Política de Protección de Datos Personales

1. Introducción y contexto

Retention Technologies S.A.S. (en adelante, “Retention Technologies” o “la Compañía”), identificada con NIT 901.988.804-3, es una empresa dedicada al desarrollo y prestación de servicios tecnológicos basados en inteligencia artificial cuyo objetivo es reducir el abandono laboral temprano y mejorar la retención de talento en las organizaciones.

El servicio que ofrece la Compañía se desarrolla en dos fases principales:

• Construcción de modelos de inteligencia artificial: mediante el análisis de datos históricos proporcionados por la empresa cliente (información de empleados anteriores y actuales), Retention Technologies entrena modelos predictivos capaces de identificar patrones asociados al abandono laboral.
• Generación de predicciones: a partir de datos extraídos de currículums de candidatos, transcripciones de entrevistas y otros contenidos derivados de los procesos de selección, los modelos generan predicciones sobre la probabilidad de retención del candidato.

Ambas fases implican el tratamiento de datos personales de diversa naturaleza, incluyendo, en determinados casos, datos sensibles. Retention Technologies es consciente de la importancia de proteger estos datos y del impacto que un uso inadecuado podría tener en los derechos fundamentales de las personas.

La Constitución Política de Colombia reconoce en su artículo 15 el derecho fundamental a la intimidad, al buen nombre y al habeas data, entendido como la facultad de toda persona de conocer, actualizar y rectificar la información que sobre ella se haya recogido en bases de datos o archivos. Este derecho ha sido desarrollado legislativamente a través del régimen de protección de datos personales vigente en Colombia, al cual Retention Technologies se adhiere de manera plena y comprometida.

2. Objeto y alcance

La presente Política tiene por objeto establecer los principios, directrices, procedimientos y responsabilidades que rigen el tratamiento de datos personales por parte de Retention Technologies, con el fin de garantizar el cumplimiento de la legislación colombiana en materia de protección de datos personales y asegurar que todo tratamiento realizado por la Compañía respeta los derechos fundamentales de los titulares.

Alcance subjetivo

Esta Política es de obligatorio cumplimiento para:

• Todos los empleados, contratistas, colaboradores y pasantes de Retention Technologies, independientemente de su vínculo contractual.
• Todos los proveedores y subencargados que, en el marco de la prestación de servicios a Retention Technologies, tengan acceso a datos personales tratados por la Compañía.
• Todas las personas que, por cualquier circunstancia, intervengan en alguna fase del tratamiento de datos personales bajo responsabilidad de la Compañía.

Alcance material

La Política aplica a todo tratamiento de datos personales realizado por Retention Technologies, en cualquier formato o soporte (digital o físico), en el marco de:

• La prestación de servicios de inteligencia artificial a empresas clientes, en calidad de Encargado del Tratamiento.
• La gestión administrativa, contractual y operativa de la Compañía.
• Las relaciones comerciales con clientes, proveedores y aliados.
• El uso de plataformas, sistemas de información y herramientas tecnológicas que soporten las actividades de tratamiento.

La presente Política aplica tanto en el territorio colombiano como en cualquier jurisdicción donde Retention Technologies realice o facilite el tratamiento de datos personales, sin perjuicio de las normas locales que resulten aplicables.

3. Marco normativo

El tratamiento de datos personales por parte de Retention Technologies se rige por la siguiente normativa:

• Constitución Política de Colombia, artículos 15 y 20.
• Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.
• Decreto 1377 de 2013 (compilado en el Decreto Único Reglamentario 1074 de 2015, Libro 2, Parte 2, Título 25), por el cual se reglamenta parcialmente la Ley 1581 de 2012.
• Ley 1266 de 2008, sobre el manejo de la información contenida en bases de datos personales, en lo que resulte aplicable.
• Ley 527 de 1999, sobre mensajes de datos, comercio electrónico y firmas digitales.
• Circular Única de la Superintendencia de Industria y Comercio (SIC), Título V, Capítulo Primero.
• Cualquier otra disposición que modifique, adicione o reglamente las normas anteriores.

