razonables para actualizar los datos cuando sea necesario.
Artículo 10. Principio de transparencia.
En todo momento, el titular tiene derecho a obtener información sobre la existencia de datos que le conciernen, así como conocer el tratamiento al que son sometidos. La Fundación garantizará mecanismos eficaces y accesibles para que los titulares ejerzan este derecho de forma oportuna.
Artículo 11. Principio de acceso y circulación restringida.
Los datos personales sólo podrán ser tratados por personas autorizadas por el titular y/o por quienes, en virtud de un mandato legal o contractual, deban conocer la información. En ningún caso los datos podrán hacerse disponibles al público o a terceros no autorizados, salvo consentimiento expreso del titular o mandato legal.
Capítulo III – Finalidad del Tratamiento de Datos Personales
Artículo 12. Finalidad general del tratamiento.
La Fundación Cultivando Saber tratará los datos personales exclusivamente para el cumplimiento de su objeto misional, la ejecución de actividades institucionales, administrativas, pedagógicas, jurídicas, contables, contractuales, sociales, tecnológicas y de gestión, en el marco de su naturaleza como entidad sin ánimo de lucro con enfoque educativo, territorial, ético y digital.
Artículo 13. Finalidades específicas por tipo de titular.
Los datos personales serán tratados, entre otras, para las siguientes finalidades
específicas:
a) Beneficiarios, aprendices y participantes: gestión de procesos educativos, inscripción a programas, seguimiento formativo, certificación de participación, encuestas de satisfacción, comunicaciones académicas y registro en plataformas digitales.
b) Empleados y colaboradores: procesos de selección, vinculación, formación, bienestar laboral, control interno, pagos, seguridad social, cumplimiento de obligaciones legales y comunicaciones institucionales.
c) Proveedores y contratistas: evaluación y selección, verificación de antecedentes, gestión de pagos, cumplimiento contractual y análisis de riesgo.
d) Donantes, aliados y financiadores: verificación de identidad, cumplimiento de requisitos legales, formalización de alianzas y gestión de comunicaciones.
e) Usuarios de canales digitales: atención de solicitudes, personalización de experiencia web, registro estadístico y control de calidad de servicios.
Artículo 14. Datos sensibles y derechos reforzados.
Cuando la Fundación requiera datos sensibles (como orientación sexual, creencias religiosas, estado de salud, origen étnico u otros protegidos), informará expresamente dicha condición y solicitará consentimiento adicional, resaltando el carácter facultativo de su entrega. La recolección se limitará a lo estrictamente necesario para la finalidad autorizada y se protegerá bajo medidas reforzadas de seguridad y confidencialidad.
Artículo 15. Tratamiento de datos de menores de edad.
La Fundación podrá tratar datos personales de niñas, niños y adolescentes únicamente cuando ello responda y respete su interés superior, asegure el ejercicio de sus derechos fundamentales y cuente con la autorización expresa de sus padres, representantes legales o acudientes. Se aplicará un enfoque diferencial y de protección reforzada.
Artículo 16. Actualización, conservación y supresión de datos.
Los datos recolectados serán actualizados oportunamente y conservados solo por el tiempo necesario para cumplir la finalidad que justificó su tratamiento o mientras exista un deber legal o contractual. Finalizado el tratamiento, serán eliminados o anonimizados de manera segura, salvo que deban conservarse por obligación normativa o resolución judicial.
Capítulo IV – Derechos de los Titulares
Artículo 17. Derecho de acceso.
Todo titular tiene derecho a conocer, previa solicitud, si la Fundación Cultivando Saber está tratando sus datos personales, así como el origen, finalidad, uso, actualizaciones y terceros destinatarios cuando aplique. Este derecho se ejercerá de forma gratuita por parte del titular, sus causahabientes o representantes autorizados.
Artículo 18. Derecho de actualización y rectificación.
El titular podrá solicitar la actualización, corrección o modificación de sus datos personales cuando estos sean parciales, inexactos, incompletos, desactualizados o cuando exista una omisión que afecte la veracidad o la finalidad del tratamiento. La Fundación deberá proceder con la corrección en un plazo razonable conforme a la ley.
Artículo 19. Derecho de supresión.
El titular podrá solicitar la supresión (eliminación) de sus datos personales en cualquier momento, siempre que no exista un deber legal o contractual que obligue a su conservación. Este derecho se podrá ejercer, entre otros, cuando: (a) el tratamiento no respete los principios rectores; (b) haya vencido la finalidad del tratamiento; (c) se revoque la autorización o se presente oposición legítima.
