Política de Tratamiento de Datos

Alcance y propósito

Esta política aplica a las bases de datos y archivos que contengan datos personales tratados por Grupo Risk Management S.A.S. Su finalidad es garantizar el derecho de los titulares a conocer, actualizar, rectificar y solicitar la protección de su información personal, así como establecer criterios internos de reserva, seguridad y tratamiento responsable.

También busca dar claridad a clientes, proveedores, colaboradores, contratistas y terceros sobre las condiciones bajo las cuales la organización administra la información que obtiene de manera legítima en el ejercicio de su actividad.

Identificación

Grupo Risk Management S.A.S. desarrolla actividades de servicios en salud ocupacional, seguridad industrial, gestión del riesgo, consultoría de procesos organizacionales, administrativos y financieros, formación especializada e implementación de sistemas integrados de gestión.

Razón social: Grupo Risk Management S.A.S.

Domicilio principal: Carrera 42 # 3 Sur 81, Torre 1, Piso 15, Medellín, Antioquia.

Correo electrónico: info@gruporisk.co

Teléfonos: 310 830 03 55 · 312 792 28 89 · 311 661 46 76

Marco legal

La política se soporta, entre otras, en las siguientes disposiciones:

Artículos 15 y 20 de la Constitución Política de Colombia.
Ley 1581 de 2012.
Decreto 1081 de 2015, compilatorio del Decreto 1377 de 2013.
Ley 1266 de 2008, cuando resulte aplicable.
Ley 2157 de 2021.
Circular Externa 002 de 2015.
Circular Externa 003 de 2018.

Exclusiones

Esta política no se aplica a bases de datos o archivos que se encuentren en escenarios excluidos por la ley, entre ellos:

Información mantenida en un ámbito exclusivamente personal o doméstico.
Bases de datos asociadas a seguridad y defensa nacional o a la prevención y control del lavado de activos y financiación del terrorismo.
Bases de datos de inteligencia y contrainteligencia.
Archivos periodísticos y otros contenidos editoriales.
Bases de datos reguladas por normas especiales sobre información financiera y crediticia.
Bases de datos del DANE reguladas por disposiciones específicas.

Definiciones

Para facilitar la lectura, esta página resume algunos conceptos centrales de la política:

Autorización

Consentimiento previo, expreso e informado del titular para el tratamiento de sus datos personales.

Aviso de privacidad

Comunicación mediante la cual se informa al titular la existencia de la política, la forma de consultarla y la finalidad del tratamiento.

Base de datos

Conjunto organizado de datos personales sujeto a tratamiento.

Dato personal

Información vinculada o que pueda asociarse a una persona determinada o determinable.

Dato público

Dato no clasificado como semiprivado, privado o sensible y que puede figurar en registros o documentos públicos.

Dato sensible

Dato que afecta la intimidad del titular o cuyo uso indebido puede dar lugar a discriminación, como datos de salud, biométricos, creencias, afiliaciones, origen étnico o vida sexual.

Responsable y encargado

El responsable decide sobre la base de datos y su tratamiento; el encargado trata la información por cuenta del responsable.

Tratamiento

Operaciones como recolección, almacenamiento, uso, circulación, actualización o supresión de datos.

Transferencia y transmisión

La transferencia implica envío de datos a otro responsable; la transmisión corresponde al tratamiento por un encargado por cuenta del responsable.

Principios

Grupo Risk orienta el tratamiento de datos personales bajo principios como:

Legalidad: el tratamiento debe sujetarse a la ley.
Finalidad: la recolección debe responder a una finalidad legítima e informada.
Libertad: no hay tratamiento sin consentimiento previo, salvo excepciones legales.
Veracidad o calidad: la información debe ser exacta, completa, actualizada y comprensible.
Transparencia: el titular puede conocer el uso de sus datos.
Acceso y circulación restringida: el acceso debe limitarse a quienes estén autorizados.
Seguridad: se deben adoptar medidas técnicas, humanas y administrativas para proteger la información.
Confidencialidad: la reserva se mantiene incluso después de terminada la relación que justificó el tratamiento.
Responsabilidad demostrada: la organización debe poder evidenciar la implementación efectiva de medidas de cumplimiento.

Derechos del titular

Todo titular puede ejercer, entre otros, los siguientes derechos:

Conocer, actualizar y rectificar sus datos personales.
Solicitar prueba de la autorización otorgada, salvo cuando la ley exima ese requisito.
Ser informado sobre el uso dado a su información.
Presentar quejas ante la Superintendencia de Industria y Comercio cuando lo considere procedente.
Revocar la autorización o solicitar la supresión del dato cuando no se respeten los principios y garantías legales.
Acceder gratuitamente a los datos personales que hayan sido objeto de tratamiento.

Niños, niñas y adolescentes

El tratamiento de datos personales de menores está sujeto a reglas reforzadas de protección. Solo podrá adelantarse en los casos permitidos por la ley y siempre que se respete su interés superior y sus derechos fundamentales.

Cuando corresponda, la autorización deberá ser otorgada por su representante legal, considerando la capacidad del menor para ser escuchado y comprendiendo la naturaleza del asunto.