Adicionalmente, cuando Retention Technologies preste servicios a clientes sujetos a regulaciones de otras jurisdicciones (como el Reglamento General de Protección de Datos de la Unión Europea — RGPD), la Compañía adoptará las medidas adicionales que sean necesarias para cumplir con las obligaciones contractuales pactadas con dichos clientes.

4. Definiciones

Para los efectos de la presente Política, se adoptan las siguientes definiciones, en concordancia con la Ley 1581 de 2012 y el Decreto 1074 de 2015:

Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento, ya sea en medios electrónicos o físicos.

Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Incluye, entre otros, nombre, número de identificación (cédula de ciudadanía, cédula de extranjería), dirección, correo electrónico, teléfono, imagen, voz, información laboral y profesional.

Dato sensible: dato personal que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, así como los datos relativos a la salud, la vida sexual y los datos biométricos.

Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento. Retention Technologies actúa como Encargado del Tratamiento en el marco de la prestación de sus servicios a empresas clientes.

Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos. En el contexto de los servicios de Retention Technologies, el Responsable es la empresa cliente.

Titular: persona natural cuyos datos personales sean objeto de tratamiento. En el contexto de los servicios de Retention Technologies, los titulares son los empleados, exempleados y candidatos de las empresas clientes.

Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Transmisión: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio colombiano cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.

Transferencia: la transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento, y se encuentra dentro o fuera del país.

Subencargado: tercero contratado por el Encargado del Tratamiento para realizar actividades específicas de tratamiento de datos personales, bajo las instrucciones del Responsable canalizadas a través del Encargado.

5. Principios rectores del tratamiento de datos personales

Todo tratamiento de datos personales realizado por Retention Technologies se rige por los siguientes principios, de conformidad con el artículo 4 de la Ley 1581 de 2012:

5.1 Principio de legalidad

El tratamiento de datos personales es una actividad reglada que se sujeta a lo establecido en la Ley 1581 de 2012 y en las demás disposiciones que la desarrollen. Retention Technologies no realizará tratamiento alguno que contravenga la normativa vigente.

5.2 Principio de finalidad

El tratamiento de datos personales obedecerá a una finalidad legítima, la cual será informada al titular de manera previa, clara y suficiente. Retention Technologies no utilizará datos personales para finalidades distintas o incompatibles con aquellas para las cuales fueron recolectados o autorizados.

5.3 Principio de libertad

El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos ni divulgados sin previa autorización, salvo que exista mandato legal o judicial que releve el consentimiento.

5.4 Principio de veracidad o calidad

La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Retention Technologies adoptará medidas razonables para asegurar que los datos personales tratados sean precisos y estén actualizados, en la medida en que ello sea posible dentro de su rol como Encargado del Tratamiento.

5.5 Principio de transparencia

En el tratamiento debe garantizarse el derecho del titular a obtener del Responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Retention Technologies facilitará al Responsable toda la información necesaria para que este pueda cumplir con su deber de informar a los titulares.

5.6 Principio de acceso y circulación restringida

El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados.

5.7 Principio de seguridad

La información sujeta a tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

5.8 Principio de confidencialidad

Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el tratamiento.

6. Categorías de datos personales tratados

En el marco de la prestación de sus servicios, Retention Technologies puede tratar las siguientes categorías de datos personales:

6.1 Datos de identificación personal

Nombre completo, cédula de ciudadanía (CC), cédula de extranjería, fecha de nacimiento, género, estado civil, nacionalidad, fotografía.

6.2 Datos de contacto

Dirección de residencia, correo electrónico personal y profesional, número de teléfono fijo y móvil.

6.3 Información laboral

Cargo o puesto desempeñado, departamento o área funcional, tipo de contrato, fecha de inicio y fin de la relación laboral, motivos de desvinculación, salario, acciones disciplinarias, evaluaciones de desempeño.

