Introducción

La Institución Zoraida Cadavid de Sierra (en adelante, “la Institución”) está La Institución Zoraida Cadavid de Sierra (en adelante, “la Institución”) está comprometida con la protección de los datos personales de todas las personas que atiende, incluyendo estudiantes, padres de familia, acudientes, empleados, proveedores, jóvenes, niños, familias, aliados y demás usuarios de sus programas sociales, educativos, laborales o de emprendimiento. Esta política de tratamiento de datos personales se elabora en cumplimiento de la legislación colombiana vigente, en especial la Ley Estatutaria 1581 de 2012 y sus decretos reglamentarios (Decreto 1377 de 2013, Decreto 1081 de 2015), la Ley 1266 de 2008, la Ley 2300 de 2023 y demás normas aplicables.

El objetivo de esta política es informar de manera clara, sencilla y transparente cómo la Institución recolecta, usa, almacena, circula y protege los datos personales que obtiene en el desarrollo de sus funciones misionales, educativas, sociales y administrativas. Asimismo, describe los derechos de los titulares de los datos y los procedimientos para ejercerlos, conforme a la normatividad vigente. La Institución adopta buenas prácticas de protección de datos personales, garantizando la privacidad y seguridad de la información conforme a los principios legales.

Responsable del Tratamiento: La responsable del tratamiento de los datos personales es la Institución Zoraida Cadavid de Sierra, identificada con NIT 860.007.399-5, con domicilio en Calle 4 No. 5-21, Madrid, Cundinamarca, Colombia​, o en cualquiera de sus sedes. Para efectos de la presente política, la Institución podrá ser contactada por los titulares de datos en el correo electrónico datospersonales@institucionzoraida.edu.co o en la dirección física mencionada, en días hábiles y horario de oficina.

Definiciones Clave

Para facilitar la comprensión de esta política, es importante aclarar algunos conceptos básicos según la Ley 1581 de 2012 y normas relacionadas:

• Dato Personal: Cualquier información que permita identificar o hacer identificable a una persona natural (por ejemplo, nombre, número de identificación, dirección, teléfono, correo electrónico, fotografía, entre otros datos).
• Dato Sensible: Información personal que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, como aquellos datos que revelan el origen étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos u organizaciones sociales, datos sobre salud, vida sexual y datos biométricos (ej. huella digital, foto)​. Estos datos tienen especial protección legal.
• Titular: Es la persona natural a quien corresponden los datos personales que reposan en una base de datos. Por ejemplo, el estudiante, padre de familia, docente, usuario de programas o proveedor cuyos datos tenemos.
• Tratamiento: Cualquier operación sobre datos personales, como la recolección, almacenamiento, uso, circulación o supresión de los mismos​.
• Responsable del Tratamiento: Persona (jurídica o natural) que decide sobre la base de datos y el tratamiento de los datos (en este caso, la Institución)​.
• Encargado del Tratamiento: Persona (jurídica o natural) que realiza el tratamiento de datos por cuenta del responsable. Por ejemplo, un proveedor que almacena datos por encargo de la Institución.
• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de sus datos personales. La autorización del titular es en general requerida para cualquier uso de sus datos, salvo excepciones legales específicas.
• Aviso de Privacidad: Comunicación verbal o escrita dirigida al titular de los datos que le informa sobre la existencia de la política de tratamiento de datos de la Institución y las finalidades del tratamiento que se dará a sus datos.

Principios para el Tratamiento de Datos Personales

La Institución se compromete a tratar los datos personales siguiendo los principios rectores establecidos en la Ley 1581 de 2012​, los cuales garantizan un manejo adecuado y lícito de la información:

