Política de Privacidad

1. Objeto

La presente Política tiene por objeto establecer los lineamientos que aplica Aguayo para el tratamiento y protección de los datos personales contenidos en bases de datos que le son suministradas por sus clientes (en adelante, los “Clientes”), en el marco de proyectos de consultoría en UX, marketing y tecnología.

Esta Política se adopta en cumplimiento de la Ley 1581 de 2012, sus decretos reglamentarios y demás normas que la modifiquen o complementen, y desarrolla los deberes de Aguayo cuando actúa como Encargado del Tratamiento por cuenta de sus Clientes, quienes actúan como Responsables del Tratamiento. Función Pública+1

2. Ámbito de aplicación

Esta Política aplica a:

• Toda información personal incluida en bases de datos que los Clientes entregan a Aguayo para la ejecución de proyectos.
  
• Todos los empleados, contratistas y aliados de Aguayo que, por razón de sus funciones, tengan acceso a dichas bases de datos.
  
• Toda infraestructura tecnológica utilizada por Aguayo, incluyendo pero sin limitarse a Google Workspace / Google Drive Business.
  
  

No aplica a las bases de datos propias de Aguayo (empleados, prospectos comerciales, etc.), que se rigen por una Política de Tratamiento independiente.

3. Definiciones básicas

Para efectos de esta Política se adoptan, entre otras, las siguientes definiciones (según la Ley 1581):Función Pública+1

• Dato personal: Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
  
• Dato sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación (por ejemplo, salud, orientación sexual, datos biométricos, etc.).
  
• Titular: Persona natural cuyos datos personales son objeto de Tratamiento.
  
• Tratamiento: Cualquier operación sobre datos personales, como recolección, almacenamiento, uso, circulación o supresión.
  
• Responsable del Tratamiento: Cliente que decide sobre la base de datos y la finalidad de su tratamiento.
  
• Encargado del Tratamiento: Aguayo, que trata los datos personales por cuenta del Responsable.
  
• Transmisión internacional: Tratamiento de datos que implica su comunicación a un Encargado ubicado fuera de Colombia.
  
  

4. Principios aplicables

Aguayo garantiza que el Tratamiento de los datos personales se realizará conforme a los principios previstos en la Ley 1581, entre ellos:Función Pública+1

• Legalidad
  
• Finalidad
  
• Libertad
  
• Veracidad o calidad
  
• Transparencia
  
• Acceso y circulación restringida
  
• Seguridad
  
• Confidencialidad
  
  

Todos los procesos internos y herramientas (incluido Google Drive Business) se configuran para respetar estos principios.

5. Roles y responsabilidades

5.1 Cliente como Responsable del Tratamiento

El Cliente es responsable de:

• Definir las finalidades del Tratamiento y el tipo de información que entregará a Aguayo.
  
• Obtener las autorizaciones previas, expresas e informadas de los Titulares cuando la ley así lo exija.Función Pública
  
• Informar a los Titulares sobre la posibilidad de que sus datos sean tratados por Encargados como Aguayo y por proveedores tecnológicos (p. ej., Google) para fines de almacenamiento y soporte.
  
• Atender las consultas y reclamos de los Titulares, con el apoyo de Aguayo cuando el asunto involucre el tratamiento efectuado en sus sistemas.
  
  

5.2 Aguayo como Encargado del Tratamiento

Aguayo:

• Solo trata los datos personales conforme a las instrucciones documentadas del Cliente.
  
• No utiliza los datos para fines propios (marketing, prospección, venta a terceros, etc.).
  
• Implementa medidas técnicas, humanas y administrativas para proteger la información.Función Pública+1
  
• Apoya al Cliente en la atención de consultas y reclamos de los Titulares relacionados con el Tratamiento efectuado en sus plataformas.
  
  

6. Finalidades del tratamiento

Los datos personales suministrados por los Clientes serán tratados por Aguayo únicamente para:

• Diseñar, ejecutar y analizar investigaciones de usuarios (entrevistas, encuestas, tests de usabilidad, etc.).
  
