MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES

MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES

MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES

ORANGE THINKING S.A.S.

VersiĂłn: 1.0
Fecha de entrada en vigencia: 01 de abril de 2026
Naturaleza del documento: Interno – reservado – de uso exclusivo corporativo

1. OBJETO

El presente Manual Interno de PolĂ­ticas y Procedimientos para el Tratamiento de Datos Personales tiene por objeto establecer los lineamientos, roles, controles, protocolos, medidas y procedimientos internos que regirĂĄn en ORANGE THINKING S.A.S., identificada con NIT  901.545.369-1, para asegurar el cumplimiento adecuado de la normatividad colombiana sobre protecciĂłn de datos personales en todos los procesos corporativos, comerciales, operativos, creativos, tecnolĂłgicos, administrativos y contractuales de la compaùía.

2. FINALIDAD DEL MANUAL

El presente manual tiene como finalidades principales:

a) traducir el rĂŠgimen legal de protecciĂłn de datos a prĂĄcticas operativas internas;
b) definir responsables y niveles de intervenciĂłn dentro de la organizaciĂłn;
c) establecer protocolos claros para recolecciĂłn, almacenamiento, uso, circulaciĂłn, transmisiĂłn, supresiĂłn y custodia de datos personales;
d) unificar criterios frente al uso de CRM, formularios, automatizaciones, herramientas de marketing, plataformas tecnolĂłgicas, canales de mensajerĂ­a, pĂĄginas web y bases de datos;
e) prevenir incidentes, fugas, accesos no autorizados, errores operativos o tratamientos indebidos;
f) documentar las medidas de cumplimiento y control adoptadas por la compaùía; y
g) servir como instrumento de trazabilidad, formaciĂłn interna y mejora continua.

3. ALCANCE

El presente manual aplica a:

a) administradores, directivos, empleados, contratistas, freelancers, practicantes y terceros que actĂşen por cuenta de ORANGE THINKING S.A.S.;
b) todas las åreas y procesos de la compaùía;
c) todas las bases de datos personales administradas directa o indirectamente por la compaùía;
d) todos los tratamientos realizados por ORANGE THINKING S.A.S. en calidad de responsable o encargado; y
e) todos los entornos fĂ­sicos, digitales, remotos, hĂ­bridos o tercerizados en los que se traten datos personales.


4. MARCO INTERNO DE CUMPLIMIENTO

La compaùía reconoce que el tratamiento de datos personales constituye una actividad transversal a su operación y, en consecuencia, todo tratamiento deberå ajustarse a:

a) la PolĂ­tica de Tratamiento de Datos Personales de ORANGE THINKING S.A.S.;
b) el presente Manual Interno;
c) los avisos de privacidad y formatos de autorizaciĂłn vigentes;
d) los contratos celebrados con clientes, proveedores, empleados, contratistas y encargados;
e) los protocolos internos de seguridad y acceso; y
f) las instrucciones emitidas por la administración de la compaùía o por el årea encargada de protección de datos.

5. PRINCIPIOS RECTORES DE ACTUACIÓN INTERNA

Todo colaborador, directivo, contratista o tercero vinculado a ORANGE THINKING S.A.S. deberĂĄ actuar con arreglo a los principios de:

a) legalidad;
b) finalidad;
c) libertad;
d) veracidad o calidad;
e) transparencia;
f) acceso y circulaciĂłn restringida;
g) seguridad;
h) confidencialidad;
i) necesidad y proporcionalidad; y
j) responsabilidad demostrada.

6. ESTRUCTURA DE GOBERNANZA INTERNA

6.1. Responsable del tratamiento

ORANGE THINKING S.A.S. serĂĄ la responsable de las bases de datos personales que determine y administre en desarrollo de su actividad.

6.2. Área encargada de protección de datos

La compaùía designa como årea interna responsable de la coordinación operativa del cumplimiento del rÊgimen de datos personales a la Área Administrativa

Esta ĂĄrea podrĂĄ estar integrada por personal interno, asesorĂ­a externa o apoyo interdisciplinario, segĂşn lo determine la administraciĂłn de la sociedad.