• Principio de Legalidad: El tratamiento de datos es una actividad reglada y se hará conforme a lo establecido en las leyes colombianas aplicables​. No realizaremos tratamiento de datos personales contrario a la ley.
• Principio de Finalidad: Los datos personales sólo se recolectan y usan para finalidades legítimas, previamente informadas al titular. Esto significa que cada dato que solicitamos tiene una finalidad concreta, relacionada con nuestra misión educativa o las actividades administrativas de la Institución​.
• Principio de Libertad: Ningún dato personal será obtenido o divulgado sin consentimiento previo, expreso e informado del titular, o sin una autorización legal o judicial que lo permita. El suministro de datos personales a la Institución es voluntario y el titular tiene derecho a no autorizar su tratamiento en casos no obligatorios.
• Principio de Veracidad o Calidad: La información personal deberá ser veraz, completa, exacta, actualizada y comprensible. La Institución procurará mantener los datos al día y corregir oportunamente cualquier dato incorrecto o incompleto.
• Principio de Transparencia: Garantizamos al titular su derecho a obtener información sobre la existencia de sus datos y el tratamiento que les damos, en cualquier momento y sin restricciones. Ningún dato personal del titular será ocultado; siempre podrá solicitar conocer sus propios datos que estén en nuestras bases.
• Principio de Acceso y Circulación Restringida: Los datos personales tendrán un acceso limitado. Solo serán tratados por el personal de la Institución autorizado para ello o por los encargados debidamente autorizados (y para las finalidades informadas). No se divulgarán datos personales a terceros sin autorización del titular o sin que una norma lo permita. Además, excepto los datos públicos, la información personal no estará disponible en medios masivos o para el público, salvo consentimiento o medidas técnicas que la anonimicen.
• Principio de Seguridad: La Institución adopta las medidas técnicas, humanas y administrativas necesarias para proteger los datos personales bajo su custodia, buscando evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Esto incluye controles de acceso a la información, medidas de ciberseguridad, capacitación al personal en buenas prácticas de seguridad de la información, entre otras acciones de protección.
• Principio de Confidencialidad: Todas las personas que intervienen en el tratamiento de datos personales en la Institución (directivos, docentes, personal administrativo, contratistas, etc.) están obligadas a garantizar la reserva de la información, incluso después de finalizada su vinculación con la Institución. Los datos personales no se comunicarán a terceros sin autorización o sin habilitación legal.

Finalidades del Tratamiento de Datos

La Institución, en el desarrollo de su objeto educativo y social, realiza tratamiento de datos personales de diferentes titulares con las siguientes finalidades principales, las cuales siempre son informadas al momento de la recolección de los datos:

• Usuarios de programas sociales, educativos, laborales o de emprendimiento: Los datos personales, incluidos aquellos de naturaleza sensible (cuando se cuente con autorización expresa del titular o su representante), podrán ser tratados para: gestionar inscripción, participación y seguimiento a los programas; validar identidad y requisitos; enviar información logística y operativa; hacer seguimiento de impacto; compartir datos con aliados, financiadores o contratantes para fines de ejecución y evaluación del programa; conservar la información para fines estadísticos o históricos; y, con autorización expresa, enviar información sobre nuevas oportunidades formativas, laborales o sociales. Cuando los programas se desarrollen en alianza o por encargo de terceros (públicos o privados), la Institución podrá actuar como responsable o encargada del tratamiento, conforme se determine contractualmente, y garantizará siempre el cumplimiento de la Ley 1581 de 2012.
• Estudiantes: Sus datos (como identificación, información de contacto de ellos y sus padres/acudientes, datos académicos, de salud, etc.) se utilizan para gestionar su proceso educativo, llevar registros académicos, administrar matrículas, reportes de calificaciones, atender su bienestar integral (por ejemplo, servicios de alimentación, salud escolar, psicología), realizar seguimiento a su desarrollo, y cumplir con obligaciones legales ante autoridades educativas competentes (Secretarías de Educación, Ministerio de Educación, ICBF si aplicara, etc.).
• Padres de familia y acudientes: Sus datos de contacto e identificación se usan para comunicados escolares, convocatorias a reuniones, envío de boletines de notas e informes, gestión de pagos de pensiones o apoyos educativos, encuestas de satisfacción, y en general para mantener una comunicación constante sobre el proceso formativo de sus hijos o representados.
• Empleados y Colaboradores: La Institución recolecta y trata datos del personal docente, administrativo y colaboradores (incluyendo aspirantes a empleos) para fines de gestión de talento humano, cumplimiento de obligaciones laborales y legales (afiliaciones a seguridad social, pagos de nómina, reporte de novedades a entidades gubernamentales), evaluaciones de desempeño, planes de formación, seguridad y salud en el trabajo, y demás actividades propias de la relación laboral o contractual.
• Proveedores y Contratistas: Se manejan datos de personas de contacto, datos de identificación y financieros para procesos de selección, contratación, cumplimiento de obligaciones contractuales, pagos, y evaluación de desempeño de proveedores de bienes y servicios que apoyan a la Institución.
• Egresados y Comunidad en general: Datos de antiguos alumnos pueden ser conservados para mantener contacto, invitarles a actividades de la comunidad educativa, ofrecer oportunidades de formación continua o participar en proyectos sociales. Datos de miembros de la comunidad o donantes podrían tratarse para gestionar su vinculación con proyectos de la Institución, rendir informes de transparencia y cumplir deberes legales relacionados.
• Seguridad y Bienestar: En nuestras instalaciones podemos utilizar sistemas de videovigilancia (cámaras de seguridad) por motivos de seguridad de la comunidad educativa y protección de los bienes de la Institución. La información recolectada en video se utilizará únicamente con esta finalidad de seguridad y, de ser necesario, como prueba en investigaciones internas o ante autoridades competentes. En todo caso, se informa sobre la presencia de cámaras mediante avisos visibles en las instalaciones.
• Comunicación de actividades y promoción institucional: La Institución puede usar datos de contacto (email, teléfono) para enviar información sobre eventos institucionales, jornadas pedagógicas, logros destacados, boletines informativos o campañas de nuestra misión social. En caso de envío de comunicaciones masivas con fines informativos o promocionales, se permitirá al destinatario optar por no recibir más este tipo de mensajes en el futuro (mecanismo de opt-out).
• Para todos los usuarios: Compartir datos con terceros para fines de prospección de servicios relacionados con la educación, empleo, emprendimiento u otros fines afines a la misión de la fundación.