• Construir y analizar journeys, segmentaciones, arquetipos y modelos de comportamiento.
  
• Desarrollar y probar prototipos, interfaces y experiencias digitales.
  
• Elaborar informes, dashboards y entregables de consultoría.
  
• Cumplir obligaciones contractuales y legales derivadas del servicio prestado.
  
  

En ningún caso Aguayo usará estas bases para enviar comunicaciones comerciales en nombre propio, salvo instrucciones escritas del Cliente que respeten la normativa aplicable.

7. Derechos de los Titulares y canales de contacto

Los Titulares de los datos personales tienen, entre otros, los siguientes derechos:Función Pública+1

• Conocer, actualizar y rectificar sus datos.
  
• Solicitar prueba de la autorización otorgada al Responsable.
  
• Ser informados sobre el uso que se da a sus datos.
  
• Presentar reclamos y solicitar la supresión de sus datos cuando corresponda.
  
• Revocar la autorización en los casos previstos en la ley.
  
  

Canal para el ejercicio de derechos relacionados con el tratamiento realizado por Aguayo:

• Correo electrónico: [[email protected]] (sugerido, puedes cambiar la dirección).
  

Cuando un Titular contacte directamente a Aguayo, éste:

• Verificará su identidad.
  
• Trasladará la solicitud al Cliente (Responsable) y lo apoyará con la información y registros necesarios para responder en los plazos de ley (10 días para consultas, 15 para reclamos, prorrogables en los términos legales).Función Pública+1
  
  

8. Uso de Google Drive Business y otros proveedores

Aguayo utiliza Google Workspace / Google Drive Business como plataforma principal para el almacenamiento y colaboración en proyectos, bajo las siguientes condiciones.

• Cifrado y seguridad técnica
  
  • Los datos se transfieren utilizando canales cifrados (HTTPS/TLS).
    
  • Google almacena la información cifrada en reposo en sus centros de datos.mincit.gov.co+1
    
    
• Carpetas/Unidades exclusivas para datos sensibles
  
  • Para bases de datos que contengan datos sensibles o información de alto riesgo, Aguayo creará unidades o carpetas exclusivas dentro de Google Drive Business.
    
  • Solo tendrán acceso las personas estrictamente necesarias para el proyecto, asignadas por rol (p. ej., equipo de investigación, analistas de datos).
    
    
• Accesos restringidos y trazabilidad
  
  • Accesos gestionados mediante cuentas corporativas de Aguayo con autenticación segura.
    
  • Se registran y supervisan los accesos y modificaciones a archivos críticos en la medida que la plataforma lo permita.
    
    
• Transmisión internacional de datos personales
  
  • El uso de Google, cuyos centros de datos pueden estar fuera de Colombia, se considera una transmisión internacional de datos personales hacia un Encargado (subencargado).Función Pública+1
    
  • Dicha transmisión se realiza para prestar servicios de almacenamiento, backup y colaboración, bajo los términos de protección de datos y seguridad ofrecidos por Google Workspace, que forman parte del contrato entre Aguayo y Google.
    
  • Aguayo solo realiza esta transmisión cuando el Cliente lo autoriza en el contrato o en acuerdos complementarios.
    
    

9. Medidas de seguridad

Aguayo implementa medidas técnicas, humanas y administrativas proporcionales al riesgo asociado a cada proyecto, entre ellas:

• Medidas técnicas
  
  • Uso de Google Drive Business con control centralizado de accesos y cifrado en tránsito y en reposo.
    
  • Prohibición de descargar bases de datos a dispositivos personales sin autorización expresa.
    
  • Prohibición de envío de bases de datos sensibles por correo electrónico estándar sin cifrado.
    
  • Segmentación de la información en carpetas/unidades exclusivas para datos sensibles.
    
    
• Medidas humanas
  
  • Suscripción de acuerdos de confidencialidad adicionales por parte de los empleados y contratistas que acceden a datos personales de los Clientes.
    
