Política de privacidad y Tratamiento de datos personales
Última actualización: 01/11/2020
Versión: 29 de octubre de 2020
INTRODUCCIÓN
Suramericana en desarrollo de sus principios: responsabilidad, respeto, transparencia y equidad, determinan la información de sus empleados, clientes y proveedores como uno de los activos más importantes; por lo tanto, declara la importancia de realizar un adecuado tratamiento de su información, acogiéndose al marco normativo que lo regula en cada uno de los países donde tiene presencia.
Fecha de entrada en vigencia:
1 de noviembre de 2020
Fecha de actualización:
29 de octubre de 2020
ALCANCE
La presente política de privacidad es un documento vinculante para Suramericana SA en calidad de responsable de los datos a tratar, así como para las filiales, subsidiarias y vinculadas económicamente con Suramericana SA en Colombia y el exterior, que actúan como encargadas del tratamiento de datos, como son: Seguros Generales Suramericana S.A, Seguros de Vida Suramericana S.A, EPS Suramericana S.A., Servicios de salud IPS Suramericana S.A.S., Consultoría en Gestión de Riesgos Suramericana S.A.S, Diagnóstico y Asistencia Médica S.A.S., Operaciones Generales Suramericana S.A.S. Inversiones Suramericana Colombia S.A.S. y Servicios Generales Suramericana S.A.S, entre otras de la región, en adelante LAS COMPAÑÍAS.
Con el ánimo de garantizar mayor transparencia al Titular y para evitar posibles confusiones, se ha designado a Suramericana S.A. como único responsable del tratamiento ante el cual pueda dirigirse, ya que todas las compañías de Sura Colombia comparten una misma marca.
Datos del responsable: Suramericana S.A, con domicilio principal en la ciudad de Medellín, en la calle 49B N.º 63-21, piso 1, comunicación a través de la línea de atención al cliente 437 88 88 desde Medellín, Bogotá y Cali, o al 01 8000 51 888 en el resto del país, o al correo electrónico protecciondedatos@suramericana.com.co .
Información que recolectamos y almacenamos de nuestros clientes: dependiendo de la relación que el titular tenga con LAS COMPAÑÍAS, la información que se recopila o almacena puede incluir lo siguiente:
- Datos públicos: es el dato que no sea privado o sensible. Por ejemplo: número y tipo de documento de identidad, información contenida en documentos públicos, estado civil, oficio o profesión, teléfono y correo electrónico corporativos.
- Datos privados: son aquellos que por su naturaleza íntima o reservada sólo son relevantes para el titular. Por ejemplo: nivel de ingresos, datos financieros, capacidad de endeudamiento, patrimonio bruto, personas a cargo, composición del grupo familiar, hobbies o aficiones, bienes que posee, información laboral, preferencias en redes sociales, hábitos de conducción, hábitos de consumo, así como datos de contacto como dirección, teléfono y correo electrónico personal.
- Datos sensibles: categoría de datos personales que se reducen a la categoría más íntima y sensible de su titular, cuyo tratamiento inadecuado, puede conllevar a la discriminación y/o al sufrimiento de un perjuicio grave y de difícil reparación. Por ejemplo: datos biométricos e historia clínica o datos relacionados con la salud en general.
LINEAMIENTOS GENERALES
Tratamiento al cual serán sometidos los datos personales: LAS COMPAÑÍAS usarán la información personal de sus clientes para los fines autorizados e informados al titular y aquellos señalados en la presente política, siempre que el tratamiento obedezca a un fin legítimo y sea proporcional de acuerdo a la vinculación del cliente, particularmente para lo que resulte necesario para la prestación de los servicios encargados, como ejecutar y cumplir el contrato. La autorización de tratamiento de datos sensibles es facultativa.
Finalidades con las cuales serán tratados los datos: con el objetivo de obtener un mejor servicio para empleados, clientes o proveedores, autoriza a Suramericana S.A., en calidad de responsable, así como a LAS COMPAÑÍAS, en calidad de encargadas, a tratar sus datos, incluso los biométricos o de salud, que son sensibles, pudiendo o no utilizar computación en la nube, para las siguientes actividades:
Finalidades inherentes al objeto contractual o autorizadas por normatividad.
- Compartir información con aliados estratégicos, reaseguradores e intermediarios de seguros para la contratación de productos y servicios, gestión de riesgos, atención de reclamaciones y gestión comercial.
- Compartir y consultar datos del comportamiento crediticio y financiero con centrales de información y riesgos, aseguradoras y prestadores para prevenir, controlar fraudes y seleccionar riesgos.
- Consultar y obtener copia de la historia clínica o datos clínicos, que son datos sensibles, con la finalidad de evaluar y suscribir las pólizas, así como gestionar los riesgos que puedan afectar la salud, bienestar y calidad de vida, y el desempeño ocupacional.(*Esta finalidad aplica sólo para el uso de soluciones de salud y vida contratadas con LAS COMPAÑÍAS.)(Esta finalidad aplica sólo para el uso de soluciones de salud y vida contratadas con LAS COMPAÑÍAS).