En cualquier caso, la Institución asegura que no se utilizarán los datos personales para finalidades distintas a las aquí enlistadas o a aquellas informadas de forma explícita al momento de la recolección, salvo que medie una nueva autorización del titular.

Derechos de los Titulares de Datos Personales

De conformidad con la legislación vigente, especialmente el Artículo 8 de la Ley 1581 de 2012, los titulares de los datos personales tienen los siguientes derechos fundamentales respecto a su información​​:

1. Derecho de Acceso: conocer, consultar y obtener copia de los datos personales que sean objeto de tratamiento por parte de la Institución. Esto significa que usted puede solicitarnos en cualquier momento que le indiquemos qué datos suyos tenemos en nuestras bases y el uso que les damos.
2. Derecho de Actualización y Rectificación: solicitar la corrección o actualización de sus datos si estos están parciales, incompletos, inexactos, desactualizados, o para ajustar datos cuyo tratamiento esté prohibido o no haya sido autorizado​. Por ejemplo, si cambió de número de teléfono, tiene el derecho a que lo actualicemos en nuestros registros.
3. Derecho de Cancelación o Supresión: pedir la eliminación de sus datos personales de nuestras bases de datos cuando considere que el tratamiento no se ajusta a las normas, o cuando haya dejado de ser necesario o haya revocado su consentimiento para finalidades no obligatorias​. Este derecho se conoce también como “derecho al olvido” en algunos contextos, pero en todo caso está sujeto a que no exista un deber legal o contractual de conservar el dato.
4. Derecho de Oposición: oponerse al tratamiento de sus datos personales o revocar la autorización otorgada, cuando no se respeten los principios, derechos y garantías legales. Esto aplica especialmente para datos sensibles o finalidades secundarias como comunicaciones promocionales. En los casos legalmente procedentes, puede negar o revocar su consentimiento sin efecto retroactivo​.
5. Derecho a la Autorización: Solicitar prueba de la autorización otorgada para el tratamiento de sus datos, salvo en los casos en que la ley no requiera dicha autorización​. La Institución conservará evidencia de las autorizaciones otorgadas por los titulares (por ejemplo, formularios físicos o registros electrónicos de su consentimiento).
6. Derecho a ser Informado sobre el Uso de sus datos: Ser informado, previa solicitud, respecto del uso que la Institución les ha dado a sus datos personales​. Usted puede preguntarnos cómo y para qué se han utilizado sus datos.
7. Derecho a presentar quejas ante la autoridad: Presentar quejas ante la Superintendencia de Industria y Comercio (Delegatura de Protección de Datos Personales) u otra autoridad competente, por infracciones al régimen de protección de datos personales​. En Colombia, la SIC es la autoridad encargada de velar por el cumplimiento de estas normas y usted puede acudir a ella si la Institución no resuelve adecuadamente una petición relacionada con sus datos.
8. Derecho a Acceder en forma gratuita a sus datos: Este derecho implica que la consulta de sus datos personales es gratuita al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de esta política que motiven nuevas consultas. No cobraremos por las solicitudes de ejercicio de sus derechos, conforme a lo establecido por la ley​.