  • Cláusulas contractuales específicas sobre confidencialidad y protección de datos personales.
    
  • Capacitaciones periódicas sobre manejo seguro de información y Ley 1581.
    
    
• Medidas administrativas y organizativas
  
  • Definición de perfiles de acceso por rol de proyecto.
    
  • Procedimientos para recepción, almacenamiento, uso, anonimización (cuando aplique) y destrucción de bases de datos.
    
  • Revisión periódica de accesos a carpetas con datos sensibles.
    
    

10. Tratamiento de datos sensibles y de niños, niñas y adolescentes

10.1 Datos sensibles

• Aguayo recomienda al Cliente evitar el suministro de datos sensibles cuando no sean indispensables para los fines del proyecto.
  
• Si el Cliente decide suministrarlos, deberá garantizar que cuenta con autorizaciones reforzadas de los Titulares, cuando la ley lo exija.esdegue.edu.co+1
  
• Aguayo tratará estos datos únicamente para los fines definidos por el Cliente y bajo mayores controles de acceso y seguridad (carpetas exclusivas, personal mínimo autorizado, etc.).
  
  

10.2 Datos de niños, niñas y adolescentes

• Como regla general, Aguayo no solicita ni busca tratar datos personales de niños, niñas y adolescentes.
  
• Si el Cliente suministra dichos datos, deberá garantizar que el tratamiento responde al interés superior del menor y al respeto de sus derechos fundamentales, y que cuenta con la autorización de sus representantes legales cuando corresponda.esdegue.edu.co+1
  
• Aguayo aplicará controles reforzados similares a los de datos sensibles.
  
  

11. Conservación y destrucción de la información

• Los datos personales suministrados por el Cliente se conservarán únicamente durante el tiempo necesario para:
  1. Ejecutar el proyecto y
     
  2. Cumplir con obligaciones contractuales, contables o legales aplicables.mincit.gov.co+1
     

• A la terminación del contrato, o cuando el Cliente lo solicite por escrito, Aguayo se compromete a:
  
  1. Eliminar o anonimizar las bases de datos alojadas en Google Drive Business relacionadas con el proyecto.
     
  2. Eliminar las carpetas/unidades exclusivas del Cliente que contengan datos personales, incluida la papelera asociada.
     
  3. Informar al Cliente, por escrito, la fecha en que se realizó la destrucción o anonimización.
     

• Pueden conservarse copias mínimas cuando sea estrictamente necesario para el cumplimiento de obligaciones legales (p. ej., defensa judicial), lo que se comunicará al Cliente.
  

12. Incidentes de seguridad

En caso de eventos que comprometan o puedan comprometer la confidencialidad, integridad o disponibilidad de los datos personales (p. ej., accesos no autorizados, pérdida de información):

1. Aguayo activará su procedimiento interno de gestión de incidentes, que incluye contención, análisis y remediación.
   
2. Aguayo informará al Cliente en un plazo razonable, suministrando la información disponible sobre el incidente y las medidas adoptadas.
   
3. Aguayo apoyará al Cliente en la evaluación de la necesidad de informar a la Superintendencia de Industria y Comercio y/o a los Titulares, de acuerdo con la normativa aplicable.supersociedades.gov.co+1
   
   

13. Oficial o responsable interno de protección de datos en Aguayo

Aguayo designará un responsable interno (cargo o área) para la coordinación del cumplimiento de esta Política y de la normativa de protección de datos personales.

Datos de contacto sugeridos:

• Cargo/área: Responsable de Protección de Datos Personales – Aguayo
  
• Correo: [email protected]
  
  

Este responsable será el punto de contacto para los Clientes y para canalizar solicitudes de Titulares relacionadas con el tratamiento efectuado por Aguayo.

14. Vigencia y actualización

La presente Política entra en vigencia a partir de su aprobación y publicación por parte de Aguayo y será revisada y actualizada cuando se presenten cambios normativos, en los procesos internos o en los servicios de los proveedores tecnológicos utilizados (incluido Google Workspace).