MANUAL INTERNO DE POLĂTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES
17 de julio de 2026 2026-07-17 11:25MANUAL INTERNO DE POLĂTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES
MANUAL INTERNO DE POLĂTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES
ORANGE THINKING S.A.S.
VersiĂłn: 1.0
Fecha de entrada en vigencia: 01 de abril de 2026
Naturaleza del documento: Interno â reservado â de uso exclusivo corporativo
1. OBJETO
El presente Manual Interno de PolĂticas y Procedimientos para el Tratamiento de Datos Personales tiene por objeto establecer los lineamientos, roles, controles, protocolos, medidas y procedimientos internos que regirĂĄn en ORANGE THINKING S.A.S., identificada con NIT 901.545.369-1, para asegurar el cumplimiento adecuado de la normatividad colombiana sobre protecciĂłn de datos personales en todos los procesos corporativos, comerciales, operativos, creativos, tecnolĂłgicos, administrativos y contractuales de la compaĂąĂa.
2. FINALIDAD DEL MANUAL
El presente manual tiene como finalidades principales:
a) traducir el rĂŠgimen legal de protecciĂłn de datos a prĂĄcticas operativas internas;
b) definir responsables y niveles de intervenciĂłn dentro de la organizaciĂłn;
c) establecer protocolos claros para recolecciĂłn, almacenamiento, uso, circulaciĂłn, transmisiĂłn, supresiĂłn y custodia de datos personales;
d) unificar criterios frente al uso de CRM, formularios, automatizaciones, herramientas de marketing, plataformas tecnolĂłgicas, canales de mensajerĂa, pĂĄginas web y bases de datos;
e) prevenir incidentes, fugas, accesos no autorizados, errores operativos o tratamientos indebidos;
f) documentar las medidas de cumplimiento y control adoptadas por la compaĂąĂa; y
g) servir como instrumento de trazabilidad, formaciĂłn interna y mejora continua.
3. ALCANCE
El presente manual aplica a:
a) administradores, directivos, empleados, contratistas, freelancers, practicantes y terceros que actĂşen por cuenta de ORANGE THINKING S.A.S.;
b) todas las ĂĄreas y procesos de la compaĂąĂa;
c) todas las bases de datos personales administradas directa o indirectamente por la compaĂąĂa;
d) todos los tratamientos realizados por ORANGE THINKING S.A.S. en calidad de responsable o encargado; y
e) todos los entornos fĂsicos, digitales, remotos, hĂbridos o tercerizados en los que se traten datos personales.
4. MARCO INTERNO DE CUMPLIMIENTO
La compaĂąĂa reconoce que el tratamiento de datos personales constituye una actividad transversal a su operaciĂłn y, en consecuencia, todo tratamiento deberĂĄ ajustarse a:
a) la PolĂtica de Tratamiento de Datos Personales de ORANGE THINKING S.A.S.;
b) el presente Manual Interno;
c) los avisos de privacidad y formatos de autorizaciĂłn vigentes;
d) los contratos celebrados con clientes, proveedores, empleados, contratistas y encargados;
e) los protocolos internos de seguridad y acceso; y
f) las instrucciones emitidas por la administraciĂłn de la compaĂąĂa o por el ĂĄrea encargada de protecciĂłn de datos.
5. PRINCIPIOS RECTORES DE ACTUACIĂN INTERNA
Todo colaborador, directivo, contratista o tercero vinculado a ORANGE THINKING S.A.S. deberĂĄ actuar con arreglo a los principios de:
a) legalidad;
b) finalidad;
c) libertad;
d) veracidad o calidad;
e) transparencia;
f) acceso y circulaciĂłn restringida;
g) seguridad;
h) confidencialidad;
i) necesidad y proporcionalidad; y
j) responsabilidad demostrada.
6. ESTRUCTURA DE GOBERNANZA INTERNA
6.1. Responsable del tratamiento
ORANGE THINKING S.A.S. serĂĄ la responsable de las bases de datos personales que determine y administre en desarrollo de su actividad.
