Política de Privacidad
Cómo recopilamos, usamos y protegemos los datos personales en HoldingSoft+, conforme a la Ley 1581 de 2012 de Colombia y normas concordantes.
Fecha de entrada en vigor: 12 de mayo de 2026- Responsable del Tratamiento
- Marco Legal Aplicable
- Datos Personales que Recopilamos
- Finalidades del Tratamiento y Bases Jurídicas
- Autorización del Titular y Prueba del Consentimiento
- Integraciones con Plataformas de Terceros
- SOFÍA — Asistente de IA y Procesamiento Automatizado
- Datos Sensibles y Datos de Salud Ocupacional (SG-SST)
- Auto-actualización del Perfil del Trabajador
- Encargados y Subprocesadores del Tratamiento
- Medidas de Seguridad
- Notificación de Violaciones de Seguridad
- Decisiones Automatizadas y Elaboración de Perfiles
- Derechos del Titular
- Cookies y Tecnologías Similares
- Plazo de Retención
- Transferencias Internacionales de Datos
- Datos de Menores de Edad
- Derechos de Residentes de California (CCPA/CPRA)
- Política de No Discriminación
- Cambios a la Política
- Contacto y Oficial de Protección de Datos
1. Responsable del Tratamiento
El responsable del tratamiento de los datos personales recolectados a través de la plataforma HoldingSoft+ es:
- Razón social: Holding Consultants
- NIT: 900.143.612-6
- Dirección: Carrera 47 # 127D-03, Bogotá D.C., Colombia
- Email del responsable: [email protected]
- Teléfonos: +57 (1) 675 4738 · +57 300 323 9682 (móvil/WhatsApp)
- Horario de atención: lunes a viernes 8:00 a.m. – 5:30 p.m.; sábados 8:00 a.m. – 1:00 p.m. (hora Colombia)
- Canales PQRSF: web, correo electrónico, WhatsApp, línea telefónica y presencial.
Esta Política aplica específicamente al tratamiento de datos personales realizado a través de la plataforma HoldingSoft+. Para el tratamiento de datos en el marco de los servicios de consultoría tradicionales de Holding Consultants aplica la Política corporativa de Tratamiento de Datos, que coexiste con la presente.
Ambas políticas se expiden en cumplimiento de la Ley 1581 de 2012 de Colombia, el Decreto 1377 de 2013 y normas concordantes.
2. Marco Legal Aplicable
HoldingSoft+ opera principalmente desde Colombia con clientes en Colombia, México, Ecuador y Perú. El tratamiento de datos personales se rige por el marco legal aplicable en cada jurisdicción:
- Colombia (marco principal): Ley Estatutaria 1581 de 2012, Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario 1074 de 2015, Ley 1266 de 2008 (datos financieros), Decreto 1072 de 2015 (SG-SST). Autoridad: Superintendencia de Industria y Comercio (SIC).
- México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. Autoridad: INAI.
- Perú: Ley 29733 de Protección de Datos Personales y Decreto Supremo 003-2013-JUS. Autoridad: Autoridad Nacional de Protección de Datos Personales (ANPDP).
- Ecuador: Ley Orgánica de Protección de Datos Personales (2021). Autoridad: Superintendencia de Protección de Datos Personales.
Cuando un titular tenga residencia en una jurisdicción con estándares más protectores, se aplicará el marco más favorable al titular.
3. Datos Personales que Recopilamos
Recopilamos las siguientes categorías de datos personales:
Datos de registro y cuenta:
- Nombre completo, correo electrónico, teléfono, cargo.
- Razón social, NIT y datos de facturación de la empresa Cliente.
- Contraseña (almacenada cifrada con bcrypt, no recuperable).
Datos de uso de la Plataforma:
- Dirección IP, navegador, dispositivo, sistema operativo.
- Fecha, hora y tipo de acciones dentro de la Plataforma (auditoría).
- Documentos, registros, indicadores y demás contenido cargado por el Usuario.
Datos obtenidos mediante integraciones autorizadas:
- Métricas agregadas de páginas, publicaciones y audiencia de Meta, Instagram, TikTok, YouTube, Google Analytics, Bing Webmaster y LinkedIn, según los alcances autorizados por el Cliente en el flujo OAuth.
- Tokens de acceso (almacenados cifrados, con posibilidad de revocación por el Cliente en cualquier momento).
Datos recolectados durante la auto-actualización del perfil del trabajador (módulo opcional):
- Datos personales y de contacto actualizados: dirección de residencia, teléfonos, correos adicionales, contacto de emergencia, núcleo familiar, EPS/ARL/pensión, datos socioeconómicos y físicos relevantes para EPP (talla, peso, RH).