Artículo 20. Derecho de oposición.
El titular tiene derecho a oponerse al tratamiento de sus datos personales en situaciones específicas, particularmente cuando este pueda afectar sus derechos fundamentales o no esté debidamente justificado. La Fundación evaluará la solicitud y, de proceder, cesará el tratamiento salvo obligación legal o interés superior documentado.
Artículo 21. Derecho a revocar la autorización.
El titular podrá revocar total o parcialmente la autorización otorgada para el tratamiento de sus datos personales, mediante solicitud expresa. La Fundación procederá a eliminar los datos si no existe impedimento legal o contractual. La revocatoria no tendrá efectos retroactivos.
Artículo 22. Derecho a presentar quejas ante la autoridad de control.
El titular podrá acudir ante la Superintendencia de Industria y Comercio (SIC) para presentar quejas por infracciones a la normativa sobre protección de datos personales, cuando la Fundación no haya atendido adecuadamente sus solicitudes dentro de los términos legales.
Capítulo V – Deberes del Responsable y del Encargado del Tratamiento
Artículo 23. Deber de garantizar al titular el ejercicio pleno y efectivo de sus derechos.
La Fundación Cultivando Saber, en calidad de responsable del tratamiento, garantizará a los titulares el acceso pleno, gratuito, claro y oportuno a sus derechos constitucionales y legales sobre los datos personales tratados.
Artículo 24. Deber de conservar la información bajo condiciones de seguridad.
La Fundación implementará medidas técnicas, administrativas y organizativas razonables y proporcionales para proteger los datos personales contra pérdida, acceso no autorizado, uso indebido, alteración, destrucción o cualquier forma de tratamiento no autorizado, ajustadas según la naturaleza del dato y el riesgo identificado.
Artículo 25. Deber de actualizar la información.
La Fundación está obligada a mantener los datos personales exactos, completos y actualizados. Cuando el titular presente una solicitud de corrección o actualización, el responsable o encargado deberá realizar la modificación dentro del término legal e informar el cambio a terceros a quienes se hayan transferido los datos, cuando sea pertinente.
Artículo 26. Deber de tramitar las consultas y reclamos.
El responsable o encargado del tratamiento deberá atender, tramitar y responder de forma diligente todas las consultas, reclamos, solicitudes de revocatoria o supresión presentadas por los titulares, conforme a los procedimientos y plazos establecidos en la normativa aplicable.
Artículo 27. Deber de reportar a la autoridad de control.
La Fundación deberá informar a la Superintendencia de Industria y Comercio las novedades en las bases de datos registradas y reportar cualquier incidente de seguridad que comprometa los derechos de los titulares, de manera inmediata o dentro del plazo legal. Deberá mantener actualizada la información en el Registro Nacional de Bases de Datos.
Artículo 28. Adopción del Manual Interno de Políticas y Procedimientos.
La Fundación Cultivando Saber ha adoptado oficialmente el Manual Interno de Políticas y Procedimientos sobre Tratamiento de Datos Personales, documento complementario y vinculante que desarrolla operativamente la presente política. Su cumplimiento es obligatorio para todo el personal vinculado, contratistas, voluntarios y aliados. El manual será revisado y actualizado periódicamente para asegurar su adecuación normativa y técnica.
Capítulo VI – Procedimientos para Consultas, Reclamos y Revocatorias
Artículo 29. Derecho a consultar la información personal.
Todo titular tiene derecho a consultar de forma gratuita la información personal que repose en las bases de datos de la Fundación Cultivando Saber. Las consultas deberán dirigirse a los canales oficiales. La Fundación verificará la identidad del solicitante antes de dar respuesta.
Artículo 30. Términos para la atención de consultas.
La consulta será respondida dentro de los diez (10) días hábiles siguientes a su recepción. En caso de no ser posible atender dentro de dicho término, se informará al titular los motivos de la demora y la nueva fecha de respuesta, que no podrá superar cinco (5) días hábiles adicionales.
Artículo 31. Derecho a presentar reclamos.
Cuando el titular considere que la información debe ser corregida, actualizada, suprimida o se evidencie presunto incumplimiento normativo, podrá presentar reclamo. El reclamo deberá incluir identificación del titular, descripción de los hechos, dirección de notificación y documentos que quiera hacer valer.