6.2. Ărea encargada de protecciĂłn de datos
La compaĂąĂa designa como ĂĄrea interna responsable de la coordinaciĂłn operativa del cumplimiento del rĂŠgimen de datos personales a la Ărea Administrativa
Esta ĂĄrea podrĂĄ estar integrada por personal interno, asesorĂa externa o apoyo interdisciplinario, segĂşn lo determine la administraciĂłn de la sociedad.
6.3. Funciones del ĂĄrea encargada
Son funciones del ĂĄrea encargada de protecciĂłn de datos:
a) velar por la implementaciĂłn efectiva de la polĂtica y del presente manual;
b) coordinar la atenciĂłn de consultas, reclamos y solicitudes de titulares;
c) revisar formularios, avisos y autorizaciones;
d) llevar trazabilidad de incidentes y eventos relevantes;
e) proponer medidas correctivas y preventivas;
f) coordinar capacitaciones internas;
g) revisar prĂĄcticas de proveedores y encargados;
h) mantener actualizado el inventario bĂĄsico de tratamientos y bases de datos;
i) articular cumplimiento con ĂĄreas comercial, operativa, tecnolĂłgica y administrativa; y
j) escalar riesgos relevantes a la representaciĂłn legal o a la direcciĂłn.
7. CLASIFICACIĂN INTERNA DE LAS BASES DE DATOS
ORANGE THINKING S.A.S. podrĂĄ administrar, entre otras, las siguientes categorĂas de bases de datos:
a) base de prospectos y leads;
b) base de clientes activos y exclientes;
c) base de proveedores y aliados;
d) base de contratistas y freelancers;
e) base de trabajadores, exempleados y aspirantes;
f) base de contactos comerciales y networking;
g) base de formularios, funnels, CRM y automatizaciones;
h) base de asistentes a eventos, webinars o reuniones;
i) base de soporte, tickets, trazabilidad y grabaciones operativas;
j) base de testimonios, casos de ĂŠxito, imagen y voz, cuando aplique.
Cada base deberĂĄ tener, como mĂnimo, identificaciĂłn del proceso que la usa, finalidad, categorĂa de titulares, fuente de obtenciĂłn, responsable interno, ubicaciĂłn o sistema donde reposa, terceros con acceso y criterio de conservaciĂłn.
8. REGLAS DE RECOLECCIĂN DE DATOS
La recolecciĂłn de datos personales solo podrĂĄ realizarse cuando:
a) exista una finalidad legĂtima y compatible con la actividad de la compaĂąĂa;
b) se utilice el formato, canal o flujo autorizado por ORANGE THINKING S.A.S.;
c) se haya verificado si se requiere autorizaciĂłn previa del titular;
d) se haya puesto a disposiciĂłn del titular el aviso de privacidad o la polĂtica, cuando corresponda; y
e) la recolecciĂłn sea necesaria, pertinente y proporcional.
EstĂĄ prohibida la recolecciĂłn indiscriminada, excesiva o carente de finalidad clara.
9. REGLAS SOBRE AUTORIZACIĂN
Todo colaborador o tercero que intervenga en la captura de datos deberĂĄ verificar, cuando aplique, que exista autorizaciĂłn vĂĄlida del titular.
La autorizaciĂłn deberĂĄ ser:
a) previa;
b) expresa o derivada de conducta inequĂvoca permitida por la ley;
c) informada; y
d) trazable en la medida de lo posible.
ORANGE THINKING S.A.S. procurarĂĄ conservar evidencia de la autorizaciĂłn mediante registros de formulario, logs, fecha, hora, IP, fuente, grabaciĂłn, correo, aceptaciĂłn de checkbox, documento firmado o mecanismo equivalente.
10. CANALES AUTORIZADOS DE CAPTURA
Solo podrĂĄn utilizarse para recolecciĂłn de datos personales los canales previamente aprobados por ORANGE THINKING S.A.S., entre ellos:
a) sitio web oficial;
b) landing pages autorizadas;
c) formularios institucionales;
d) CRM corporativo;
e) correo corporativo;
f) lĂneas de WhatsApp oficiales;
g) reuniones o onboarding documentado;
h) contratos, cotizaciones y documentos comerciales;
i) herramientas de atenciĂłn o soporte aprobadas; y
j) otros canales expresamente habilitados por la administraciĂłn.