Deberes de Grupo Risk

Como responsable del tratamiento, Grupo Risk asume deberes como:

Garantizar el ejercicio del hábeas data.
Solicitar y conservar la autorización correspondiente cuando sea necesaria.
Informar la finalidad de la recolección.
Conservar la información con medidas adecuadas de seguridad.
Mantener los datos actualizados, exactos y verificables.
Rectificar información incorrecta cuando corresponda.
Tramitar oportunamente consultas, reclamos y peticiones.
Reportar incidentes de seguridad a la autoridad competente cuando aplique.
Cumplir instrucciones de la Superintendencia de Industria y Comercio.
Usar los datos solo para finalidades autorizadas y legítimas.

Registro nacional de bases de datos

El Registro Nacional de Bases de Datos es el directorio público administrado por la Superintendencia de Industria y Comercio respecto de las bases de datos sujetas a tratamiento. Grupo Risk atenderá las obligaciones de reporte que correspondan conforme a la reglamentación vigente.

Autorizaciones

Salvo las excepciones previstas por la ley, el tratamiento de datos personales requiere autorización previa e informada del titular, obtenida por un medio que permita su consulta posterior.

Canales definidos por la organización para consultas y manifestaciones del titular:

Comunicación dirigida a Carrera 42 # 3 Sur 81, Torre 1, Piso 15, Medellín, Antioquia.
Solicitud enviada al correo info@gruporisk.co.

Eventos en los cuales no es necesaria la autorización

La autorización del titular no será exigible, entre otros, cuando:

La información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
Se trate de datos de naturaleza pública.
Existan casos de urgencia médica o sanitaria.
La ley autorice el tratamiento con fines históricos, estadísticos o científicos.
Los datos estén relacionados con el registro civil de las personas.

Legitimación para ejercer derechos

Los derechos del titular pueden ser ejercidos por:

El propio titular, acreditando su identidad.
Sus causahabientes, debidamente acreditados.
Su representante o apoderado, con acreditación suficiente.
Quien actúe por estipulación a favor de otro o para otro, cuando sea procedente.

Tratamiento al cual serán sometidos los datos y finalidad

El tratamiento de datos personales de trabajadores, clientes, proveedores y contratistas se realiza dentro del marco legal y de acuerdo con la actividad de Grupo Risk como empresa prestadora de servicios de consultoría, asesoría y formación.

Los datos indispensables se usan para desarrollar la misión institucional, gestionar relaciones contractuales, comerciales, laborales y administrativas, cumplir obligaciones legales y responder de manera adecuada a los fines propios de la organización.

Datos sensibles

Su tratamiento solo podrá efectuarse cuando exista una de las condiciones legales que lo habiliten, como autorización explícita, interés vital del titular, defensa judicial o finalidades históricas, estadísticas o científicas.

Personas a quienes se les puede suministrar la información

La información podrá entregarse, cuando sea procedente, a:

Los titulares, sus causahabientes o representantes legales.
Entidades públicas o administrativas que la requieran legalmente o por orden judicial.
Terceros autorizados por el titular o por la ley.

Persona o área responsable

El área Administrativa, bajo la Dirección Administrativa, lidera el desarrollo, implementación, capacitación y observancia de esta política. Las diferentes áreas de la empresa deben reportar de manera inmediata las peticiones, consultas, quejas o reclamos que reciban relacionados con datos personales.

Procedimiento para la atención de consultas, reclamos y peticiones

Consultas

Los titulares o sus causahabientes pueden consultar la información personal que repose en las bases de datos de Grupo Risk a través del correo info@gruporisk.co. El plazo máximo de respuesta es de diez (10) días hábiles, prorrogable por cinco (5) días hábiles más cuando existan razones que lo justifiquen y se informe oportunamente al interesado.

Reclamos

Cuando el titular considere que la información debe ser corregida, actualizada o suprimida, o advierta un presunto incumplimiento, podrá presentar reclamo por correo electrónico a info@gruporisk.co, indicando su identificación, los hechos, la dirección de contacto y los soportes que quiera hacer valer.

Si el reclamo está incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes para subsanar.
Si no se completa dentro de dos (2) meses, se entenderá desistido.
Una vez recibido completo, se marcará como reclamo en trámite.
El plazo máximo de respuesta es de quince (15) días hábiles, prorrogable por ocho (8) días hábiles adicionales cuando sea necesario.

Actualización, rectificación y supresión

La solicitud debe enviarse al mismo correo, indicando claramente el ajuste requerido y aportando los documentos que soporten la petición.

Revocatoria de autorización

El titular puede revocar su consentimiento, salvo que exista un deber legal o contractual que impida la supresión. Si no se atiende dentro del término legal, podrá acudir ante la Superintendencia de Industria y Comercio.

Transferencia y transmisión internacional de datos personales

Grupo Risk, en desarrollo de su actividad y de sus relaciones comerciales o administrativas de carácter nacional o internacional, podrá efectuar transferencia o transmisión de datos personales cuando ello resulte necesario para el desarrollo de su misión institucional.

En esos eventos, adoptará medidas para que los terceros receptores conozcan y se comprometan a cumplir esta política, limitando el uso de la información a asuntos directamente relacionados con la relación que la motiva y al tiempo estrictamente necesario.

Las transferencias internacionales se sujetarán a la normatividad aplicable y, cuando proceda, a las exigencias del artículo 26 de la Ley 1581 de 2012 y las disposiciones reglamentarias sobre contratos de transmisión de datos.

Vigencia

Esta política se encuentra vigente desde el 05 de marzo de 2026 y tiene una duración inicial de cinco (5) años, salvo que se presenten cambios sustanciales en la normatividad o en los lineamientos regulatorios aplicables, caso en el cual podrá ser actualizada.

Política de Tratamiento y Protección de Datos Personales