6.3. Funciones del ĂĄrea encargada

Son funciones del ĂĄrea encargada de protecciĂłn de datos:

a) velar por la implementaciĂłn efectiva de la polĂ­tica y del presente manual;
b) coordinar la atenciĂłn de consultas, reclamos y solicitudes de titulares;
c) revisar formularios, avisos y autorizaciones;
d) llevar trazabilidad de incidentes y eventos relevantes;
e) proponer medidas correctivas y preventivas;
f) coordinar capacitaciones internas;
g) revisar prĂĄcticas de proveedores y encargados;
h) mantener actualizado el inventario bĂĄsico de tratamientos y bases de datos;
i) articular cumplimiento con ĂĄreas comercial, operativa, tecnolĂłgica y administrativa; y
j) escalar riesgos relevantes a la representaciĂłn legal o a la direcciĂłn.

7. CLASIFICACIÓN INTERNA DE LAS BASES DE DATOS

ORANGE THINKING S.A.S. podrĂĄ administrar, entre otras, las siguientes categorĂ­as de bases de datos:

a) base de prospectos y leads;
b) base de clientes activos y exclientes;
c) base de proveedores y aliados;
d) base de contratistas y freelancers;
e) base de trabajadores, exempleados y aspirantes;
f) base de contactos comerciales y networking;
g) base de formularios, funnels, CRM y automatizaciones;
h) base de asistentes a eventos, webinars o reuniones;
i) base de soporte, tickets, trazabilidad y grabaciones operativas;
j) base de testimonios, casos de ĂŠxito, imagen y voz, cuando aplique.

Cada base deberĂĄ tener, como mĂ­nimo, identificaciĂłn del proceso que la usa, finalidad, categorĂ­a de titulares, fuente de obtenciĂłn, responsable interno, ubicaciĂłn o sistema donde reposa, terceros con acceso y criterio de conservaciĂłn.

8. REGLAS DE RECOLECCIÓN DE DATOS

La recolecciĂłn de datos personales solo podrĂĄ realizarse cuando:

a) exista una finalidad legítima y compatible con la actividad de la compaùía;
b) se utilice el formato, canal o flujo autorizado por ORANGE THINKING S.A.S.;
c) se haya verificado si se requiere autorizaciĂłn previa del titular;
d) se haya puesto a disposiciĂłn del titular el aviso de privacidad o la polĂ­tica, cuando corresponda; y
e) la recolecciĂłn sea necesaria, pertinente y proporcional.

EstĂĄ prohibida la recolecciĂłn indiscriminada, excesiva o carente de finalidad clara.

9. REGLAS SOBRE AUTORIZACIÓN

Todo colaborador o tercero que intervenga en la captura de datos deberĂĄ verificar, cuando aplique, que exista autorizaciĂłn vĂĄlida del titular.

La autorizaciĂłn deberĂĄ ser:

a) previa;
b) expresa o derivada de conducta inequĂ­voca permitida por la ley;
c) informada; y
d) trazable en la medida de lo posible.

ORANGE THINKING S.A.S. procurarĂĄ conservar evidencia de la autorizaciĂłn mediante registros de formulario, logs, fecha, hora, IP, fuente, grabaciĂłn, correo, aceptaciĂłn de checkbox, documento firmado o mecanismo equivalente.

10. CANALES AUTORIZADOS DE CAPTURA

Solo podrĂĄn utilizarse para recolecciĂłn de datos personales los canales previamente aprobados por ORANGE THINKING S.A.S., entre ellos:

a) sitio web oficial;
b) landing pages autorizadas;
c) formularios institucionales;
d) CRM corporativo;
e) correo corporativo;
f) lĂ­neas de WhatsApp oficiales;
g) reuniones o onboarding documentado;
h) contratos, cotizaciones y documentos comerciales;
i) herramientas de atenciĂłn o soporte aprobadas; y
j) otros canales expresamente habilitados por la administraciĂłn.

Queda prohibido usar cuentas personales, hojas de cĂĄlculo no autorizadas, dispositivos no controlados o formularios improvisados sin aprobaciĂłn interna previa, salvo contingencia debidamente justificada y documentada.