Estos derechos pueden ser ejercidos por: i) el titular, quien deberá acreditar su identidad por los medios que disponga la Institución; ii) sus causahabientes (por ejemplo, en caso de fallecimiento del titular, sus herederos legales, con las acreditaciones del caso); iii) su representante legal o apoderado (con la respectiva acreditación); iv) otra persona cuando el titular lo haya autorizado expresamente a través de poder. Tratándose de datos personales de menores de edad, sus representantes legales (padres o tutores) serán quienes ejerzan sus derechos, teniendo en cuenta que la opinión del menor, según su nivel de madurez, también podrá ser tenida en cuenta en el tratamiento.

Procedimiento para Ejercicio de Derechos (Consultas y Reclamos)

La Institución ha dispuesto canales de comunicación para que los titulares puedan ejercer sus derechos de conocer, actualizar, rectificar y suprimir información, o revocar la autorización. El procedimiento general es el siguiente:

• Consultas: Si usted desea consultar los datos personales suyos que están siendo tratados por la Institución (por ejemplo, el historial académico de un estudiante, sus datos de contacto registrados, etc.), puede presentar una solicitud a través del correo electrónico o físico indicado en esta política. La Institución responderá su consulta en un plazo máximo de diez (10) días hábiles contados a partir de la fecha de recepción​. Si no fuera posible atender la consulta dentro de ese término, se le informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso superará cinco (5) días hábiles adicionales al primer plazo.
• Reclamos: Si considera que hay un dato incorrecto, desactualizado, o que la Institución está realizando un tratamiento indebido de sus datos, o desea solicitar la supresión de sus datos o revocar su consentimiento, puede presentar un reclamo formal. El reclamo debe incluir la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección de notificación, y los documentos que quiera hacer valer. Si el reclamo resulta incompleto, la Institución podrá requerirle dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Tras recibir un reclamo completo, se incluirá en nuestra base de datos una leyenda que diga “reclamo en trámite” junto con el motivo, y se tramitará el reclamo. El plazo máximo para atender el reclamo es de quince (15) días hábiles desde que se recibió completo. Si no es posible responder en ese lapso, se informará al interesado antes de vencido el término, pudiendo extender la respuesta hasta por ocho (8) días hábiles más, conforme permite la ley.
• Quejas ante la SIC: Si luego de agotar el trámite anterior con la Institución, el titular no queda satisfecho, puede elevar su caso a la Superintendencia de Industria y Comercio – Delegatura de Protección de Datos Personales, para que esta entidad supervise y eventualmente sancione el incumplimiento normativo por parte de la Institución​. La SIC requiere que primero se haya presentado el reclamo ante el responsable (en este caso la Institución) y no haya sido resuelto en los términos legales, antes de intervenir.

Para todas las solicitudes (consultas o reclamos), el titular o su representante deberá acreditar su identidad (cédula de ciudadanía u otra identificación) y, en caso de agentes oficiosos, la respectiva autorización. La presentación de solicitudes es gratuita y la Institución cuenta con personal o un área encargada de la protección de datos que dará trámite a las mismas. Cualquier inquietud adicional sobre este procedimiento puede ser dirigida al correo electrónico indicado.

Autorización para el Tratamiento de Datos

Como regla general, la Institución solicitará la autorización previa e informada de los titulares para recolectar y tratar sus datos personales, a través de los diferentes medios que utilicemos (formularios físicos, formularios en línea, encuestas, contratos, etc.), salvo en los casos en que la ley exima la necesidad de dicha autorización​​.

Al momento de la recolección de datos personales, la Institución informará al titular de manera clara: la identidad y datos de contacto del responsable (nosotros), las finalidades específicas del tratamiento, los derechos que le asisten como titular, y si se trata de datos sensibles o de menores, el carácter opcional de entregarlos​. Esta información se proporcionará verbalmente o por escrito mediante cláusulas de autorización, avisos de privacidad, o formatos de consentimiento que el titular podrá aceptar libremente.

Casos en que no se requiere autorización: De acuerdo con el artículo 10 de la Ley 1581 de 2012, hay situaciones en las que la ley permite tratar datos personales sin necesidad de obtener autorización previa del titular​​. Algunos de estos casos son:

• Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales, o por orden judicial.
• Datos que sean de naturaleza pública (por ejemplo, información contenida en registros públicos, documentos públicos, directorios, etc.).
• Casos de urgencia médica o sanitaria, en los cuales el tratamiento de datos sea necesario para proteger la vida o salud del titular u otra persona.
• Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
• Datos relacionados con el Registro Civil de las Personas (por su carácter público).