- Transmitir y/o transferir datos personales con la finalidad de atraer, valorar, fidelizar, captar y/o estudiar comportamientos del mercado y de atención al cliente; así como para la ejecución de aquellos contratos que sean necesarios para soportar la operación de LAS COMPAÑÍAS y/o el logro de la estrategia corporativa.
- Prestar el servicio de salud y realizar auditoría de calidad y cuentas médicas, integrando la información clínica disponible en distintos prestadores.(*Esta finalidad aplica sólo para el uso de soluciones de salud y vida contratadas con LAS COMPAÑÍAS.)
- Realizar investigaciones científicas, comprometiéndose a divulgar los resultados de forma anónima.
- Tratar los datos para la atención de cualquier reclamación que se efectúe sobre el producto contratado o atención proactiva del mismo, así como para realizar el cobro de primas o aportes adeudados.
- Compartir información con los prestadores o proveedores autorizados por LAS COMPAÑÍAS, para la coordinación de un servicio o solicitud, con las limitaciones y reglas de la presente política.
- Facilitar el conocimiento integral y elaboración de propuestas de valor a partir del uso de bases de datos que contengan tanto datos privados como sensibles.
- Realizar evaluaciones sobre la calidad de los productos y servicios ofrecidos por LAS COMPAÑÍAS
- Ejercer la defensa de LAS COMPAÑÍAS en procesos judiciales que se adelanten contra ellas.
Finalidades inherentes al funcionamiento de LAS COMPAÑÍAS
- Tratar los datos de colaboradores, empleados o aspirantes para efecto de su vinculación con LAS COMPAÑÍAS, el desempeño de sus funciones o la prestación de sus servicios, el retiro o su terminación. Este tratamiento incluye, entre otros: proceso de selección y actividades vinculantes, planes de desarrollo, reconocimiento y pago de beneficios legales y extralegales, comunicaciones internas y externas, procesamiento de información en diferentes aplicativos tecnológicos instalados en servidores de la compañía o en la nube, compensación.
- Realizar los pagos y afiliaciones al Sistema General de Seguridad Social Integral de los colaboradores.
- Tratar datos de salud por parte del área de Seguridad y Salud en el Trabajo de LAS COMPAÑÍAS, para prevenir enfermedades o accidentes de origen laboral, y monitorear las actividades propias del Sistema de Gestión de Seguridad y Salud en el Trabajo.
- Tratar los datos para la vigilancia y seguridad de las personas, los bienes e instalaciones de LAS COMPAÑÍAS, pudiendo desarrollarse a través de captura de imágenes en sistemas de video vigilancia y utilizar dicha información en diferentes procesos y procedimientos laborales y administrativos, tales como, investigación para fraudes, prevención del mismo y/o procesos disciplinarios y sancionatarios.
Otras finalidades:
- Entregar o recibir información con entidades como FASECOLDA, INVERFAS, ACEMI u otras, con la finalidad de adelantar actividades y proyectos del sector asegurador y de salud.
- Ser contactado para la entrega de ofertas comerciales e información publicitaria.
- Estudiar el comportamiento digital (redes sociales, páginas web, aplicaciones), para realizar una asesoría integral de productos y servicios, y elaborar un perfilamiento de los intereses y hábitos de consumo.
- Obtener datos sobre la conducción y movilidad para el desarrollo y contratación de productos y servicios, gestión de riesgos, atención de reclamaciones y gestión comercial.
- Ser contactado para la entrega de información académica, de actualidad normativa, para la prestación de servicios de gestión de la regulación, y para la invitación a eventos y programas académicos patrocinados por LAS COMPAÑIAS o sus aliados estratégicos.
Derechos de los titulares: de acuerdo con lo establecido en la Ley 1581 de 2012, los titulares tienen derecho a autorizar el tratamiento de sus datos personales, revocar la autorización, conocer los datos que son tratados, actualizarlos, rectificarlos cuando se considere que existe deficiencia en su calidad, y finalmente solicitar la supresión de datos siempre y cuando no exista una obligación legal o contractual de continuar con el tratamiento (artículo 2.2.2.25.2.8 Decreto 1074 de 2015), por ejemplo en el caso de las finalidades que son inherentes al objeto contratado y sin las cuales no es posible su ejecución o las inherentes al funcionamiento de LAS COMPAÑÍAS.
Ejercicio de los derechos sobre los datos personales: los titulares de la información podrán ejercer sus derechos en cualquier tiempo, para lo cual podrán comunicarse con la línea de atención al cliente 437 88 88 desde Medellín, Bogotá y Cali, o al 01 8000 51 888 en el resto del país, enviar un correo electrónico a protecciondedatos@suramericana.com.coo establecer contacto con LAS COMPAÑÍAS a través de los distintos medios que estas tienen dispuestos para tal fin, tales como sitio web, redes sociales y oficinas de atención al cliente.
