POLÍTICA INTEGRAL DE TRATAMIENTO DE DATOS PERSONALES, PRIVACIDAD Y CIBERSEGURIDAD PARA CHATBOTS
TABLA DE CONTENIDO
POLÍTICA INTEGRAL DE TRATAMIENTO DE DATOS PERSONALES, PRIVACIDAD Y CIBERSEGURIDAD PARA CHATBOTS
1. Introducción y datos de contacto.
2. Política de tratamiento de datos personales.
a. Roles de GEACCO en el tratamiento.
b. Derechos de los titulares y deberes de GEACCO.
c. Procedimientos de consulta y reclamo.
3. Política y Términos de Uso del Chatbot de WhatsApp.
a. Datos personales tratados en el Chatbot.
b. Restricciones críticas de seguridad.
c. Tratamiento de datos de terceros.
d. Proveedores, transferencias e Inteligencia Artificial (IA).
e. Calidad de la Información y Decisiones.
f. Tiempos de Retención de Datos.
4. Política de Ciberseguridad y Seguridad de la Información.
a. Controles Mínimos y Operativos.
b. Uso de nube y responsabilidad compartida.
c. Gestión de incidentes.
5. Disposiciones finales y vigencia.
6. Solicitud de eliminación de datos.
1. Introducción y datos de contacto
GESTIÓN DE ACTIVOS DE COLOMBIA S.A.S. – GEACCO S.A.S. (en adelante “GEACCO”) dicta las presentes pautas para garantizar una protección óptima de los datos personales que se recolectan en el marco de sus actividades empresariales y para resguardar su infraestructura crítica. Esta política obedece al mandato de la Ley Estatutaria 1266 de 2008 y la Ley 1581 de 2012.
• Responsable/Encargado: GESTIÓN DE ACTIVOS DE COLOMBIA S.A.S. – GEACCO S.A.S.
• Domicilio: Carrera 7 No. 156-10 Edificio Torre Krystal Oficina 2205, Bogotá D.C., Colombia
• Correo para Habeas Data: direccionjuridica@geacco.com
• Teléfono: +57 316 895 8234
2. Política de tratamiento de datos personales
Esta política respeta y promueve el derecho constitucional de todas las personas a conocer, actualizar y rectificar la información almacenada sobre ellas. El tratamiento de datos se rige por principios fundamentales como la legalidad, finalidad, veracidad, transparencia, seguridad, confidencialidad y acceso restringido.
a. Roles de GEACCO en el tratamiento
• Como Responsable: GEACCO actúa bajo este rol cuando recolecta datos directamente para finalidades propias, tales como la gestión administrativa interna, seguridad, facturación, selección de personal o atención de sus propias peticiones, quejas y reclamos (PQR).
• Como Encargado: GEACCO actúa como Encargado cuando recibe datos personales desde un cliente corporativo para prestar un servicio contratado, actuando estrictamente bajo las instrucciones de dicho cliente (quien asume el rol de Responsable).
b. Derechos de los titulares y deberes de GEACCO
Los titulares de la información tienen derecho a conocer, actualizar y rectificar sus datos; solicitar prueba de la autorización; ser informados sobre el uso de sus datos; revocar la autorización o pedir la supresión de datos cuando proceda; y acceder a ellos de forma gratuita.
Por su parte, GEACCO se compromete a garantizar el pleno y efectivo ejercicio del derecho de hábeas data, permitir el acceso a la información únicamente a personas autorizadas, y conservar los registros con las debidas seguridades para impedir su pérdida, alteración o uso fraudulento.
c. Procedimientos de consulta y reclamo
• Consultas: Serán atendidas en un término máximo de diez (10) días hábiles. Si no fuere posible, se informará al interesado los motivos de la demora y se responderá en un plazo que no superará los cinco (5) días hábiles siguientes.
• Reclamos: El término de respuesta máximo será de quince (15) días hábiles. En caso de no ser posible, la fecha de respuesta no podrá superar los ocho (8) días hábiles siguientes.
3. Política y Términos de Uso del Chatbot de WhatsApp
GEACCO brinda atención y soporte operativo mediante un canal de WhatsApp (el “Chatbot”). Este canal está dirigido a representantes de clientes corporativos, proveedores y usuarios finales.
a. Datos personales tratados en el Chatbot
Dependiendo del caso, GEACCO podrá tratar las siguientes categorías de datos a través de este canal:
• Datos de contacto e identificación: Nombre, teléfono, correo, cargo, empresa y ciudad.
• Datos de interacción: Mensajes, solicitudes, transcripciones de audio y contenidos enviados (texto, imágenes, documentos).
• Datos del caso/servicio: Número de contrato, matrícula inmobiliaria, radicados, direcciones y estado de trámites.