- Firma electrónica manuscrita digital capturada en lienzo (canvas) y almacenada como imagen, con plena validez conforme a la Ley 527 de 1999 y el Decreto 2364 de 2012.
- Fotografía de perfil (avatar): imagen no biométrica capturada por el trabajador desde su dispositivo o tomada con la cámara, utilizada únicamente para identificación visual dentro de la Plataforma (no se utiliza para reconocimiento facial ni perfilamiento biométrico).
- Geolocalización aproximada al momento de firmar la actualización: latitud, longitud y precisión reportadas por el navegador. Se recolecta únicamente con consentimiento expreso, específico y separado del titular antes de cada actualización; el titular puede negar este consentimiento y completar la actualización sin geolocalización. Finalidad exclusiva: trazabilidad probatoria del acto de auto-actualización.
- Atributos del dispositivo: dirección IP, User-Agent (navegador, sistema operativo, dispositivo), idioma aceptado, zona horaria y resolución de pantalla, capturados como evidencia forense del acto de firma.
- Hash criptográfico SHA-256 del texto de política aceptado y del conjunto de datos firmados, calculado para garantizar la inmutabilidad de la evidencia.
- Código de verificación SMS de un solo uso (OTP), enviado al celular registrado del trabajador cuando está disponible, como segundo factor de autenticación al firmar. El código no se persiste tras su validación.
4. Finalidades del Tratamiento y Bases Jurídicas
Los datos personales son tratados para finalidades específicas y con base jurídica determinada, según se detalla a continuación. Para titulares en la Unión Europea y el EEE se indica la base del artículo 6 del Reglamento (UE) 2016/679 (RGPD); para titulares en Colombia y Latinoamérica se invoca la autorización otorgada conforme a la Ley 1581 de 2012.
Datos de registro y contacto (nombre, email, teléfono, cargo):
- Crear, autenticar y administrar la cuenta del Usuario — ejecución contractual (Art. 6.1.b RGPD).
- Facturación, cobro y emisión de documentos tributarios — ejecución contractual y obligación legal (Art. 6.1.b y 6.1.c RGPD).
- Soporte técnico y comunicaciones operativas de incidentes — ejecución contractual (Art. 6.1.b RGPD).
Datos de uso y logs (IP, navegador, auditoría):
- Seguridad informática y prevención de fraude conforme a la Ley 1273 de 2009 — interés legítimo (Art. 6.1.f RGPD).
- Trazabilidad de cambios en registros ISO/SG-SST para auditoría — ejecución contractual y obligación legal (Art. 6.1.b y 6.1.c RGPD).
- Analítica agregada y anonimizada para mejorar la Plataforma, sin perfilamiento individual — interés legítimo (Art. 6.1.f RGPD), previa ponderación con derecho de oposición.
Datos sensibles de salud ocupacional (SG-SST):
- Gestión de exámenes médicos ocupacionales, ausentismo, accidentes e incidentes, conforme al Decreto 1072 de 2015 — obligaciones laborales y de seguridad social (Art. 9.2.b RGPD en conexión con § 22 BDSG y Ley 31/1995 España cuando aplique).
- Cumplimiento de obligaciones del empleador ante ARL, EPS y Ministerio del Trabajo — obligación legal.
Datos de integraciones OAuth (Meta, Google, TikTok, Bing, YouTube, LinkedIn):
- Presentar al Cliente métricas de sus propias cuentas únicamente en su dashboard — consentimiento específico (Art. 6.1.a RGPD), revocable en cualquier momento.
- No se utilizan para publicidad, perfilamiento ni entrenamiento de IA.
Comunicaciones comerciales (solo con opt-in expreso):
- Informar novedades, contenido educativo ISO/SG-SST y ofertas — consentimiento previo, libre, específico, informado e inequívoco (Art. 6.1.a RGPD, Art. 21 LSSICE), con retiro en cada comunicación.
Auto-actualización del perfil del trabajador (firma electrónica, geolocalización, dispositivo):
- Mantener actualizados los datos personales del trabajador requeridos para obligaciones laborales y SG-SST conforme al Decreto 1072 de 2015 — obligación legal y ejecución contractual (Art. 6.1.b y 6.1.c RGPD).
- Constituir evidencia forense del acto de actualización (firma, IP, dispositivo, hash y, cuando el titular lo consienta expresamente, geolocalización) — interés legítimo del Responsable en preservar prueba (Art. 6.1.f RGPD) en concurrencia con la autorización del titular para datos identificables.
- El uso de geolocalización aproximada está sujeto a consentimiento expreso, específico y separado recabado en el mismo acto de actualización; su revocación no afecta la validez de la actualización previamente realizada.