6.4 Experiencia profesional y formación

Historial académico, títulos obtenidos, certificaciones, habilidades técnicas y blandas, experiencia profesional previa, membresías profesionales, formaciones complementarias.

6.5 Información derivada de procesos de selección

Transcripciones de entrevistas (escritas, en audio o video), resultados de pruebas psicotécnicas, evaluaciones de competencias, notas y observaciones del proceso de selección.

6.6 Datos sensibles

Datos sensibles que puedan derivarse del contenido de currículums, transcripciones de entrevistas u otros documentos proporcionados por el Responsable del Tratamiento.

6.7 Datos técnicos e identificadores digitales

Dirección IP, datos de navegación en plataformas de Retention Technologies, registros de acceso a sistemas, identificadores de usuario.

El detalle completo de categorías se recoge en el Anexo I de esta Política.

7. Finalidades del tratamiento

Retention Technologies trata datos personales exclusivamente para las siguientes finalidades, siempre bajo las instrucciones del Responsable del Tratamiento (empresa cliente):

7.1 Finalidades principales

• Construcción, entrenamiento y validación de modelos de inteligencia artificial para predicción de retención laboral, utilizando datos históricos proporcionados por el cliente.
• Generación de predicciones sobre la probabilidad de retención de candidatos, a partir del análisis de currículums, transcripciones de entrevistas y otros datos del proceso de selección.
• Procesamiento, almacenamiento y estructuración de datos personales necesarios para la prestación del servicio contratado por el cliente.
• Generación de informes, métricas y análisis estadísticos derivados del servicio, destinados al cliente.

7.2 Finalidades complementarias

• Mejora continua de los modelos de inteligencia artificial, siempre con datos anonimizados o seudonimizados cuando sea posible.
• Cumplimiento de obligaciones legales, regulatorias, contractuales o requerimientos de autoridades competentes.
• Gestión administrativa, contable y fiscal derivada de la relación contractual con el cliente.
• Atención de consultas, peticiones, quejas y reclamos (PQR) de los titulares, canalizadas por el Responsable del Tratamiento.

Los datos personales no serán utilizados para finalidades distintas de las aquí descritas sin previa autorización del Responsable del Tratamiento y, cuando corresponda, del titular.

8. Rol de Retention Technologies como Encargado del Tratamiento

Retention Technologies actúa como Encargado del Tratamiento en el marco de la prestación de sus servicios a empresas clientes, quienes ostentan la calidad de Responsables del Tratamiento.

En virtud de este rol, Retention Technologies:

• Trata los datos personales exclusivamente conforme a las instrucciones impartidas por el Responsable del Tratamiento, documentadas en el contrato de prestación de servicios y en el contrato de transmisión de datos correspondiente.
• No decide de manera autónoma sobre las finalidades del tratamiento ni sobre las categorías de datos personales que se tratan. Estas decisiones corresponden al Responsable.
• Garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
• Implementa las medidas de seguridad técnicas y organizativas apropiadas para proteger los datos personales, conforme a lo establecido en esta Política y en los acuerdos contractuales con cada cliente.
• Asiste al Responsable en el cumplimiento de sus obligaciones frente a los titulares, en particular en la atención de solicitudes de ejercicio de derechos.
• Pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la Ley 1581 de 2012.
• Al finalizar la relación contractual, devuelve o suprime los datos personales conforme a las instrucciones del Responsable y a lo estipulado contractualmente.

La relación entre Retention Technologies y cada Responsable se formaliza mediante un contrato de transmisión de datos que recoge las obligaciones de ambas partes, las medidas de seguridad aplicables, las finalidades autorizadas, los plazos de conservación y las condiciones de devolución o supresión de datos.

9. Bases legales del tratamiento

El tratamiento de datos personales por parte de Retention Technologies se fundamenta en las siguientes bases legales, según corresponda:

• Autorización del titular: consentimiento previo, expreso e informado otorgado por el titular al Responsable del Tratamiento, quien transmite los datos a Retention Technologies para la prestación del servicio.
• Relación contractual: el tratamiento es necesario para la ejecución del contrato de prestación de servicios entre Retention Technologies y la empresa cliente.
• Obligación legal: cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable a Retention Technologies.
• Interés legítimo: cuando el tratamiento sea necesario para satisfacer un interés legítimo del Responsable, siempre que no prevalezcan los derechos del titular, y conforme a la legislación aplicable.