Principios generales que se acogen para garantizar la protección de los datos personales de los clientes de LAS COMPAÑÍAS: dentro del compromiso legal y corporativo de LAS COMPAÑÍAS para garantizar la confidencialidad de la información personal de sus clientes, se establecen como principios generales para el tratamiento de la información, en desarrollo de los ya presentes en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074 de 2015, y demás normas aplicables, los siguientes:
- Principio de legalidad: no habrá tratamiento de información personal de los clientes sin observar las reglas establecidas en la normatividad vigente.
- Principio de finalidad: la incorporación de datos a las bases físicas o digitales de LAS COMPAÑÍAS deberá obedecer a una finalidad legítima, la cual será oportunamente informada al titular en la cláusula de autorización para el tratamiento y en la política de privacidad.
- Principio de libertad: LAS COMPAÑÍAS realizarán tratamiento de datos personales de sus clientes cuando cuenten con la autorización de estos o cuando por norma exista una facultad para hacerlo, en los términos del art. 3° literal a) y 6° literal a) de la Ley 1581 del 2012, así como la sección II del capítulo 25 del Decreto 1074 de 2015.
- Principio de veracidad y calidad: LAS COMPAÑÍAS propenderán porque la información de sus clientes sea veraz y se encuentre actualizada, para lo cual dispondrá de medios eficientes para la actualización y rectificación de los datos personales.
- Principio de transparencia: dentro de los mecanismos que se establezcan para el ejercicio de los derechos de los titulares de la información personal, se garantizará al titular y a sus causahabientes, así como a los terceros autorizados por este, el acceso a la información sobre datos personales que le conciernan.
- Principio de acceso y circulación restringida: LAS COMPAÑÍAS se comprometen a garantizar que únicamente personas autorizadas podrán acceder a la información personal. Asimismo, su circulación se limitará al ejercicio de las finalidades autorizadas por el usuario o por la normatividad. LAS COMPAÑÍAS dispondrán de medios contractuales para garantizar la confidencialidad y circulación restringida de la información.
- Principio de seguridad: LAS COMPAÑÍAS adelantarán todas las medidas técnicas, administrativas y humanas para garantizar que la información personal de los titulares, almacenada en bases de datos físicas o digitales, no circule o personas no autorizadas accedan a ella.
- Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.
Entrega de información personal a proveedores de servicios: es posible que para cumplir con la relación contractual que LAS COMPAÑÍAS sostengan con el titular de la información, esta sea entregada o compartida con proveedores para las finalidades autorizadas por el titular o las previstas en la ley, tales como ajustadores de siniestros, investigadores, instituciones, profesionales de la salud, call centers, distribuidores y profesionales en prevención, intermediarios de seguros y personas naturales o jurídicas que presten servicios profesionales para efectuar estadísticas, cálculos actuariales, desarrollo de software y cualquier otra actividad para llevar a cabo el objeto social de LAS COMPAÑÍAS y prestar correctamente la atención. Siempre que su información sea entregada o compartida con proveedores, LAS COMPAÑÍAS se asegurarán de establecer unas condiciones que vinculen al proveedor a las políticas de privacidad y seguridad de la información de estas de tal forma que la información personal de los titulares se encuentre protegida. Asimismo, se establecerán acuerdos de confidencialidad para el manejo de la información y obligaciones responsable-encargado cuando el tipo de entrega lo amerite.
Vigencia del tratamiento de los datos: la información suministrada por los titulares permanecerá almacenada por el tiempo que sea determinado por el titular o que sea indicado por ley para el cumplimiento de los fines para los cuales fue incorporada.
Modificaciones a la política de privacidad y tratamiento de datos personales: LAS COMPAÑÍAS se reservan el derecho de modificar las normas de confidencialidad y protección de datos con el fin de adaptarlas a nuevos requerimientos de tipo legal, jurisprudencial, técnico y, en general, cuando sea necesario para prestar un mejor servicio.
Aceptación de esta política de privacidad: el titular de la información acepta el tratamiento de sus datos personales, conforme con los términos de esta política de privacidad, cuando proporciona los datos a través de nuestros canales o puntos de atención y cuando compra, adquiere, se afilia o usa cualquiera de nuestros productos o servicios.
GOBERNABILIDAD
La aprobación de la presente política está a cargo de la Junta Directiva, o el máximo órgano social, según corresponda, de LAS COMPAÑÍAS y cualquier modificación deberá ser aprobada por estos mismos órganos.
El oficial de datos de LAS COMPAÑÍAS o quien haga sus veces será la instancia responsable del gobierno y la aplicación de esta política.
INSTANCIAS DE DECISIÓN
Las instancias de decisión en materia de protección de datos personales estarán bajo las definiciones del oficial de datos de LAS COMPAÑÍAS o quiÉn haga sus veces, el reglamento de trabajo y la normatividad vigente aplicable.
DIVULGACIÓN
La presente política será vinculante y deberá ser publicada a todos los grupos de interés, dentro de los sitios definidos por LAS COMPAÑÍAS.
El oficial de datos de LAS COMPAÑÍAS o quién haga sus veces será el responsable de la administración de esta política y en esa medida gestionará con las áreas involucradas su divulgación, cumplimiento y actualización.