No tomamos decisiones automatizadas con efectos legales significativos sobre el titular sin intervención humana (Art. 22 RGPD; Ley 1581 Art. 4 literal a; Circular Externa 002 de 2024 de la SIC sobre IA).
5. Autorización del Titular y Prueba del Consentimiento
Conforme al artículo 9 de la Ley 1581 de 2012 y a los artículos 5 al 7 del Decreto 1377 de 2013 (Colombia), el tratamiento de datos personales requiere autorización previa, expresa e informada del titular. Esta autorización se obtiene mediante los siguientes mecanismos:
- Registro en la Plataforma: casilla de aceptación no pre-marcada (“He leído y acepto la Política de Privacidad”) activada voluntariamente antes de crear la cuenta.
- Firma electrónica: la aceptación tiene plena validez conforme a la Ley 527 de 1999 y el Decreto 2364 de 2012 (Colombia), al Reglamento UE 910/2014 (eIDAS) para titulares europeos, y a la ESIGN Act + UETA para titulares estadounidenses.
- Datos sensibles y de salud ocupacional: autorización adicional, específica y separada, con descripción del dato sensible y la finalidad concreta.
- Comunicaciones comerciales: consentimiento opt-in diferenciado, revocable en cualquier momento.
Holding Consultants conserva prueba de la autorización (timestamp, IP, versión de la política aceptada, mecanismo de aceptación) por el término de la relación contractual y cinco (5) años adicionales, conforme al artículo 10 del Decreto 1377 de 2013. La prueba está disponible a solicitud del titular en un plazo máximo de diez (10) días hábiles.
El titular puede revocar la autorización en cualquier momento, de forma total o parcial, por el mismo medio por el cual la otorgó o escribiendo a [email protected], sin costo ni requisitos desproporcionados, salvo que la ley imponga a Holding Consultants el deber de continuar tratando los datos (obligaciones contables, tributarias o laborales).
6. Integraciones con Plataformas de Terceros
HoldingSoft+ se conecta con plataformas de terceros únicamente cuando el Cliente lo autoriza expresamente mediante el flujo OAuth 2.0 oficial de cada una. Para cada integración:
- Meta (Facebook, Instagram): solicitamos los permisos pages_read_engagement, pages_show_list, instagram_basic e instagram_manage_insights exclusivamente para mostrar métricas de páginas e Instagram Business en el dashboard de analítica del Cliente. El uso está sujeto a los Platform Terms de Meta.
- TikTok: solicitamos los permisos user.info.basic, user.info.profile y user.info.stats (Login Kit) exclusivamente para mostrar métricas de audiencia de la cuenta —seguidores, interacciones y crecimiento— en el dashboard del Cliente. No accedemos al listado ni al contenido de videos individuales. El uso está sujeto a los TikTok Developer Terms.
- Google (Analytics + YouTube): solicitamos analytics.readonly y youtube.readonly + yt-analytics.readonly exclusivamente para mostrar métricas agregadas. El uso está sujeto a la Google API Services User Data Policy incluyendo los requisitos de Limited Use.
- Microsoft Bing Webmaster: consultas de búsqueda orgánica mediante API Key. Uso sujeto a Microsoft Services Agreement.
- LinkedIn Marketing API: métricas de páginas de empresa. Uso sujeto a LinkedIn API Terms.
Compromisos explícitos:
- No compartimos, vendemos ni cedemos a terceros los datos obtenidos de estas integraciones.
- No utilizamos estos datos para entrenar modelos de inteligencia artificial, generar perfiles publicitarios, ni fines distintos a la presentación al Cliente.
- Los tokens de acceso son almacenados cifrados y son revocables en cualquier momento por el Cliente desde cada plataforma o desde HoldingSoft+.
- Al desconectar una integración o eliminar la cuenta, los tokens y datos derivados se eliminan en un plazo máximo de 30 días.
7. SOFÍA — Asistente de IA y Procesamiento Automatizado
La Plataforma incluye SOFÍA, un asistente conversacional basado en técnica RAG (Retrieval-Augmented Generation) que permite consultar la documentación ISO/SG-SST del Cliente mediante lenguaje natural.
Garantías explícitas sobre datos y IA:
- No se utilizan datos del Cliente para entrenar modelos de IA: ni propios, ni de terceros (Azure OpenAI, Google Gemini, Anthropic). Los datos se procesan únicamente en el momento de la consulta y no permanecen en el modelo.
- Vectores (embeddings) derivados de la documentación autorizada residen cifrados en la infraestructura del Cliente y son eliminados al desactivar el documento origen.