• Metadatos técnicos y de seguridad: Logs de acceso, dirección IP, eventos de seguridad e identificadores de sesión.
b. Restricciones críticas de seguridad
Para proteger al usuario y cumplir con las normativas de la plataforma, se solicita expresamente no enviar por WhatsApp: números completos de documento de identidad, números completos de tarjetas, cuentas financieras, contraseñas, códigos de seguridad, información médica o cualquier dato altamente sensible. Si el usuario envía estos datos, GEACCO podrá eliminar el contenido, bloquear el flujo del chat y solicitar continuar la gestión por un canal alterno.
c. Tratamiento de datos de terceros
Si un usuario comparte datos personales de terceros a través del Chatbot, declara y garantiza que cuenta con la base legal o las autorizaciones necesarias para hacerlo. Esto libera a GEACCO de reclamaciones derivadas de entregas indebidas por parte del usuario, aunque GEACCO seguirá respondiendo por sus propias medidas de seguridad.
d. Proveedores, transferencias e Inteligencia Artificial (IA)
GEACCO utiliza proveedores tecnológicos que actúan como Encargados/Sub-encargados (como Meta para WhatsApp Business y AWS para infraestructura). Dado el alcance global de estos proveedores, los datos pueden ser objeto de transferencia internacional, para lo cual GEACCO implementa medidas que aseguran un nivel adecuado de protección.
Restricción estricta de IA: En cumplimiento con los WhatsApp Business Solución Terms 2026, GEACCO prohíbe explícitamente que los datos de la solución comercial sean utilizados para entrenar o mejorar modelos de Inteligencia Artificial de proveedores de terceros.
e. Calidad de la Información y Decisiones
Las respuestas proporcionadas por el Chatbot pueden ser automáticas y se brindan con fines informativos y de soporte. Estas respuestas no constituyen asesoría legal o financiera definitiva. Para decisiones críticas, el usuario siempre puede solicitar el escalamiento a un agente humano.
f. Tiempos de Retención de Datos
GEACCO conserva los datos solo por el tiempo necesario. La retención estándar es:
• Conversaciones y adjuntos del Chatbot: 90 días.
• Logs técnicos y de seguridad: 12 meses.
• Registros de opt-in/opt-out y auditoría mínima: Hasta 2 años.
• Soportes contables/comerciales y contractuales: Duración del contrato + 5 años, cuando aplique.
4. Política de Ciberseguridad y Seguridad de la Información
La organización ha implementado un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO 27005 para proteger la infraestructura crítica y los activos de información.
a. Controles Mínimos y Operativos
• Control de Acceso y Autenticación: Se aplica el principio de mínimo privilegio. Se requiere el uso de contraseñas robustas, autenticación multifactorial (MFA) donde sea posible, y la revocación inmediata de accesos al terminar una relación laboral o contractual.
• Seguridad de Redes: Los firewalls de la compañía se configuran por defecto en “deny all”, habilitando solo los servicios estrictamente necesarios. Además, se maneja segmentación de la red corporativa (LAN y Wireless).
• Criptografía: Se implementan controles criptográficos, como el cifrado en tránsito (TLS) y cifrado en reposo cuando aplica, para proteger claves, datos sensibles y la transmisión de información.
• Canales de Comunicación: Solo se permite la transmisión de información a través de canales autorizados: correos institucionales, canales de comunicación oficiales y canales seguros pactados con los clientes.
• Continuidad del Negocio: Se minimizan los efectos de interrupciones mediante copias de seguridad (backups) de treinta (30) días de las bases de datos y pruebas de restauración.
b. Uso de nube y responsabilidad compartida
Al utilizar proveedores de nube como AWS, rige el modelo de responsabilidad compartida: GEACCO asume la seguridad “en la nube” (gestión de la configuración, control de accesos, cifrado de datos y aplicaciones), mientras que el proveedor es responsable de asegurar la infraestructura física “de la nube”.
c. Gestión de incidentes
GEACCO tiene la responsabilidad de manejar adecuadamente cualquier incidente que afecte la infraestructura crítica o los datos personales. Todo incidente que involucre datos personales será gestionado mediante registro, contención y remediación, notificando obligatoriamente a las autoridades competentes en Colombia si se ven afectados de manera grave bienes jurídicos de terceros.
4. Disposiciones finales y vigencia
La Dirección de Tecnología es la responsable de este documento y lo revisará al menos una vez al año, o cuando cambie el alcance tecnológico o contractual. Las actualizaciones sustanciales serán aprobadas por la Dirección General y comunicadas a través del sitio web y/o los canales habituales.
5. Solicitud de eliminación de datos
En caso de que usted requiera solicitar la supresión o eliminación de sus datos personales de nuestras bases de datos, o desee ejercer cualquier otro derecho relacionado con su información (como conocer, actualizar o rectificar sus datos), puede enviar su solicitud formal por escrito al correo electrónico direccionjuridica@geacco.com o comunicarse directamente con nuestra área encargada a la línea telefónica +57 316 895 8234. Nuestro equipo validará su solicitud y le dará respuesta dentro de los términos establecidos por la normatividad legal vigente.