11. TRATAMIENTO DE DATOS SENSIBLES

La compaùía evitarå recolectar datos sensibles, salvo que:

a) resulten estrictamente necesarios;
b) exista base legal suficiente;
c) se informe expresamente al titular que no estĂĄ obligado a autorizarlos; y
d) se adopten medidas reforzadas de restricciĂłn y seguridad.

Todo tratamiento de datos sensibles deberĂĄ ser informado de inmediato al ĂĄrea encargada de protecciĂłn de datos.

12. TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES

La compaùía no tratarå datos de menores, salvo casos excepcionales legalmente admisibles y previamente validados por el årea encargada de protección de datos.

Cuando ello ocurra, deberĂĄn existir:

a) justificaciĂłn documentada;
b) revisiĂłn de necesidad y proporcionalidad;
c) autorizaciĂłn del representante legal cuando corresponda; y
d) medidas especiales de protecciĂłn.

13. USO DE CRM, AUTOMATIZACIONES Y HERRAMIENTAS DIGITALES

Todo uso de CRM, automatizaciones, email marketing, formularios, segmentaciones, chatbots, secuencias, integraciones, motores de IA o herramientas similares deberĂĄ observar las siguientes reglas:

a) solo se usarån herramientas previamente aprobadas por la compaùía;
b) el acceso serĂĄ por perfiles y necesidad de conocimiento;
c) se evitarĂĄ cargar datos sensibles o innecesarios;
d) no se incorporarĂĄn bases ajenas o compradas sin validaciĂłn legal previa;
e) los flujos automatizados deberĂĄn reflejar las finalidades informadas al titular;
f) toda herramienta nueva deberĂĄ pasar por revisiĂłn razonable de privacidad, seguridad y necesidad;
g) cuando exista tratamiento por cuenta de clientes, deberĂĄ verificarse el marco contractual aplicable; y
h) toda automatizaciĂłn con alto impacto reputacional, comercial o regulatorio deberĂĄ tener revisiĂłn humana razonable.

14. REGLAS PARA TRATAMIENTO POR CUENTA DE CLIENTES

Cuando ORANGE THINKING S.A.S. trate datos personales por cuenta de clientes, el equipo deberĂĄ verificar:

a) que exista contrato o documento que soporte la relaciĂłn;
b) que el cliente haya definido finalidad y alcance del tratamiento;
c) que la fuente de los datos sea lĂ­cita;
d) que existan instrucciones claras y uso limitado;
e) que no se mezclen bases del cliente con bases propias; y
f) que los accesos, exportaciones y devoluciones queden documentados.

15. REGLAS PARA PROVEEDORES Y ENCARGADOS

Todo proveedor, aliado o tercero que acceda a datos personales deberĂĄ estar sujeto, segĂşn corresponda, a:

a) clĂĄusula de confidencialidad;
b) obligaciones de seguridad;
c) limitaciĂłn de uso;
d) deber de atender instrucciones de ORANGE THINKING S.A.S.;
e) obligaciĂłn de reportar incidentes; y
f) reglas de devoluciĂłn, supresiĂłn o bloqueo de acceso al terminar la relaciĂłn.

Antes de habilitar accesos relevantes, ORANGE THINKING S.A.S. procurarĂĄ verificar la necesidad del proveedor, su rol en el tratamiento y la razonabilidad de sus condiciones operativas.

16. ACCESO Y CIRCULACIÓN RESTRINGIDA

El acceso a datos personales se regirĂĄ por el principio de necesidad de conocimiento.

En consecuencia:

a) no todo colaborador puede acceder a todas las bases;
b) cada acceso debe responder a una funciĂłn concreta;
c) los permisos deberĂĄn asignarse por perfil;
d) debe existir control sobre creaciĂłn, modificaciĂłn y revocatoria de usuarios; y
e) al terminar la relaciĂłn con cualquier colaborador o contratista, deberĂĄn revocarse o bloquearse los accesos correspondientes.

17. ALMACENAMIENTO Y CUSTODIA

Los datos personales deberån almacenarse en entornos razonablemente seguros y aprobados por la compaùía.