- Decisiones automatizadas: SOFÍA no toma decisiones con efectos legales significativos sobre el titular sin intervención humana. Las respuestas son orientativas y requieren validación humana para cumplimiento normativo.
- Auditoría completa: toda interacción con SOFÍA queda registrada en la bitácora del Cliente, con trazabilidad de fuentes consultadas.
- Opt-out: el Cliente puede desactivar SOFÍA en cualquier momento para toda su cuenta o para documentos específicos, sin afectar el funcionamiento del resto de la Plataforma.
- Transparencia algorítmica (Art. 13.2.f RGPD): SOFÍA utiliza modelos de lenguaje de propósito general (Azure OpenAI GPT, Google Gemini) combinados con recuperación vectorial (RAG) sobre la documentación autorizada del Cliente. La lógica es: (i) conversión de la consulta en vector; (ii) recuperación de fragmentos relevantes; (iii) generación de respuesta natural citando fuentes. No se elabora perfil individual del titular.
- AI Act (Reglamento UE 2024/1689): SOFÍA es un sistema de IA de riesgo limitado sujeto a las obligaciones de transparencia del Art. 50. Los usuarios son informados de que interactúan con un sistema de IA. SOFÍA no se utiliza para evaluación, ranking, selección, promoción ni decisiones disciplinarias sobre trabajadores (excluyendo Anexo III.4 del AI Act).
- Evaluación de Impacto en Protección de Datos (DPIA/DSFA, Art. 35 RGPD): realizada y mantenida actualizada para el uso de SOFÍA sobre datos personales, disponible a Responsables-Clientes a petición.
8. Datos Sensibles y Datos de Salud Ocupacional (SG-SST)
HoldingSoft+ puede procesar datos sensibles cuando el Cliente utiliza módulos de SG-SST (exámenes médicos ocupacionales, historiales de accidentes, programas de salud), protegidos por garantías reforzadas conforme a la Ley 1581 art. 5 y Decreto 1072 de 2015.
Compromisos específicos con datos sensibles:
- Consentimiento reforzado: el tratamiento requiere autorización expresa, explícita y por escrito del titular, separada de la autorización general.
- Acceso restringido: solo usuarios expresamente autorizados por el Cliente pueden acceder a datos médicos (perfil médico ocupacional, IPS contratada).
- Cifrado reforzado: AES-256 en reposo + TLS 1.3 en tránsito + segregación a nivel de aplicación.
- Retención obligatoria de 20 años para historiales médicos ocupacionales conforme al artículo 2.2.4.6.13 del Decreto 1072 de 2015. El Cliente es responsable de gestionar su archivo posterior a la terminación del contrato.
- Prohibición de uso secundario: no utilizamos datos de salud para analítica agregada, marketing, ni entrenamiento de IA.
El titular de datos sensibles tiene derecho a negarse a suministrarlos, salvo cuando la ley lo exija (caso de datos ocupacionales para empresas con riesgo III-V).
9. Auto-actualización del Perfil del Trabajador
La Plataforma ofrece a las empresas-Cliente un módulo opcional mediante el cual pueden invitar a sus trabajadores a actualizar autónomamente sus propios datos personales (residencia, contactos, núcleo familiar, EPS/ARL/pensión, datos socioeconómicos y físicos para EPP, entre otros). El trabajador recibe un enlace personalizado por correo electrónico —o accede a través de un enlace público facilitado por su empleador— y completa un formulario web sin necesidad de iniciar sesión en la Plataforma.
Este módulo trata datos personales del trabajador como titular y aplica las siguientes garantías reforzadas:
Consentimientos diferenciados (no pre-marcados):
- Consentimiento general de tratamiento de los datos a actualizar, conforme al artículo 9 de la Ley 1581 de 2012.
- Consentimiento adicional para datos sensibles (RH, condición de discapacidad, EPS/ARL): casilla separada con explicación específica de finalidad.
- Consentimiento expreso para captura de geolocalización aproximada al momento de la firma. Es estrictamente opcional; el trabajador puede completar la actualización sin otorgarlo y la validez del acto no se ve afectada.
Firma electrónica y evidencia forense:
- Firma electrónica manuscrita digital capturada en lienzo táctil/mouse, con plena validez probatoria conforme a la Ley 527 de 1999 (Colombia) y el Decreto 2364 de 2012.
- Trazabilidad probatoria del acto: marca temporal UTC, dirección IP, User-Agent (navegador, sistema operativo, dispositivo), idioma del navegador, zona horaria, resolución de pantalla y, cuando consentido, geolocalización aproximada (latitud/longitud/precisión).
- Hash criptográfico SHA-256 del texto íntegro de política aceptado y del payload firmado, para preservar la inmutabilidad de la evidencia.