Retention Technologies verificará, mediante los contratos de transmisión correspondientes, que el Responsable del Tratamiento ha obtenido las autorizaciones necesarias de los titulares para las finalidades del servicio contratado.

10. Tratamiento de datos sensibles

De conformidad con el artículo 5 de la Ley 1581 de 2012, se prohíbe el tratamiento de datos sensibles, salvo que se cuente con la autorización explícita del titular o que concurra alguna de las excepciones previstas en el artículo 6 de dicha Ley.

10.1 Datos sensibles en el contexto de los servicios de Retention Technologies

En el marco de la prestación de sus servicios, Retention Technologies puede tratar datos sensibles cuando estos figuren en la información proporcionada por los candidatos o por la empresa cliente (por ejemplo, en currículums, formularios de postulación o transcripciones de entrevistas).

Igualmente, otros datos que puedan calificarse como sensibles (como información relativa a la salud o a situaciones personales) pueden estar contenidos en transcripciones de entrevistas o documentos del proceso de selección.

10.2 Garantías aplicables

El tratamiento de datos sensibles por parte de Retention Technologies se sujeta a las siguientes garantías:

• Solo se tratarán datos sensibles cuando el Responsable del Tratamiento confirme que cuenta con la autorización explícita del titular para dicho tratamiento, o que concurre una excepción legal.
• Se informará al titular, a través del Responsable, que no está obligado a autorizar el tratamiento de datos sensibles y que la negativa no condicionará la prestación del servicio, salvo cuando dichos datos sean estrictamente necesarios.
• Se aplicarán medidas de seguridad reforzadas, incluyendo controles de acceso específicos, cifrado y registros de auditoría sobre el acceso a estos datos.
• Se minimizará el tratamiento de datos sensibles al estrictamente necesario para la finalidad del servicio.
• Cuando sea técnicamente viable, los datos sensibles serán seudonimizados o anonimizados antes de ser incorporados a los modelos de inteligencia artificial.

11. Uso de inteligencia artificial y decisiones automatizadas

11.1 Descripción del tratamiento automatizado

Retention Technologies utiliza modelos de inteligencia artificial (machine learning) para analizar datos personales y generar predicciones sobre la probabilidad de retención laboral de candidatos. Este análisis se realiza de forma automatizada, aunque los resultados se entregan como herramienta de apoyo a la toma de decisiones del Responsable del Tratamiento.

11.2 Principios aplicables al uso de IA

El desarrollo y uso de modelos de inteligencia artificial por parte de Retention Technologies se rige por los siguientes principios:

• No sustitución del criterio humano: las predicciones generadas por los modelos son orientativas y no sustituyen el juicio profesional de las personas encargadas de tomar decisiones de contratación. El Responsable del Tratamiento es quien decide cómo utilizar los resultados.
• Transparencia algorítmica: los titulares, a través del Responsable, podrán solicitar información general sobre la lógica utilizada en el tratamiento automatizado y las variables consideradas por los modelos.
• No discriminación: Retention Technologies adopta medidas para identificar y mitigar sesgos en los modelos de IA que puedan generar resultados discriminatorios basados en datos sensibles u otras características protegidas.
• Intervención humana: los titulares podrán solicitar, a través del Responsable, la intervención humana en la revisión de decisiones que les afecten y que se hayan basado significativamente en el resultado automatizado.
• Minimización: los modelos se diseñan para utilizar el mínimo de datos personales necesarios para cumplir con la finalidad predictiva.

11.3 Evaluación de impacto

Cuando un tratamiento basado en inteligencia artificial pueda suponer un riesgo elevado para los derechos y libertades de los titulares, Retention Technologies realizará, en coordinación con el Responsable del Tratamiento, una evaluación de impacto que analice los riesgos específicos y defina las medidas de mitigación apropiadas.