Queda prohibido usar cuentas personales, hojas de cĂĄlculo no autorizadas, dispositivos no controlados o formularios improvisados sin aprobaciĂłn interna previa, salvo contingencia debidamente justificada y documentada.
11. TRATAMIENTO DE DATOS SENSIBLES
La compaĂąĂa evitarĂĄ recolectar datos sensibles, salvo que:
a) resulten estrictamente necesarios;
b) exista base legal suficiente;
c) se informe expresamente al titular que no estĂĄ obligado a autorizarlos; y
d) se adopten medidas reforzadas de restricciĂłn y seguridad.
Todo tratamiento de datos sensibles deberĂĄ ser informado de inmediato al ĂĄrea encargada de protecciĂłn de datos.
12. TRATAMIENTO DE DATOS DE NIĂOS, NIĂAS Y ADOLESCENTES
La compaĂąĂa no tratarĂĄ datos de menores, salvo casos excepcionales legalmente admisibles y previamente validados por el ĂĄrea encargada de protecciĂłn de datos.
Cuando ello ocurra, deberĂĄn existir:
a) justificaciĂłn documentada;
b) revisiĂłn de necesidad y proporcionalidad;
c) autorizaciĂłn del representante legal cuando corresponda; y
d) medidas especiales de protecciĂłn.
13. USO DE CRM, AUTOMATIZACIONES Y HERRAMIENTAS DIGITALES
Todo uso de CRM, automatizaciones, email marketing, formularios, segmentaciones, chatbots, secuencias, integraciones, motores de IA o herramientas similares deberĂĄ observar las siguientes reglas:
a) solo se usarĂĄn herramientas previamente aprobadas por la compaĂąĂa;
b) el acceso serĂĄ por perfiles y necesidad de conocimiento;
c) se evitarĂĄ cargar datos sensibles o innecesarios;
d) no se incorporarĂĄn bases ajenas o compradas sin validaciĂłn legal previa;
e) los flujos automatizados deberĂĄn reflejar las finalidades informadas al titular;
f) toda herramienta nueva deberĂĄ pasar por revisiĂłn razonable de privacidad, seguridad y necesidad;
g) cuando exista tratamiento por cuenta de clientes, deberĂĄ verificarse el marco contractual aplicable; y
h) toda automatizaciĂłn con alto impacto reputacional, comercial o regulatorio deberĂĄ tener revisiĂłn humana razonable.
14. REGLAS PARA TRATAMIENTO POR CUENTA DE CLIENTES
Cuando ORANGE THINKING S.A.S. trate datos personales por cuenta de clientes, el equipo deberĂĄ verificar:
a) que exista contrato o documento que soporte la relaciĂłn;
b) que el cliente haya definido finalidad y alcance del tratamiento;
c) que la fuente de los datos sea lĂcita;
d) que existan instrucciones claras y uso limitado;
e) que no se mezclen bases del cliente con bases propias; y
f) que los accesos, exportaciones y devoluciones queden documentados.
15. REGLAS PARA PROVEEDORES Y ENCARGADOS
Todo proveedor, aliado o tercero que acceda a datos personales deberĂĄ estar sujeto, segĂşn corresponda, a:
a) clĂĄusula de confidencialidad;
b) obligaciones de seguridad;
c) limitaciĂłn de uso;
d) deber de atender instrucciones de ORANGE THINKING S.A.S.;
e) obligaciĂłn de reportar incidentes; y
f) reglas de devoluciĂłn, supresiĂłn o bloqueo de acceso al terminar la relaciĂłn.
Antes de habilitar accesos relevantes, ORANGE THINKING S.A.S. procurarĂĄ verificar la necesidad del proveedor, su rol en el tratamiento y la razonabilidad de sus condiciones operativas.
16. ACCESO Y CIRCULACIĂN RESTRINGIDA
El acceso a datos personales se regirĂĄ por el principio de necesidad de conocimiento.
En consecuencia:
a) no todo colaborador puede acceder a todas las bases;
b) cada acceso debe responder a una funciĂłn concreta;
c) los permisos deberĂĄn asignarse por perfil;
d) debe existir control sobre creaciĂłn, modificaciĂłn y revocatoria de usuarios; y
e) al terminar la relaciĂłn con cualquier colaborador o contratista, deberĂĄn revocarse o bloquearse los accesos correspondientes.