- Segundo factor SMS (OTP) mediante código de un solo uso, enviado al celular registrado del trabajador cuando esté disponible. El código no se persiste tras su validación; solo se conserva el hecho de que la verificación tuvo éxito.
- Snapshot inmutable del texto de la política y del consentimiento aceptado por el titular, asociado al acto.
Constancia escrita entregada al trabajador:
- Tras completar la actualización, el trabajador recibe automáticamente por correo electrónico un PDF firmado con: resumen de los datos modificados (antes y después), firma renderizada, sello de tiempo, hash de integridad y enlace para revocar el consentimiento. Una copia se conserva en la infraestructura cifrada de la Plataforma como respaldo del Responsable y queda disponible para descarga por el titular.
Limitaciones del autoservicio:
- El trabajador no puede modificar autónomamente su nombre legal, apellidos, número de documento de identidad, cargo, área, fecha de ingreso, salario, ni educación formal/experiencia laboral verificables. Los cambios sobre estos campos requieren un trámite separado iniciado por el trabajador y aprobado por la empresa-Cliente con soporte documental válido (cédula actualizada, registro civil, escritura pública, sentencia o diploma).
- El enlace de actualización es de un solo uso y expira automáticamente al completarse o transcurrido el plazo definido por la empresa-Cliente.
Conservación y revocación:
- La evidencia forense del consentimiento y la firma se conserva durante la vigencia del vínculo laboral del trabajador con la empresa-Cliente y cinco (5) años adicionales, conforme al artículo 10 del Decreto 1377 de 2013.
- El trabajador puede revocar su consentimiento en cualquier momento escribiendo a [email protected] o utilizando el enlace incluido en el correo de constancia. La revocación no afecta la licitud del tratamiento previo y se aplica sin perjuicio de las obligaciones legales del empleador de conservar datos laborales.
10. Encargados y Subprocesadores del Tratamiento
Para operar los Servicios utilizamos los siguientes subprocesadores, que actúan como Encargados del Tratamiento bajo acuerdos contractuales de confidencialidad, seguridad y cumplimiento (DPA):
| Subprocesador | Finalidad | Ubicación / Región |
|---|---|---|
| Microsoft Azure | Infraestructura cloud (Container Apps, Postgres, Blob Storage, Redis) | Brasil Sur (primaria) |
| Azure OpenAI Service | Procesamiento LLM para SOFÍA IA (opt-out disponible) | EE.UU. / UE |
| Google Gemini API | LLM fallback para SOFÍA IA (opt-out disponible) | EE.UU. |
| Cloudflare | CDN, WAF y protección DDoS del sitio público | Red global |
| SendGrid / Mailgun | Envío de correos transaccionales (confirmación, reseteo, notificaciones) | EE.UU. / UE |
| Meta Platform APIs | Integración opcional Facebook/Instagram autorizada por el Cliente | Global |
| Google APIs (Analytics, YouTube) | Integración opcional autorizada por el Cliente | Global |
| TikTok Developer APIs | Integración opcional autorizada por el Cliente | Global |
| Microsoft Bing Webmaster API | Integración opcional autorizada por el Cliente | Global |
| LinkedIn Marketing API | Integración opcional autorizada por el Cliente | Global |
Notificaremos con al menos 30 días de anticipación cualquier incorporación o cambio material de subprocesadores. El Cliente podrá objetar por escrito; en caso de objeción razonable, se buscará una alternativa o se permitirá la terminación sin penalidad.
11. Medidas de Seguridad
Aplicamos medidas técnicas, organizacionales y administrativas para proteger los datos:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Autenticación multifactor disponible para cuentas administrativas.
- Segregación de datos por tenant (arquitectura multi-tenant con aislamiento lógico).
- Registros de auditoría inmutables de acciones administrativas críticas.
- Copias de seguridad automatizadas diarias con retención de 30 días.
- Pruebas periódicas de seguridad y revisión de dependencias.
- Capacitación regular al personal en privacidad y seguridad de la información.
12. Notificación de Violaciones de Seguridad
Holding Consultants mantiene un procedimiento interno de detección, contención, evaluación y notificación de violaciones de seguridad de datos personales (“brechas”), alineado con los artículos 33 y 34 del RGPD, el artículo 17 literal n) de la Ley 1581 de 2012, la Circular Externa 002 de 2015 de la SIC, y los estándares ISO 27035.
- Notificación a autoridad de control (UE/EEE): en un plazo máximo de 72 horas desde la detección, cuando la brecha entrañe un riesgo para los derechos y libertades (Art. 33 RGPD). Cuando el riesgo sea alto, también se comunica al titular afectado sin dilación indebida (Art. 34 RGPD).