12. Derechos de los titulares

De conformidad con la Ley 1581 de 2012, los titulares de los datos personales tienen los siguientes derechos:

• Derecho de acceso o consulta: conocer los datos personales que sobre él se encuentren almacenados en las bases de datos de Retention Technologies, así como conocer el uso que se les ha dado.
• Derecho de actualización: solicitar la actualización de sus datos personales cuando estos sean parciales, inexactos, incompletos, fraccionados o induzcan a error.
• Derecho de rectificación: solicitar la corrección de la información tratada cuando esta sea errónea.
• Derecho de supresión: solicitar la eliminación de sus datos personales cuando considere que no están siendo tratados conforme a los principios, derechos y garantías constitucionales y legales, o cuando hayan dejado de ser necesarios para la finalidad para la cual fueron recolectados.
• Derecho de revocatoria: revocar la autorización otorgada para el tratamiento de sus datos personales, cuando no exista una obligación legal o contractual que impida la supresión.
• Derecho a presentar quejas: acudir ante la Superintendencia de Industria y Comercio (SIC) para presentar quejas por infracciones a la Ley 1581 de 2012 y sus normas reglamentarias.

13. Procedimiento para el ejercicio de derechos

13.1 Canal de atención

Dado que Retention Technologies actúa como Encargado del Tratamiento, las solicitudes de los titulares serán canalizadas, en primera instancia, a través de la empresa cliente que actúa como Responsable del Tratamiento.

No obstante, los titulares también podrán dirigirse directamente a Retention Technologies a través de los siguientes medios:

• Correo electrónico: info@retentiontechnologies.com

13.2 Contenido de la solicitud

Toda solicitud de ejercicio de derechos deberá contener, como mínimo:

• Nombre completo del titular.
• Número de identificación (CC o cédula de extranjería).
• Descripción clara de los hechos que dan lugar a la solicitud.
• Datos de contacto del titular para enviar la respuesta.
• Documentos que soporten la solicitud, si los hubiere.

13.3 Plazos de respuesta

De conformidad con la Ley 1581 de 2012:

• Consultas: serán atendidas en un plazo máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la solicitud. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al titular, expresando los motivos de la demora, y se señalará la fecha en que se atenderá, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
• Reclamos: serán atendidos en un plazo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Retention Technologies colaborará con el Responsable del Tratamiento para dar respuesta oportuna a todas las solicitudes recibidas.

14. Transferencias y transmisiones internacionales de datos

14.1 Marco general

En razón de la naturaleza de sus servicios, Retention Technologies puede alojar y tratar datos personales tanto en servidores ubicados en Colombia como en servidores ubicados en otros países, dependiendo de las necesidades y preferencias del cliente.

14.2 Transmisiones internacionales

La transmisión de datos personales del Responsable a Retention Technologies, cuando implique el envío a servidores fuera de Colombia, se realizará conforme a lo dispuesto en los artículos 25 y 26 de la Ley 1581 de 2012 y los artículos 2.2.2.25.6.1 y siguientes del Decreto 1074 de 2015.

Las transmisiones internacionales se llevarán a cabo únicamente cuando se cumpla alguna de las siguientes condiciones:

• El país receptor cuenta con un nivel adecuado de protección de datos, según la declaración de la SIC.
• Se ha suscrito un contrato de transmisión que garantiza el cumplimiento de los principios de protección de datos colombianos.
• Se cuenta con la autorización expresa del titular.
• Se configura alguna de las causales de excepción previstas en la ley.

14.3 Garantías aplicables

En todos los casos de tratamiento internacional de datos, Retention Technologies garantiza:

• La suscripción de acuerdos contractuales con los proveedores de infraestructura que aseguren un nivel de protección equivalente al exigido por la legislación colombiana.
• La implementación de medidas de seguridad técnicas apropiadas, incluyendo cifrado en tránsito y en reposo.
• La comunicación al Responsable de la ubicación de los servidores y cualquier cambio en esta.
• La información al Responsable sobre las garantías adoptadas, para que este pueda cumplir con su deber de informar a los titulares.