17. ALMACENAMIENTO Y CUSTODIA
Los datos personales deberĂĄn almacenarse en entornos razonablemente seguros y aprobados por la compaĂąĂa.
Queda prohibido:
a) almacenar bases en equipos personales no controlados;
b) compartir bases completas por canales informales sin necesidad operativa;
c) imprimir datos personales sin justificaciĂłn;
d) descargar masivamente bases sin autorizaciĂłn;
e) dejar accesibles archivos con datos en enlaces pĂşblicos o repositorios abiertos.
18. CONSERVACIĂN Y ELIMINACIĂN
Los datos personales no deberĂĄn conservarse indefinidamente por inercia operativa.
Cada ĂĄrea deberĂĄ aplicar criterios razonables de conservaciĂłn, atendiendo:
a) la finalidad del tratamiento;
b) la vigencia de la relaciĂłn con el titular;
c) obligaciones contractuales, contables, laborales, legales o probatorias; y
d) la necesidad real de archivo.
Cuando proceda la eliminaciĂłn, esta deberĂĄ hacerse de forma segura, documentada y, en la medida de lo posible, verificable.
19. GESTIĂN DE CONSULTAS Y RECLAMOS
Toda consulta, reclamo, solicitud de actualizaciĂłn, rectificaciĂłn, supresiĂłn o revocatoria deberĂĄ remitirse inmediatamente al ĂĄrea encargada de protecciĂłn de datos.
NingĂşn colaborador podrĂĄ responder de fondo por fuera del procedimiento interno sin coordinaciĂłn previa.
El flujo interno mĂnimo serĂĄ:
a) recepciĂłn de la solicitud;
b) registro de fecha y canal de ingreso;
c) validaciĂłn de identidad o legitimaciĂłn;
d) clasificaciĂłn entre consulta o reclamo;
e) verificaciĂłn de completitud;
f) traslado al ĂĄrea o sistema donde reposa la informaciĂłn;
g) consolidaciĂłn de respuesta;
h) emisiĂłn de respuesta dentro del tĂŠrmino legal; y
i) archivo del soporte y cierre del caso.
20. GESTIĂN DE INCIDENTES DE SEGURIDAD
Se entenderĂĄ por incidente cualquier evento que implique o pueda implicar pĂŠrdida, acceso no autorizado, fuga, exposiciĂłn, alteraciĂłn, indisponibilidad, uso indebido o tratamiento no autorizado de datos personales.
Ante un incidente, todo colaborador deberĂĄ:
a) reportarlo inmediatamente al ĂĄrea encargada;
b) abstenerse de ocultarlo, minimizarlo o corregirlo informalmente sin trazabilidad;
c) preservar evidencias razonables;
d) seguir las instrucciones de contenciĂłn; y
e) no comunicar externamente el incidente sin autorizaciĂłn de la administraciĂłn.
El ĂĄrea encargada deberĂĄ, segĂşn el caso:
a) registrar el incidente;
b) clasificar su nivel de criticidad;
c) coordinar medidas de contenciĂłn;
d) determinar impacto y bases comprometidas;
e) evaluar necesidad de escalar a direcciĂłn, cliente, proveedor o autoridad;
f) definir acciones correctivas y preventivas; y
g) documentar el cierre.
21. USO DE CORREO, WHATSAPP Y MENSAJERĂA
El tratamiento de datos personales a travĂŠs de correo electrĂłnico, WhatsApp o mensajerĂa deberĂĄ ajustarse a estas reglas:
a) usar canales corporativos o autorizados;
b) evitar compartir bases completas o documentos sensibles sin necesidad;
c) verificar destinatarios antes de enviar;
d) limitar reenvĂos innecesarios;
e) usar lenguaje adecuado y trazable;
f) no compartir capturas de clientes o titulares en grupos informales sin justificaciĂłn; y
g) documentar autorizaciones o instrucciones relevantes cuando el canal sea utilizado para ese fin.
22. REUNIONES, LLAMADAS Y GRABACIONES
Cuando por razones operativas, de soporte, calidad, onboarding, seguimiento o prueba se graben llamadas, videollamadas, reuniones o sesiones, deberĂĄ verificarse previamente que exista informaciĂłn suficiente al participante y base jurĂdica adecuada para ello.