- Notificación a la SIC (Colombia): dentro de los quince (15) días hábiles siguientes a la detección, conforme a la Circular Externa 002 de 2015 de la SIC.
- Notificación al Cliente-Responsable: en calidad de Encargado, notificamos al Cliente sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a la detección, con: naturaleza del incidente, categorías y número aproximado de titulares afectados, consecuencias probables y medidas adoptadas.
- Registro de brechas: documentamos hechos, efectos y medidas correctivas, disponible a requerimiento de la autoridad competente.
- Canal de reporte público: cualquier titular o tercero puede reportar un incidente sospechoso a [email protected] con asunto “Reporte de seguridad”.
13. Decisiones Automatizadas y Elaboración de Perfiles
Conforme al artículo 22 del RGPD y a la Circular Externa 002 de 2024 de la SIC sobre tratamiento de datos personales con sistemas de Inteligencia Artificial, el titular tiene derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente.
- HoldingSoft+ no adopta decisiones automatizadas con efectos legales significativos sobre el titular en el curso ordinario del Servicio. Los resultados de SOFÍA IA y los análisis agregados son orientativos y requieren validación humana.
- Si en el futuro se introduce un tratamiento del art. 22 RGPD, se informará previamente al titular, se recabará base legal adecuada y se garantizará el derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión.
- Derecho de oposición: el titular puede oponerse al tratamiento automatizado de sus datos por SOFÍA enviando solicitud a [email protected]. La oposición se resuelve en diez (10) días hábiles en Colombia o un (1) mes en la UE.
- DPIA/DSFA: Holding Consultants mantiene una Evaluación de Impacto en Protección de Datos actualizada sobre SOFÍA (Art. 35 RGPD), disponible a petición de titulares y autoridades.
14. Derechos del Titular
Conforme a la Ley 1581 de 2012 y normas concordantes, el titular de datos personales tiene derecho a:
- Conocer, actualizar y rectificar sus datos personales.
- Solicitar prueba de la autorización otorgada al responsable.
- Ser informado sobre el uso que se ha dado a sus datos personales.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones.
- Revocar la autorización y/o solicitar la supresión de los datos, salvo obligaciones legales de retención.
- Acceder en forma gratuita a sus datos personales.
Para ejercer estos derechos, el titular puede enviar su solicitud a [email protected] indicando claramente el derecho que desea ejercer y adjuntando documento que acredite su identidad.
Plazos de respuesta (Ley 1581 de 2012 y Decreto 1377 de 2013):
- Consultas: máximo 10 días hábiles desde la recepción. Si no es posible responder en ese plazo, se informará los motivos y se resolverá en máximo 5 días hábiles adicionales.
- Reclamos: máximo 15 días hábiles desde el día siguiente a la recepción del reclamo completo. Si el reclamo está incompleto, se requerirá al interesado dentro de los 5 días siguientes.
- Reclamo en trámite: cuando un reclamo esté en proceso, se etiquetará la información bajo tratamiento con la leyenda “reclamo en trámite” en máximo 2 días hábiles.
Si el titular considera que no recibió atención adecuada, podrá presentar queja ante la Superintendencia de Industria y Comercio (SIC) en Colombia, o la autoridad competente en su jurisdicción.
Comité de Hábeas Data: Holding Consultants cuenta con un Comité interno de Hábeas Data responsable de revisar políticas, atender reclamos complejos, y dar trámite a las solicitudes. Contacto: [email protected]con asunto “Comité Hábeas Data”.
Derechos adicionales para titulares en la Unión Europea, EEE y Reino Unido (Arts. 15-22 y 77 RGPD):
- Acceso (Art. 15): confirmación y copia de los datos tratados.
- Rectificación (Art. 16): corrección de datos inexactos o incompletos.
- Supresión / Derecho al olvido (Art. 17): borrado cuando concurran las causas legales.
- Limitación del tratamiento (Art. 18): restringir el uso en los supuestos tasados.
- Portabilidad (Art. 20): recibir los datos en formato estructurado, legible por máquina (JSON/CSV) y transmitirlos a otro responsable.
- Oposición (Art. 21): oponerse al tratamiento basado en interés legítimo o marketing directo.
- Art. 22: no ser objeto de decisiones automatizadas (ver cláusula específica).
- Retirar el consentimiento (Art. 7.3) en cualquier momento, sin efecto retroactivo.
- Indemnización (Art. 82) por daños materiales o inmateriales derivados de tratamiento ilícito.
Autoridades de control por jurisdicción:
- España: Agencia Española de Protección de Datos (AEPD) — C/ Jorge Juan 6, 28001 Madrid — www.aepd.es.