Artículo 32. Trámite de los reclamos.
Si el reclamo resulta incompleto, se requerirá al interesado dentro de cinco (5) días hábiles para que subsane. Transcurridos dos (2) meses sin corrección, se entenderá desistido. Una vez recibido completo, se incluirá en la base de datos la leyenda ‘reclamo en trámite’ en máximo dos (2) días hábiles. La respuesta se dará en quince (15) días hábiles, prorrogables una vez por cinco (5) días adicionales con justificación expresa.
Artículo 33. Revocatoria de la autorización.
El titular podrá revocar su autorización para el tratamiento de sus datos personales, total o parcialmente, mediante solicitud. La Fundación evaluará si subsisten obligaciones legales o contractuales que impidan la eliminación. Si no existen, se procederá con la revocatoria y supresión dentro de quince (15) días hábiles.
Artículo 34. Reclamos ante la Superintendencia de Industria y Comercio.
Si el titular no recibe respuesta o no está conforme con la decisión adoptada, podrá presentar queja ante la SIC, una vez agotado el procedimiento interno previsto en este capítulo.
Capítulo VII – Uso de Cookies y Tecnologías Similares
Artículo 35. Naturaleza de las cookies.
La Fundación Cultivando Saber utiliza cookies y tecnologías similares (píxeles, etiquetas, scripts u otros identificadores digitales) en su sitio web y plataformas digitales con el propósito de optimizar la experiencia de navegación, garantizar la seguridad informática y obtener estadísticas de uso.
Artículo 36. Clasificación de las cookies utilizadas. Las cookies empleadas por la
Fundación se clasifican así:
a) Cookies necesarias: esenciales para el funcionamiento del sitio y la prestación de servicios solicitados por el usuario.
b) Cookies de rendimiento o estadísticas: recopilan información anónima sobre cómo los usuarios interactúan con el sitio.
c) Cookies de funcionalidad: permiten recordar preferencias del usuario (idioma, región, configuración).
d) Cookies de terceros: utilizadas por herramientas externas para analítica, seguridad o integración de redes sociales (p. ej., Google Analytics, Cloudflare, reCAPTCHA).
Artículo 37. Autorización informada y gestión de cookies.
Antes de habilitar cualquier cookie que no sea estrictamente necesaria, se solicitará el consentimiento informado del usuario mediante un mecanismo claro y explícito (banner o aviso emergente). El usuario podrá aceptar todas, rechazar o configurar su selección, y modificar sus preferencias en cualquier momento.
Artículo 38. Conservación de datos recolectados por cookies.
La información recolectada a través de cookies será tratada conforme a los principios de finalidad, proporcionalidad, seguridad y temporalidad. Los datos no serán utilizados para identificar directamente al usuario salvo autenticación voluntaria. Los registros se conservarán sólo el tiempo necesario para cumplir su finalidad.
Artículo 39. Relación con terceros y transferencia de datos.
La Fundación podrá permitir la instalación de cookies de terceros siempre que estos cumplan estándares adecuados de protección de datos y mantengan políticas visibles al usuario. La transferencia internacional derivada del uso de estas tecnologías se regirá por el Capítulo VIII de esta política.
Artículo 40. Exclusión voluntaria y configuración del navegador.
El usuario podrá rechazar o eliminar cookies mediante la configuración de su navegador, aunque ello podría afectar la funcionalidad o experiencia del sitio. La Fundación no se responsabiliza por limitaciones derivadas de la desactivación de tecnologías esenciales para el funcionamiento seguro de sus plataformas.
Capítulo VIII – Transferencia y Transmisión Internacional de Datos Personales
Artículo 41. Definiciones aplicables.
Para efectos de este capítulo se entenderá:
a) Transferencia internacional: envío de datos personales desde Colombia hacia otro país cuando el receptor actúa como responsable del tratamiento.
b) Transmisión internacional: envío de datos personales desde Colombia hacia otro país cuando el receptor actúa como encargado y trata los datos por cuenta del responsable.
Artículo 42. Prohibición general y excepciones.
Como regla general, está prohibida la transferencia internacional de datos personales a países que no proporcionen niveles adecuados de protección. Se exceptúa cuando: el titular ha otorgado autorización expresa; existe convenio de protección; la transferencia es necesaria para la ejecución de un contrato con el titular; se trate de datos públicos; exista decisión de adecuación de la SIC; o medie autorización expresa de la autoridad.
Artículo 43. Transmisión internacional con encargados externos.