Queda prohibido:

a) almacenar bases en equipos personales no controlados;
b) compartir bases completas por canales informales sin necesidad operativa;
c) imprimir datos personales sin justificaciĂłn;
d) descargar masivamente bases sin autorizaciĂłn;
e) dejar accesibles archivos con datos en enlaces pĂşblicos o repositorios abiertos.

18. CONSERVACIÓN Y ELIMINACIÓN

Los datos personales no deberĂĄn conservarse indefinidamente por inercia operativa.

Cada ĂĄrea deberĂĄ aplicar criterios razonables de conservaciĂłn, atendiendo:

a) la finalidad del tratamiento;
b) la vigencia de la relaciĂłn con el titular;
c) obligaciones contractuales, contables, laborales, legales o probatorias; y
d) la necesidad real de archivo.

Cuando proceda la eliminaciĂłn, esta deberĂĄ hacerse de forma segura, documentada y, en la medida de lo posible, verificable.

19. GESTIÓN DE CONSULTAS Y RECLAMOS

Toda consulta, reclamo, solicitud de actualizaciĂłn, rectificaciĂłn, supresiĂłn o revocatoria deberĂĄ remitirse inmediatamente al ĂĄrea encargada de protecciĂłn de datos.

NingĂşn colaborador podrĂĄ responder de fondo por fuera del procedimiento interno sin coordinaciĂłn previa.

El flujo interno mĂ­nimo serĂĄ:

a) recepciĂłn de la solicitud;
b) registro de fecha y canal de ingreso;
c) validaciĂłn de identidad o legitimaciĂłn;
d) clasificaciĂłn entre consulta o reclamo;
e) verificaciĂłn de completitud;
f) traslado al ĂĄrea o sistema donde reposa la informaciĂłn;
g) consolidaciĂłn de respuesta;
h) emisiĂłn de respuesta dentro del tĂŠrmino legal; y
i) archivo del soporte y cierre del caso.

20. GESTIÓN DE INCIDENTES DE SEGURIDAD

Se entenderĂĄ por incidente cualquier evento que implique o pueda implicar pĂŠrdida, acceso no autorizado, fuga, exposiciĂłn, alteraciĂłn, indisponibilidad, uso indebido o tratamiento no autorizado de datos personales.

Ante un incidente, todo colaborador deberĂĄ:

a) reportarlo inmediatamente al ĂĄrea encargada;
b) abstenerse de ocultarlo, minimizarlo o corregirlo informalmente sin trazabilidad;
c) preservar evidencias razonables;
d) seguir las instrucciones de contenciĂłn; y
e) no comunicar externamente el incidente sin autorizaciĂłn de la administraciĂłn.

El ĂĄrea encargada deberĂĄ, segĂşn el caso:

a) registrar el incidente;
b) clasificar su nivel de criticidad;
c) coordinar medidas de contenciĂłn;
d) determinar impacto y bases comprometidas;
e) evaluar necesidad de escalar a direcciĂłn, cliente, proveedor o autoridad;
f) definir acciones correctivas y preventivas; y
g) documentar el cierre.

21. USO DE CORREO, WHATSAPP Y MENSAJERÍA

El tratamiento de datos personales a travĂŠs de correo electrĂłnico, WhatsApp o mensajerĂ­a deberĂĄ ajustarse a estas reglas:

a) usar canales corporativos o autorizados;
b) evitar compartir bases completas o documentos sensibles sin necesidad;
c) verificar destinatarios antes de enviar;
d) limitar reenvĂ­os innecesarios;
e) usar lenguaje adecuado y trazable;
f) no compartir capturas de clientes o titulares en grupos informales sin justificaciĂłn; y
g) documentar autorizaciones o instrucciones relevantes cuando el canal sea utilizado para ese fin.

22. REUNIONES, LLAMADAS Y GRABACIONES

Cuando por razones operativas, de soporte, calidad, onboarding, seguimiento o prueba se graben llamadas, videollamadas, reuniones o sesiones, deberĂĄ verificarse previamente que exista informaciĂłn suficiente al participante y base jurĂ­dica adecuada para ello.