- Alemania: BfDI o la autoridad del Land competente — www.bfdi.bund.de.
- Austria: Datenschutzbehörde (DSB) — www.dsb.gv.at.
- Reino Unido: Information Commissioner’s Office (ICO) — ico.org.uk.
- Otros Estados UE/EEE: autoridad de control del país de residencia habitual, lugar de trabajo o lugar de la supuesta infracción.
El plazo de respuesta para titulares UE/EEE es de un (1) mes, prorrogable dos (2) meses adicionales por complejidad, notificando la prórroga al titular (Art. 12.3 RGPD).
15. Cookies y Tecnologías Similares
Utilizamos cookies y tecnologías similares conforme al artículo 22.2 de la LSSICE (España), al § 25 TTDSG (Alemania), a la Directiva ePrivacy (2002/58/CE) y a las Directrices AEPD sobre uso de cookies (edición 2023 actualizada 2024). Para residentes fuera de la UE/EEE aplicamos los mismos principios de transparencia.
Tipología utilizada:
- Cookies estrictamente necesarias (sesión autenticada, CSRF, balanceo de carga): indispensables para el funcionamiento del Servicio; no requieren consentimiento (§ 25 Abs. 2 Nr. 2 TTDSG).
- Cookies de preferencias (idioma, tema, última sección visitada): se cargan previo consentimiento del usuario.
- Cookies de analítica agregada (solo en landing pública, con IP anonimizada): se cargan únicamente previo consentimiento explícito mediante el banner de cookies.
No utilizamos cookies publicitarias, de remarketing ni rastreadores comportamentales de terceros en la Plataforma autenticada. No se instalan cookies de terceros con finalidades distintas a las declaradas.
En la primera visita al sitio público el usuario puede aceptar, rechazar o configurar cookies de forma granular mediante nuestro panel de consentimiento (CMP). El rechazo es tan sencillo como la aceptación(Guía AEPD 2024). La configuración puede modificarse en cualquier momento desde el enlace “Preferencias de cookies” del pie de página o en la configuración del navegador.
16. Plazo de Retención
Los datos personales se conservarán durante la vigencia del contrato y posteriormente por los plazos que impongan las obligaciones legales (contables, tributarias). Tras la terminación:
- El Cliente dispone de 30 días para exportar sus datos.
- Transcurrido dicho plazo, los datos son eliminados de producción.
- Las copias de seguridad se ciclan automáticamente en 30 días.
- Los registros de auditoría pueden conservarse hasta 5 años cuando así lo exija la ley.
17. Transferencias Internacionales de Datos
Los datos se almacenan principalmente en Microsoft Azure región Brasil Sur. Para procesamiento por servicios específicos (Azure OpenAI, Google Gemini, envío transaccional de correo, CDN global) puede existir transferencia internacional a Estados Unidos, Unión Europea u otras regiones de los subprocesadores listados en esta Política.
Bases jurídicas de las transferencias:
- Colombia (Art. 26 Ley 1581/2012 + Circular Externa 005 de 2017 SIC): cuando el país destino no cuente con nivel adecuado de protección certificado por la SIC, la transferencia se soporta acumulativamente en: (i) autorización expresa e informada del titular; (ii) cláusulas contractuales vinculantes con cada subprocesador; (iii) medidas técnicas equivalentes (cifrado, segregación, auditoría); (iv) evaluación previa de impacto y monitoreo continuo.
- Unión Europea (Cap. V RGPD): aplicamos las Cláusulas Contractuales Tipo (SCCs) de la Decisión de Ejecución (UE) 2021/914 de la Comisión — módulo 2 (Responsable→Encargado) y módulo 3 (Encargado→Subencargado), firmadas con Microsoft, Google, SendGrid, Cloudflare y demás subprocesadores. Cuando el importador esté adherido al EU-US Data Privacy Framework (Decisión de Adecuación 2023/1795), se invocará como base alternativa.
- Evaluación de Impacto de Transferencia (TIA): realizada conforme a las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (EDPB) a raíz de la sentencia TJUE C-311/18 (Schrems II), documentando medidas suplementarias: cifrado en tránsito TLS 1.3 + cifrado en reposo AES-256 + gestión de claves en Azure Key Vault + pseudonimización cuando procede + registro de requerimientos gubernamentales.
- Excepciones (Art. 49 RGPD): solo de forma residual, con consentimiento explícito e informado del titular cuando las garantías anteriores no sean suficientes.
El titular puede solicitar copia de las SCCs aplicables y del resumen del TIA escribiendo a [email protected].