La Fundación podrá transmitir datos personales a proveedores o plataformas ubicadas fuera del país siempre que se suscriba contrato de transmisión, el encargado actúa bajo instrucciones de la Fundación, se aseguren niveles adecuados de seguridad y confidencialidad, y se respete la finalidad autorizada por el titular.
Artículo 44. Plataformas digitales y servicios en la nube.
Cuando se utilicen servicios en la nube, herramientas de gestión de correos, CRMs, almacenamiento u otros sistemas tecnológicos con sede fuera de Colombia, se deberá validar la política de privacidad del proveedor, garantizar tratamiento bajo encargo documentado, evitar reutilización no autorizada y notificar a los titulares cuando corresponda.
Artículo 45. Registro y trazabilidad de transferencias.
Toda transmisión o transferencia internacional deberá documentarse con: país receptor, base legal, finalidad, tipo de datos enviados, tiempo de conservación y medidas de seguridad empleadas.
Capítulo IX – Régimen Aplicable a Datos Sensibles y de Niños, Niñas y Adolescentes
Artículo 46. Tratamiento de datos sensibles.
Se consideran datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido podría generar discriminación (salud, origen étnico, orientación política o religiosa, pertenencia sindical, datos biométricos, información genética, entre otros). La Fundación se abstendrá de recolectarlos salvo autorización explícita, obligación legal o necesidad para garantizar un derecho fundamental.
Artículo 47. Condiciones para el tratamiento de datos sensibles.
Cuando el tratamiento de datos sensibles sea estrictamente necesario, se deberá informar al titular que no está obligado a suministrarlos, indicar el uso específico, adoptar medidas reforzadas de seguridad y registrar el consentimiento expreso y verificable.
Artículo 48. Tratamiento de datos de niños, niñas y adolescentes.
La Fundación sólo tratará datos de menores cuando responda al interés superior del menor, respete sus derechos fundamentales y cuente con autorización expresa de padres, tutores o representantes legales.
Artículo 49. Prohibiciones específicas.
Queda prohibido recolectar o tratar datos de menores con fines comerciales o de perfilamiento; publicar datos sensibles de menores sin protección; o utilizar imágenes o voces de menores sin consentimiento legal documentado.
Artículo 50. Enfoque humanista y precautorio.
La Fundación aplicará el principio de prevención reforzada, evitando tratamientos que puedan poner en riesgo la intimidad, dignidad o integridad física, psíquica, emocional o social de menores o poblaciones vulnerables.
Capítulo X – Gestión de Incidentes de Seguridad y Respuesta ante Fugas de Datos
Artículo 51. Definición de incidente de seguridad.
Se considera incidente de seguridad cualquier evento que comprometa, de forma real o potencial, la confidencialidad, integridad o disponibilidad de los datos personales tratados por la Fundación, incluyendo acceso no autorizado, fuga de información, pérdida de dispositivos, ataques cibernéticos o divulgación accidental.
Artículo 52. Obligación de reporte inmediato.
Todo funcionario, proveedor o tercero que identifique un incidente real o potencial deberá reportarlo de inmediato al Responsable de Cumplimiento o al canal oficial definido, describiendo fecha, naturaleza del incidente, sistemas afectados y personas involucradas.
Artículo 53. Gestión interna y contención del incidente.
Una vez notificado el incidente, la Fundación activará el protocolo interno de gestión: aislamiento del sistema, evaluación del alcance, documentación cronológica, activación del comité de seguridad y comunicación interna, incluida la notificación a titulares cuando corresponda.
Artículo 54. Notificación a la SIC y a los titulares.
Cuando el incidente representa riesgo significativo para los derechos de los titulares, la Fundación notificará a la Superintendencia de Industria y Comercio dentro del término legal (máximo 15 días
hábiles) e informará a los titulares afectados sin dilaciones injustificadas, indicando medidas adoptadas y recomendaciones.
Artículo 55. Mejora continua y evaluación posterior.
Todo incidente será objeto de análisis posterior para identificar causas, implementar acciones correctivas y actualizar controles de seguridad. La Fundación aplicará un enfoque de mejora continua en su sistema de protección de datos.
La presente Política de Privacidad y Tratamiento de Datos Personales fue aprobada por la Fundación Cultivando Saber en la fecha indicada en el encabezado y entra en vigencia desde su adopción formal. Cualquier actualización será publicada por los canales institucionales correspondientes.