15. Medidas de seguridad de la información

Retention Technologies implementa medidas de seguridad técnicas, administrativas y físicas para proteger los datos personales contra el acceso no autorizado, la pérdida, la alteración, la destrucción o el uso indebido. Estas medidas incluyen, de manera enunciativa y no limitativa:

15.1 Medidas técnicas

• Cifrado de datos en tránsito (TLS/SSL) y en reposo.
• Seudonimización y anonimización de datos cuando sea técnicamente viable, especialmente para el entrenamiento de modelos de IA.
• Controles de acceso basados en roles y principio de mínimo privilegio.
• Autenticación multifactor para el acceso a sistemas que contengan datos personales.
• Monitorización y registro de accesos a bases de datos y sistemas.
• Copias de seguridad periódicas con almacenamiento seguro.
• Segmentación de redes y entornos de desarrollo, pruebas y producción.
• Pruebas periódicas de vulnerabilidad y penetración.

15.2 Medidas administrativas

• Políticas internas de seguridad de la información y uso aceptable de recursos tecnológicos.
• Acuerdos de confidencialidad con todos los empleados y colaboradores.
• Procesos de evaluación y selección de proveedores que tengan acceso a datos personales.
• Registro y documentación de las actividades de tratamiento.
• Evaluaciones periódicas de riesgos para la seguridad de los datos.

15.3 Medidas físicas

• Control de acceso físico a las instalaciones donde se encuentren equipos que almacenen o procesen datos personales.
• Protección de equipos portátiles y dispositivos de almacenamiento.

Las medidas de seguridad se revisarán y actualizarán periódicamente, en función del estado de la técnica, los costes de aplicación, la naturaleza de los datos tratados y los riesgos identificados.

16. Gestión de incidentes y brechas de seguridad

16.1 Definición

Se entiende por incidente de seguridad todo evento que comprometa o pueda comprometer la confidencialidad, integridad o disponibilidad de los datos personales tratados por Retention Technologies, incluyendo pero sin limitarse a: accesos no autorizados, pérdida o robo de datos, divulgación indebida, alteración o destrucción de información.

16.2 Procedimiento de gestión

Retention Technologies cuenta con un procedimiento de gestión de incidentes que contempla:

• Detección y contención: identificación inmediata del incidente y adopción de medidas para limitar su impacto.
• Evaluación: análisis de la naturaleza, alcance, causas y consecuencias del incidente, incluyendo la determinación del riesgo para los derechos y libertades de los titulares.
• Notificación al Responsable: comunicación al Responsable del Tratamiento (empresa cliente) de manera inmediata y sin dilaciones indebidas, incluyendo la descripción del incidente, las categorías de datos y titulares afectados, las consecuencias probables y las medidas adoptadas o propuestas.
• Notificación a la autoridad: asistencia al Responsable en la notificación a la SIC, cuando así lo requiera la normativa.
• Notificación a los titulares: colaboración con el Responsable para informar a los titulares afectados, cuando el incidente pueda suponer un alto riesgo para sus derechos.
• Remediación: implementación de las acciones correctivas necesarias para evitar la repetición del incidente.
• Documentación: registro detallado del incidente, las decisiones tomadas y las medidas implementadas.

16.3 Obligación de comunicación inmediata

Todo empleado o colaborador de Retention Technologies que tenga conocimiento o sospecha de un incidente de seguridad que pueda afectar datos personales está obligado a reportarlo de forma inmediata a través de los canales internos establecidos por la Compañía.

17. Plazos de conservación, bloqueo y supresión de datos

17.1 Principio general

Los datos personales no serán conservados por un período superior al necesario para cumplir con la finalidad para la que fueron recolectados. Una vez cumplida la finalidad, los datos serán suprimidos de manera segura, salvo que exista una obligación legal o contractual que justifique su conservación.

17.2 Determinación de plazos

Los plazos de conservación se determinan en función de:

• Las instrucciones del Responsable del Tratamiento, documentadas en el contrato de transmisión correspondiente.
• Las obligaciones legales aplicables (tributarias, laborales, comerciales).
• Las necesidades operativas justificadas por el servicio prestado.

17.3 Supresión

Al finalizar la relación contractual con el cliente, Retention Technologies:

• Devolverá los datos personales al Responsable en el formato acordado, cuando este así lo solicite.
• Suprimirá de manera segura e irreversible todos los datos personales, incluyendo copias de seguridad, dentro del plazo estipulado contractualmente.
• Emitirá una certificación de supresión al Responsable cuando este la solicite.

Se exceptúan de la supresión aquellos datos que deban conservarse por obligación legal, los cuales serán bloqueados e inaccesibles para cualquier finalidad distinta del cumplimiento de dicha obligación.

18. Obligaciones de los colaboradores y empleados

Todos los empleados, contratistas y colaboradores de Retention Technologies están obligados a:

• Conocer, cumplir y aplicar la presente Política y las normas internas que la desarrollen.
• Tratar los datos personales exclusivamente para las finalidades autorizadas y en el ámbito de sus funciones.
• Acceder únicamente a aquellos datos personales para los que estén autorizados en razón de sus funciones.
• Mantener la confidencialidad de los datos personales a los que tengan acceso, obligación que subsistirá incluso después de finalizada su relación contractual con la Compañía.
• Reportar inmediatamente cualquier incidente de seguridad, sospecha de vulneración o uso indebido de datos personales.
• No comunicar datos personales a terceros sin la autorización correspondiente.
• No transmitir datos personales a través de medios no seguros (como correo electrónico sin cifrar o plataformas de mensajería no corporativas) sin la previa aprobación de la Compañía.
• Solicitar autorización antes de iniciar cualquier nueva operación de tratamiento de datos personales no contemplada previamente.
• Participar en las actividades de formación y concienciación en materia de protección de datos programadas por la Compañía.

El incumplimiento de estas obligaciones podrá dar lugar a las medidas disciplinarias previstas en la normativa laboral y contractual, sin perjuicio de las responsabilidades legales que correspondan.

19. Relación con subencargados del tratamiento

19.1 Autorización

Retention Technologies podrá subcontratar a terceros para la realización de actividades específicas de tratamiento únicamente cuando cuente con la autorización previa del Responsable del Tratamiento, ya sea de forma general (en el contrato de transmisión) o específica (para cada subencargado).

19.2 Obligaciones

Todo subencargado contratado por Retention Technologies estará sujeto a:

• Un contrato escrito que establezca las mismas obligaciones de protección de datos que vinculan a Retention Technologies con el Responsable.
• Un acuerdo de confidencialidad.
• Un proceso de evaluación previa que verifique que el subencargado ofrece garantías suficientes en materia de seguridad y protección de datos.
• Verificaciones periódicas del cumplimiento de sus obligaciones.

19.3 Responsabilidad

Retention Technologies será responsable ante el Responsable del Tratamiento por cualquier incumplimiento imputable a los subencargados que haya contratado, salvo que acredite que el incumplimiento no le es atribuible.

20. Confidencialidad

Retention Technologies garantiza la confidencialidad de todos los datos personales que trata en el marco de la prestación de sus servicios. A tal efecto:

• Todo empleado, contratista o colaborador firma un acuerdo de confidencialidad como condición previa a su acceso a datos personales. Esta obligación de confidencialidad no se extingue con la finalización de la relación contractual.
• Los acuerdos de confidencialidad especifican las categorías de información protegida, las consecuencias del incumplimiento y la duración de la obligación.
• Se implementan controles técnicos para restringir el acceso a datos personales exclusivamente al personal autorizado.

21. Gobernanza y organización de la protección de datos

Retention Technologies establece la siguiente estructura organizativa para la gestión de la protección de datos personales:

21.1 Dirección General

La Dirección General de Retention Technologies tiene la responsabilidad última de asegurar el cumplimiento de la normativa de protección de datos y de la presente Política. Aprueba los recursos necesarios para la implementación efectiva de las medidas de protección de datos.

21.2 Responsable de Protección de Datos

Retention Technologies designará un Responsable interno de Protección de Datos (o quien haga sus veces), cuyas funciones incluyen:

• Supervisar el cumplimiento de esta Política y de la normativa aplicable.
• Asesorar a la Dirección y a las áreas operativas en materia de protección de datos.
• Actuar como punto de contacto con los Responsables del Tratamiento (clientes) para cuestiones relativas a la protección de datos.
• Coordinar la atención de solicitudes de ejercicio de derechos de los titulares.
• Supervisar la gestión de incidentes de seguridad que afecten datos personales.
• Coordinar las actividades de formación y concienciación.
• Realizar o supervisar las auditorías y evaluaciones periódicas de cumplimiento.

Datos de contacto:

• Correo electrónico: info@retentiontechnologies.com

21.3 Áreas operativas

Cada área o equipo de trabajo de Retention Technologies que intervenga en el tratamiento de datos personales es responsable de aplicar los principios y procedimientos establecidos en esta Política en el ámbito de sus funciones.

22. Formación y concienciación

Retention Technologies se compromete a implementar un programa de formación continua en materia de protección de datos personales, que incluirá:

• Formación inicial para todo nuevo empleado o colaborador antes de que inicie actividades que impliquen acceso a datos personales.
• Capacitaciones periódicas sobre cambios normativos, nuevas amenazas de seguridad, buenas prácticas y procedimientos internos actualizados.
• Campañas de concienciación sobre la importancia de la protección de datos y la responsabilidad individual en su cumplimiento.
• Formación específica para el personal involucrado en el desarrollo y operación de modelos de inteligencia artificial, con énfasis en aspectos éticos, prevención de sesgos y tratamiento de datos sensibles.

23. Control, evaluación y mejora continua

23.1 Auditorías

Retention Technologies realizará auditorías periódicas, tanto internas como externas, para evaluar el cumplimiento de la presente Política, la efectividad de las medidas de seguridad implementadas y el estado general de la protección de datos en la Compañía.

Los hallazgos de estas auditorías se documentarán en un plan de acción que incluirá las medidas correctivas y preventivas a implementar, con plazos y responsables asignados.

23.2 Indicadores de cumplimiento

Se definirán indicadores clave (KPIs) para medir el desempeño en materia de protección de datos, que podrán incluir: número de incidentes reportados, tiempo de respuesta a solicitudes de titulares, porcentaje de personal capacitado, resultados de auditorías, entre otros.

23.3 Revisión periódica

La presente Política será revisada al menos una vez al año, o antes si se producen cambios significativos en la normativa, en los servicios ofrecidos, en la estructura organizativa o en el entorno de amenazas.

24. Vigencia y actualización de la presente Política

La presente Política entra en vigor a partir de la fecha de su aprobación y permanecerá vigente hasta que sea sustituida por una versión actualizada.

Será responsabilidad del Responsable de Protección de Datos (o quien haga sus veces) mantener actualizada la presente Política, así como asegurar que todos los empleados y colaboradores de Retention Technologies tienen acceso a su versión vigente.

Cualquier modificación sustancial de esta Política será comunicada a los Responsables del Tratamiento (clientes) con quienes Retention Technologies mantenga relaciones contractuales vigentes.

25. Resolución de conflictos

En caso de conflictos de interpretación o aplicación de la presente Política, la Dirección General de Retention Technologies, con el asesoramiento del Responsable de Protección de Datos, resolverá la cuestión atendiendo a los principios de protección de datos recogidos en la Ley 1581 de 2012, al espíritu de esta Política y al interés superior de los derechos fundamentales de los titulares.

Anexo I — Ejemplos de categorías de datos personales tratados

Retention Technologies S.A.S. — NIT 901.988.804-3

info@retentiontechnologies.com