18. Datos de Menores de Edad
HoldingSoft+ es una plataforma corporativa B2B dirigida a profesionales adultos. Las edades de consentimiento digital varían por jurisdicción y aplicamos el marco del país de residencia del titular:
- Estados Unidos (COPPA): no recopilamos conscientemente datos de menores de 13 años. Para menores entre 13 y 16, aplicamos los requisitos de consentimiento parental verificable de la CCPA §1798.120(c).
- España (Art. 7 LOPDGDD): el tratamiento basado en consentimiento requiere que el titular tenga al menos 14 años; para menores de 14 se requiere consentimiento del titular de la patria potestad.
- Alemania (Art. 8 DSGVO): la edad de consentimiento digital es 16 años.
- Resto de la UE: edad de consentimiento entre 13 y 16 años según el Estado miembro.
- Colombia y resto de Latinoamérica: no recopilamos conscientemente datos de menores de 18 años. Cuando el Cliente cargue datos de aprendices entre 15 y 18 años en el marco de contratos de aprendizaje SENA (Ley 789 de 2002) o análogos, el Cliente garantiza contar con autorización del representante legal del menor.
Si detectamos tratamiento inadvertido de datos de menores sin la base legal correspondiente, procederemos a su supresión inmediata. Para reportar un caso: [email protected].
19. Derechos de Residentes de California (CCPA/CPRA)
Esta sección aplica exclusivamente a residentes de California, Estados Unidos, conforme a la California Consumer Privacy Act (CCPA) modificada por la California Privacy Rights Act (CPRA), Cal. Civ. Code §§1798.100 y siguientes.
Sus derechos como consumidor de California:
- Derecho a saber: qué categorías de información personal recopilamos, la fuente, el propósito comercial y los terceros con quienes la compartimos (ver cláusulas “Datos Recopilados” e “Integraciones de Terceros”).
- Derecho a eliminar la información personal que tenemos sobre usted, con las excepciones legales aplicables.
- Derecho a corregir información personal inexacta.
- Derecho a optar por no participar (“Do Not Sell or Share”): no vendemos ni compartimos información personal según las definiciones CCPA/CPRA. En los últimos 12 meses no hemos vendido ni compartido información personal de residentes de California, ni planeamos hacerlo.
- Derecho a limitar el uso de Información Personal Sensible (SPI): aplicable a datos de salud ocupacional, credenciales y geolocalización precisa. Solo usamos SPI para prestar el Servicio y cumplir obligaciones legales.
- Derecho a la no discriminación por el ejercicio de estos derechos. No ofrecemos incentivos financieros a cambio de datos personales.
- Agente autorizado: puede designar a un tercero mediante poder notarizado para ejercer sus derechos.
Para ejercer estos derechos envíe solicitud verificable a [email protected] con asunto “CCPA Request”. Responderemos dentro de 45 días calendario, prorrogables 45 días adicionales previa notificación.
Residentes de Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Montana (MCDPA) y Delaware (DPDPA) gozan de derechos sustancialmente equivalentes y pueden ejercerlos por el mismo canal.
20. Política de No Discriminación
Holding Consultants rechaza toda forma de discriminación en el tratamiento de datos personales por motivos de raza, origen étnico, nacionalidad, género, identidad de género, orientación sexual, religión, opinión política, edad, discapacidad, estado civil, condición socioeconómica, afiliación sindical o cualquier otra condición protegida.
No se elaboran perfiles discriminatorios ni se toman decisiones que afecten negativamente al titular con base en estos criterios. La analítica agregada y el procesamiento automatizado se realizan con estricto apego a principios de equidad.
21. Cambios a la Política
Podremos modificar esta Política en cualquier momento para reflejar cambios legales, tecnológicos u operativos. Publicaremos la versión actualizada en /privacidad y notificaremos a los Clientes al menos con 30 días de anticipación cuando los cambios sean materiales.
22. Contacto y Oficial de Protección de Datos
Para cualquier consulta, solicitud, queja o reclamo relacionado con el tratamiento de datos personales, el titular puede contactarnos por cualquiera de los siguientes medios:
- Email: [email protected]
- Asunto sugerido: “Protección de Datos — [tipo de solicitud]”
- Dirección postal: Carrera 47 # 127D-03, Bogotá D.C., Colombia
- Teléfonos: +57 (1) 675 4738 · +57 300 323 9682 (móvil/WhatsApp)
- Horario de atención: lunes a viernes 8:00 a.m. – 5:30 p.m.; sábados 8:00 a.m. – 1:00 p.m. (hora Colombia)
En caso de disconformidad con la respuesta, el titular puede acudir ante la Superintendencia de Industria y Comercio (SIC) de Colombia.