Las grabaciones deberĂĄn almacenarse con acceso restringido y por el tiempo razonablemente necesario para la finalidad que justificĂł su obtenciĂłn.
23. MARKETING Y COMUNICACIONES COMERCIALES
Las campaĂąas, secuencias, newsletters, follow-ups, automatizaciones comerciales y mensajes promocionales deberĂĄn:
a) estar alineados con las finalidades informadas;
b) respetar las preferencias, revocatorias o exclusiones de titulares;
c) evitar listas no legitimadas;
d) permitir, cuando corresponda, mecanismos razonables de baja o exclusiĂłn; y
e) no utilizar datos para fines incompatibles con la autorizaciĂłn o expectativa legĂtima del titular.
24. USO DE DATOS EN PROYECTOS DE IA
Cuando ORANGE THINKING S.A.S. utilice herramientas de inteligencia artificial o automatizaciones con tratamiento de datos personales, el equipo deberĂĄ aplicar, adicionalmente:
a) minimizaciĂłn de datos;
b) revisiĂłn de necesidad real del dato dentro del flujo;
c) anonimizaciĂłn o seudonimizaciĂłn cuando resulte razonable;
d) validaciĂłn humana sobre outputs de impacto relevante;
e) control sobre herramientas aprobadas;
f) prohibiciĂłn de cargar informaciĂłn sensible o confidencial en herramientas no autorizadas; y
g) documentaciĂłn bĂĄsica del riesgo cuando el tratamiento sea significativo.
25. CAPACITACIĂN Y CONCIENTIZACIĂN
ORANGE THINKING S.A.S. procurarĂĄ realizar procesos de capacitaciĂłn y actualizaciĂłn interna sobre protecciĂłn de datos personales, al menos cuando:
a) se vinculen nuevos colaboradores;
b) se adopten nuevas herramientas o flujos;
c) se identifiquen incidentes o errores recurrentes;
d) cambie el marco regulatorio o documental aplicable; o
e) la administraciĂłn lo considere necesario.
26. AUDITORĂA, MONITOREO Y MEJORA CONTINUA
La compaĂąĂa podrĂĄ realizar revisiones periĂłdicas, muestreos, controles, auditorĂas internas o validaciones razonables sobre:
a) bases de datos;
b) autorizaciones;
c) formularios;
d) accesos;
e) contratos con encargados;
f) incidentes;
g) uso de herramientas tecnolĂłgicas; y
h) cumplimiento general de este manual.
Los hallazgos deberĂĄn documentarse y, cuando corresponda, dar lugar a acciones correctivas.
27. RĂGIMEN INTERNO DE INCUMPLIMIENTO
El incumplimiento de este manual por parte de empleados, contratistas o terceros podrĂĄ dar lugar, segĂşn la naturaleza del vĂnculo y la gravedad del hecho, a:
a) llamados de atenciĂłn;
b) restricciones o revocatoria de accesos;
c) requerimientos de correcciĂłn inmediata;
d) reportes a supervisiĂłn o direcciĂłn;
e) activaciĂłn de clĂĄusulas contractuales;
f) terminaciĂłn del vĂnculo; y
g) acciones legales a que haya lugar.
28. RESERVA DEL MANUAL
El presente manual tiene naturaleza interna y reservada. No estĂĄ diseĂąado como documento pĂşblico ni como sustituto de la PolĂtica de Tratamiento de Datos Personales.
Su circulaciĂłn se limitarĂĄ a quienes, por razĂłn de sus funciones, deban conocerlo, aplicarlo o supervisarlo.
29. VIGENCIA Y ACTUALIZACIĂN
El presente manual entra en vigencia el 01 de abril de 2026 y permanecerĂĄ vigente hasta que sea modificado, reemplazado o derogado por ORANGE THINKING S.A.S.
La administraciĂłn o el ĂĄrea encargada de protecciĂłn de datos podrĂĄn proponer ajustes cuando:
a) cambie la operaciĂłn del negocio;
b) se adopten nuevas tecnologĂas o flujos;
c) se detecten riesgos o incidentes;
d) se modifique el marco normativo o regulatorio; o
e) se considere necesario fortalecer el sistema interno de cumplimiento.