En consecuencia, la Institución podrá tratar datos personales sin consentimiento en dichas circunstancias, siempre observando las demás disposiciones de protección de datos. Fuera de esas excepciones, cualquier otro tratamiento de datos personales sólo se realizará cuando tengamos la autorización del titular.

La autorización del titular podrá obtenerse por cualquier medio que permita su consulta posterior​, por ejemplo, formularios firmados, aceptaciones vía web con registro electrónico, grabaciones de voz en casos telefónicos, entre otros. El titular puede en cualquier momento revocar su consentimiento o autorización otorgada para tratamientos que no sean obligatorios, lo cual respetaremos siempre que no lo impida una obligación legal o contractual vigente.

Tratamiento de Datos Sensibles

Conforme a la ley, los datos sensibles (aquellos que pueden afectar la intimidad del titular o generar discriminación, ver definiciones) tienen un régimen especial de protección. La Institución no recolectará ni tratará datos sensibles de los titulares, salvo que exista una justificación y finalidad lícita para hacerlo, y contando con la autorización explícita del titular para el manejo de esos datos​.

En particular, se informa lo siguiente respecto a datos sensibles:

• El titular no está obligado a autorizar el tratamiento de sus datos sensibles. En las solicitudes de datos de esta naturaleza, se le informará qué datos son sensibles y podrá decidir libremente si los proporciona o no​.
• Si llegamos a requerir datos sensibles, por ejemplo, información de salud de un estudiante para garantizar su bienestar (alergias, condición médica, discapacidad) o datos biométricos para control de acceso, lo haremos únicamente con las finalidades legítimas informadas (por ejemplo, proteger la salud del estudiante en emergencias, o controlar el ingreso seguro al plantel) y adoptando mayores medidas de seguridad y confidencialidad.
• Ningún dato sensible será utilizado para propósitos diferentes a aquellos estrictamente necesarios y autorizados. Por ejemplo, datos sobre creencias religiosas o convicciones no serán recolectados, a menos que sea necesario para respetar alguna solicitud del estudiante (como exceptuarlos de ciertas actividades por motivos religiosos) y siempre con su consentimiento.
• Casos especiales permitidos por la ley para tratar datos sensibles sin autorización del titular, como protección de intereses vitales del titular que esté incapacitado (ej: emergencia médica) o tratamiento por entidades sin ánimo de lucro en el marco de su objeto (ej: una fundación manejando datos sensibles de sus miembros)​, se aplicarán sólo si la Institución encuadra en dichas situaciones y bajo las condiciones legales estrictas.

En resumen, la Institución reconoce el carácter altamente reservado de los datos sensibles y los tratará con un nivel de protección reforzada.

Tratamiento de Datos de Niños, Niñas y Adolescentes

La protección de los datos personales de los menores de edad es de especial importancia. De acuerdo con la Ley 1581 de 2012, se establece que el tratamiento de datos personales de niños, niñas y adolescentes está proscrito (prohibido), excepto cuando se trate de datos de naturaleza pública, y en todo caso respetando el interés superior de los menores​.

En consecuencia:

• La Institución solamente tratará datos personales de menores de edad que sean de naturaleza pública o aquellos que sean necesarios y pertinentes para su formación integral, siempre velando por el respeto de sus derechos prevalentes. La información personal de nuestros estudiantes menores (que constituyen la mayoría de los titulares en nuestra comunidad) será manejada con altos estándares de privacidad y seguridad.
• Cualquier tratamiento de datos de niños, niñas y adolescentes que no sean datos públicos se realizará contando con la autorización expresa de los padres, madres o representantes legales del menor, y del mismo menor cuando tenga la madurez suficiente para comprender el asunto. El consentimiento del menor se considerará en la medida de su desarrollo cognitivo y capacidad para entender sus derechos.
• Se asegura que las actividades de tratamiento tengan en cuenta el interés superior del menor. Esto implica que nunca utilizaremos la información personal de los estudiantes de manera contraria a su bienestar. Por ejemplo, datos de contacto de un estudiante no serán publicados ni compartidos sin autorización; datos de salud serán usados sólo para cuidado del estudiante; imágenes o fotografías de los menores en eventos institucionales se utilizarán con precaución y, por lo general, con autorización de sus padres o acudientes, respetando la dignidad del menor.
• La Institución, como entidad educativa, también tiene la tarea de educar a los menores y a sus familias sobre la protección de sus datos personales y la utilización segura de la información personal en entornos digitales​. Procuraremos brindar orientación a nuestros alumnos sobre buenas prácticas de privacidad, riesgos en internet y redes sociales, y cómo ejercer su derecho a la privacidad.

Conforme al Decreto 1377 de 2013 y demás normas, en cualquier caso, en que se trate información de menores, se indicará el carácter facultativo de la respuesta a preguntas que involucren datos sensibles o de menores​, enfatizando que su suministro depende de la decisión de sus representantes y que el no hacerlo no impide la prestación del servicio educativo esencial.

Uso de Datos de Contacto y Comunicaciones (Ley 2300 de 2023)

La Institución utilizará los datos de contacto (teléfonos, correos electrónicos, direcciones) proporcionados por los titulares únicamente para los fines institucionales autorizados, y respetará el derecho a la intimidad de las personas en lo que respecta a las comunicaciones que les hagamos llegar, en cumplimiento de la Ley 2300 de 2023​​.

En particular:

• Cuando necesitemos comunicarnos con estudiantes, padres de familia o proveedores para asuntos administrativos (por ejemplo, cobro de pensiones escolares, recordatorios de pagos, entrega de boletines, actividades institucionales), lo haremos a través de los canales de contacto autorizados por ustedes. Esto quiere decir que, si usted nos suministró un número de teléfono o correo electrónico para contactarle, priorizaremos esos medios. No utilizaremos medios no autorizados o datos que no hayan sido proporcionados para contactarlo.
• La Institución se abstendrá de realizar comunicaciones invasivas o en horarios no adecuados. Respetaremos los horarios legalmente establecidos para realizar llamadas o enviar mensajes de carácter institucional. En ningún caso lo contactaremos en horarios nocturnos o de descanso, salvo urgencias justificadas, y mucho menos de forma reiterativa en un mismo día. De hecho, la Ley 2300 de 2023 establece que las llamadas o mensajes con fines de cobro o comerciales solo podrán hacerse en determinados horarios (de lunes a viernes de 7:00 a.m. a 7:00 p.m., sábados de 8:00 a.m. a 3:00 p.m., evitando domingos y festivos)​​, y la Institución se acoge a dichos lineamientos para garantizar su tranquilidad.
• Si en algún momento la Institución llegare a enviar mensajes con contenido publicitario o informativo masivo (por ejemplo, promoción de eventos abiertos a la comunidad, rifas o campañas de donación de la Fundación), dichos envíos cumplirán con las normas de protección a los consumidores. Solo se enviarán a quienes hayan autorizado recibirlos y siempre brindando la opción clara de retirarse o darse de baja de esas listas de distribución en cualquier momento​. El emisor de los mensajes (la Institución) siempre ofrecerá un mecanismo sencillo para que usted solicite dejar de recibir comunicaciones de ese tipo, salvo aquellas estrictamente relacionadas con el servicio educativo contratado o exigidas por ley.
• La Institución no cederá sus datos de contacto a terceros para fines comerciales no relacionados con nuestro objeto misional, y mucho menos compartirá información personal con terceros que vayan a emplearla para telemercadeo no autorizado. En caso de que por alguna razón un proveedor nuestro (encargado del tratamiento, por ejemplo, una plataforma de comunicaciones) deba manejar sus datos de contacto para enviarle información en nuestro nombre, nos aseguraremos de que dicho proveedor cumpla con esta política y con las restricciones legales, incluyendo lo previsto en la Ley 2300 de 2023.
• Conforme a la Ley 2300 de 2023, se están estableciendo en Colombia registros o mecanismos para que los consumidores puedan excluir sus números de contacto de bases de datos de publicidad (Registro de Números Excluidos)​. La Institución respetará estos listados y se abstendrá de enviar comunicaciones de carácter publicitario a quienes se hayan inscrito en tales registros, una vez estos estén implementados por las autoridades.
• En actividades de cobranza de obligaciones (por ejemplo, cuotas pendientes de pago), observaremos las buenas prácticas de cobro: uso de lenguaje respetuoso, no revelar la situación a terceros no autorizados, no contactar a sus referencias personales sin su permiso (de hecho, la Ley 2300 prohíbe que las entidades de cobranza contacten a referencias personales del deudor)​, y en general, protegeremos su derecho a la intimidad en estos procesos.

Nuestro compromiso es que cualquier comunicación que usted reciba de parte de la Institución sea pertinente, oportuna y realizada de manera respetuosa, evitando molestias y garantizando su derecho a la privacidad y tranquilidad en el hogar.

Encargados del Tratamiento y Transferencia de Datos a Terceros

En el desarrollo de nuestras actividades, la Institución puede necesitar divulgar o ceder algunos datos personales a terceros, ya sea en calidad de encargados del tratamiento (que actúan por nuestra cuenta) o como terceros autónomos (por exigencia legal o contractual). En todo caso, dicha transmisión o transferencia de datos se realizará conforme a la ley y asegurando la protección adecuada de la información.

• Encargados del Tratamiento: Son terceros que utilizamos para que nos presten algún servicio, y que en la prestación de dicho servicio pueden requerir tratar datos personales por cuenta nuestra. Ejemplos: servicios de almacenamiento en la nube de nuestros registros académicos, plataformas de gestión escolar, empresas que operan la cafetería o transporte escolar (que manejan listados de estudiantes), proveedores de servicios de salud ocupacional para empleados, prestadores de programas para la atención de primera infancia, educación, formación, empleo o emprendimiento etc. En estos casos, la Institución suscribe contratos con dichos encargados donde se les exige cumplir con las obligaciones de protección de datos personales, guardar confidencialidad de la información, y dar a los datos un tratamiento igual o más seguro que el que nosotros damos​. Los encargados del tratamiento no podrán usar la información para fines diferentes a los que la Institución les instruya previamente.
• Transferencias de datos a terceros (nacionales): Podremos compartir algunos datos personales con terceros cuando sea necesario para la ejecución de una relación contractual o por mandato legal. Por ejemplo, con entidades gubernamentales: Ministerio de Educación, Secretaría de Educación, ICFES (para inscripción de pruebas de estado de los estudiantes), Superintendencia de Subsidio Familiar (si hay beneficiarios de subsidios), Cajas de Compensación, Universidades, Instituciones de Educación, entidades de apoyo a usuarios, autoridades judiciales o administrativas que lo requieran, entre otros. También con otras instituciones educativas o fundaciones aliadas cuando se trate de programas conjuntos y el titular lo haya autorizado. En cada caso, compartiremos únicamente los datos imprescindibles y bajo las finalidades legítimas correspondientes.
• Transferencias Internacionales de datos: En principio, la Institución trata de mantener y manejar los datos personales dentro del territorio colombiano. No obstante, puede suceder que algunos de nuestros proveedores de servicios (por ejemplo, servicios de computación en la nube, plataformas educativas virtuales) se ubiquen en otros países o almacenen información en infraestructuras fuera de Colombia. En caso de que debamos transferir datos personales a un tercer país, cumpliremos con las restricciones de la Ley 1581 de 2012, que prohíbe la transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos​, salvo que medie una de las excepciones legales (por ejemplo: que el titular haya dado autorización explícita para la transferencia, que sea necesaria para la ejecución de un contrato en interés del titular, que ocurra con base en un acuerdo internacional, o que sea requerida para la defensa de un derecho en proceso judicial, entre otras)​​.
  • Antes de hacer una transferencia internacional, evaluaremos si el país de destino ofrece una protección igual o superior a la colombiana. De no ser así, adoptaremos las medidas adicionales que indica la norma, como suscribir cláusulas contractuales robustas con el importador de los datos, o solicitar autorización previa de la Superintendencia de Industria y Comercio cuando sea necesario obtener una “declaratoria de conformidad” para la transferencia internacional​.
  • En términos sencillos: no enviaremos sus datos personales a otro país sin garantizar que estarán protegidos adecuadamente. Si usted, por ejemplo, participa en un programa de intercambio internacional patrocinado por la Institución y es necesario compartir datos suyos con una entidad educativa en el exterior, le informaremos y recabaremos su consentimiento, asegurando que dicha entidad cumplirá estándares de privacidad.
• Transmisión internacional como encargo: Cuando un proveedor nuestro en el exterior actúa simplemente como encargado (por ejemplo, usamos un sistema en la nube cuya base de datos se aloja en otro país), técnicamente no es una “transferencia” sino una “transmisión” de datos a un encargado internacional. En estos casos, también suscribiremos acuerdos de transmisión de datos conforme al artículo 25 de la Ley 1581 y las reglamentaciones, obligando al proveedor a cumplir con los lineamientos de protección de datos de la ley colombiana​.
• Prohibición de cesión para marketing: Reiteramos que la Institución no vende, intercambia ni alquila bases de datos personales a terceros para fines comerciales. Cualquier transferencia de datos personales que no responda a las finalidades legítimas descritas o a una obligación legal será previamente informada y sometida a autorización del titular.

Seguridad de la Información

La Institución implementa medidas de seguridad adecuadas para proteger los datos personales de accesos no autorizados, pérdida, divulgación indebida, modificación o destrucción. Entendemos que los datos personales que manejamos (especialmente de menores de edad) requieren un alto compromiso de custodia.

Entre las medidas de seguridad adoptadas se incluyen:

• Medidas administrativas: Contamos con esta política de protección de datos aprobada por la dirección de la Institución; además, definimos roles y responsabilidades claras al interior (por ejemplo, un delegado o comité de protección de datos personales que vela por el cumplimiento de la normatividad). Se realizan capacitaciones internas al personal sobre la importancia de proteger la información personal y las consecuencias de su uso indebido. Mantenemos registros de quién accede a información sensible y establecemos cláusulas de confidencialidad en contratos laborales y de prestación de servicios​.
• Medidas técnicas: Protegemos nuestras bases de datos (físicas y digitales) con mecanismos de seguridad. Los archivos físicos que contienen datos personales (expedientes de estudiantes, historiales) se guardan bajo llave con acceso restringido. En cuanto a los sistemas informáticos, utilizamos contraseñas seguras, control de accesos diferenciados (no todo empleado accede a toda la información, solo a la que necesita para su rol), cifrado de la información sensible cuando es posible, firewalls, antivirus actualizados y copias de respaldo periódicas de la información para prevenir pérdida de datos.
• Medidas físicas: Las instalaciones donde se custodia información (por ejemplo, el archivo académico, o los servidores en nuestras oficinas) cuentan con controles de seguridad para ingreso. Asimismo, la videovigilancia mencionada se usa también para monitorear accesos a zonas donde se maneja documentación confidencial.
• Notificación de incidentes: Si llegáramos a detectar un acceso no autorizado o una vulneración a nuestras bases de datos que comprometa datos personales, activaremos nuestros protocolos internos para mitigar el incidente. Aunque la normatividad colombiana no exige una notificación obligatoria de incidentes de seguridad a los titulares, la Institución, como buena práctica, informará a los afectados si un evento de seguridad mayor llegase a comprometer significativamente la privacidad de sus datos, y también avisará a la SIC cuando sea procedente, tomando las acciones correctivas necesarias.
• Seguridad en transferencias: Cuando compartimos o transmitimos datos a encargados, exigimos que ellos también implementen medidas de seguridad equivalentes. No confiamos datos a terceros que no brinden garantías suficientes de protección.

Todas estas medidas se revisan periódicamente y se actualizan conforme evoluciona la tecnología y los estándares de seguridad, buscando siempre minimizar riesgos. Sin perjuicio de lo anterior, el titular también debe adoptar medidas de autocuidado; por ejemplo, si un padre de familia nos envía información por correo electrónico, debe asegurarse de usar los canales oficiales y mantener sus propios dispositivos seguros para evitar interceptaciones.

Vigencia y Actualizaciones de esta Política

La presente Política de Protección de Datos Personales rige a partir de su fecha de publicación. Esta versión está actualizada con las disposiciones vigentes a mayo de 2025, e incluye modificaciones necesarias para dar cumplimiento a nuevas normas como la Ley 2300 de 2023, entre otras.

La Institución se reserva el derecho de actualizar o modificar esta política en cualquier momento, para adaptarla a novedades legislativas, políticas internas o nuevos requerimientos en la prestación de nuestros servicios o actividades. Cualquier cambio sustancial en el contenido de la política será comunicado oportunamente a los titulares de los datos a través de los medios habituales (por ejemplo, nuestra página web oficial, circulares informativas o correo electrónico), antes de su implementación. En ningún caso las modificaciones supondrán una merma en la protección de los datos personales sin el consentimiento correspondiente.

Si el titular, tras ser informado de cambios sustanciales en la política, continúa utilizando los servicios de la Institución o no manifiesta objeción, se entenderá que consiente los nuevos términos del tratamiento, sin perjuicio de su facultad de ejercer sus derechos en cualquier momento.

Fecha de entrada en vigor de esta versión de la política: 02 mayo 2025.