Las grabaciones deberĂĄn almacenarse con acceso restringido y por el tiempo razonablemente necesario para la finalidad que justificĂł su obtenciĂłn.

23. MARKETING Y COMUNICACIONES COMERCIALES

Las campaĂąas, secuencias, newsletters, follow-ups, automatizaciones comerciales y mensajes promocionales deberĂĄn:

a) estar alineados con las finalidades informadas;
b) respetar las preferencias, revocatorias o exclusiones de titulares;
c) evitar listas no legitimadas;
d) permitir, cuando corresponda, mecanismos razonables de baja o exclusiĂłn; y
e) no utilizar datos para fines incompatibles con la autorizaciĂłn o expectativa legĂ­tima del titular.

24. USO DE DATOS EN PROYECTOS DE IA

Cuando ORANGE THINKING S.A.S. utilice herramientas de inteligencia artificial o automatizaciones con tratamiento de datos personales, el equipo deberĂĄ aplicar, adicionalmente:

a) minimizaciĂłn de datos;
b) revisiĂłn de necesidad real del dato dentro del flujo;
c) anonimizaciĂłn o seudonimizaciĂłn cuando resulte razonable;
d) validaciĂłn humana sobre outputs de impacto relevante;
e) control sobre herramientas aprobadas;
f) prohibiciĂłn de cargar informaciĂłn sensible o confidencial en herramientas no autorizadas; y
g) documentaciĂłn bĂĄsica del riesgo cuando el tratamiento sea significativo.

25. CAPACITACIÓN Y CONCIENTIZACIÓN

ORANGE THINKING S.A.S. procurarĂĄ realizar procesos de capacitaciĂłn y actualizaciĂłn interna sobre protecciĂłn de datos personales, al menos cuando:

a) se vinculen nuevos colaboradores;
b) se adopten nuevas herramientas o flujos;
c) se identifiquen incidentes o errores recurrentes;
d) cambie el marco regulatorio o documental aplicable; o
e) la administraciĂłn lo considere necesario.

26. AUDITORÍA, MONITOREO Y MEJORA CONTINUA

La compaùía podrå realizar revisiones periódicas, muestreos, controles, auditorías internas o validaciones razonables sobre:

a) bases de datos;
b) autorizaciones;
c) formularios;
d) accesos;
e) contratos con encargados;
f) incidentes;
g) uso de herramientas tecnolĂłgicas; y
h) cumplimiento general de este manual.

Los hallazgos deberĂĄn documentarse y, cuando corresponda, dar lugar a acciones correctivas.

27. RÉGIMEN INTERNO DE INCUMPLIMIENTO

El incumplimiento de este manual por parte de empleados, contratistas o terceros podrĂĄ dar lugar, segĂşn la naturaleza del vĂ­nculo y la gravedad del hecho, a:

a) llamados de atenciĂłn;
b) restricciones o revocatoria de accesos;
c) requerimientos de correcciĂłn inmediata;
d) reportes a supervisiĂłn o direcciĂłn;
e) activaciĂłn de clĂĄusulas contractuales;
f) terminaciĂłn del vĂ­nculo; y
g) acciones legales a que haya lugar.

28. RESERVA DEL MANUAL

El presente manual tiene naturaleza interna y reservada. No estĂĄ diseĂąado como documento pĂşblico ni como sustituto de la PolĂ­tica de Tratamiento de Datos Personales.

Su circulaciĂłn se limitarĂĄ a quienes, por razĂłn de sus funciones, deban conocerlo, aplicarlo o supervisarlo.

29. VIGENCIA Y ACTUALIZACIÓN

El presente manual entra en vigencia el 01 de abril de 2026 y permanecerĂĄ vigente hasta que sea modificado, reemplazado o derogado por ORANGE THINKING S.A.S.

La administraciĂłn o el ĂĄrea encargada de protecciĂłn de datos podrĂĄn proponer ajustes cuando:

a) cambie la operaciĂłn del negocio;
b) se adopten nuevas tecnologĂ­as o flujos;
c) se detecten riesgos o incidentes;
d) se modifique el marco normativo o regulatorio; o
e) se considere necesario fortalecer el sistema interno de cumplimiento.

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare