El propósito de esta políticas es dar cumplimiento a lo dispuesto en la Ley Estatutaria 1581 de 2012 (Ley de Protección de Datos), Decreto Reglamentario 1377 y otros que modifican y complementan, en la cual se reglamentan los deberes en cabeza de los responsables del tratamiento de datos personales, entre los que se encuentran el de la adopción de un manual interno de políticas mediante el cual, se garantice el correcto cumplimiento de esta Ley de Protección de Datos y en particular, la atención de las consultas y reclamos realizadas por los titulares de la información.

El objetivo la política para la protección y uso de datos de Promotora Médica y Odontológica de Antioquia S.A., es brindar la garantía y seguridad a cualquier clase de dato personal recopilado por nuestra empresa, cumpliendo con las directrices dispuesta por la Ley y logrando que de esta manera todas las personas se sientan confiadas en la administración que la Compañía está haciendo de sus datos, en especial los datos sensibles.

Estas políticas aplican para todos los empleados de Promotora Médica y Odontológica de Antioquia S.A. así como para todos los clientes, asesores externos, prestadores, proveedores, personal temporal e invitados, quienes hagan uso de los recursos y servicios provistos por la entidad.

La presente política será aplicable a los datos personales registrados en cualquier base de datos de Promedan S.A cuyo titular sea una persona natural.

De conformidad con la legislación vigente sobre la materia, se establecen las siguientes definiciones, las cuales serán aplicadas e implementadas acogiendo los criterios de interpretación que garanticen una aplicación sistemática e integral, y en consonancia con los avances tecnológicos, la neutralidad tecnológica; y los demás principios y postulados que rigen los derechos fundamentales que circundan, orbitan y rodean el derecho de habeas data y protección de datos personales:

Son datos que pertenecen a una persona, por ejemplo, aquellos que tengan relación con información como: salud, creencias religiosas, información comercial, transacciones financieras, situación familiar, ingresos, raza, salario, ideología política, orientación sexual, profesión, datos de contacto, entre muchos otros.

Los datos personales se clasifican de acuerdo con su naturaleza o los riesgos que puede generar cada tipo de información personal y depende de la sensibilidad de estos.

Promedan S.A aplicará los siguientes principios específicos que se establecen a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, de datos personales

Promotora Médica y Odontológica de Antioquia S.A. de ahora en adelante se entenderá como Promedan S.A, en su calidad de responsable y/o encargado del tratamiento de datos de carácter personal, informa a sus usuarios, acompañantes, clientes, proveedores, profesionales de la salud, candidatos en proceso de selección, aprendices,   asociación de usuarios y en general a todas las personas naturales que hayan facilitado o que en el futuro faciliten sus datos personales, que éstos serán incorporados en las BASES DE DATOS de propiedad de Promedan S.A.

Promedan S.A informan que en cumplimiento de la Ley 1581 de 2012 y el Decreto 1377 de 2013, se han adoptado las medidas de tipo legal, técnicas y organizacionales necesarias para evitar la pérdida, acceso o alteración de los datos personales a los cuales da tratamiento. De igual forma a través de estas medidas su objetivo es garantizar la seguridad, integridad y confidencialidad de este tipo de datos personales.

En desarrollo de lo establecido en la ley 1581 del 2012 y el decreto reglamentario 1377 de 2013, Promedan S.A utilizarán los datos personales facilitados por cualquier persona natural para fines propios del desarrollo de servicios de salud, de igual manera, la administración y uso son con fines estadísticos, actividades de control y supervisión, por lo tanto, puede procesar, reportar, conservar, consultar, transferir, transmitir y validar cualquier información desde el momento de la solicitud del servicio y/o vínculo contractual, comercial y cualquier clase de vínculo.

Promedan S.A se compromete a dar tratamiento adecuado a todos sus datos personales que le sean facilitados y que a su vez son incorporados en sus bases de datos y archivos con las finalidades específicas para lo cual fueron entregados.

De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales:

• Acceder, conocer, actualizar y rectificar sus datos personales frente a Promedan S.A en su condición de responsable del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
• Solicitar prueba de la autorización otorgada a Promedan S.A para el tratamiento de datos, mediante cualquier medio válido, salvo en los casos en que no es necesaria la autorización.
• Ser informado por e Promedan S.A, previa solicitud, respecto del uso que les ha dado a sus datos personales.
• Presentar ante la Superintendencia de Industria y Comercio, o la Entidad que hiciere sus veces, quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, previo trámite de consulta o requerimiento ante e Promedan S.A.
• Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
• Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de la presente política que motiven nuevas consultas.

Estos derechos podrán ser ejercidos por:

• El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición e Promedan S.A
• Los causahabientes del titular, quienes deberán acreditar tal calidad.
• El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
• Otro a favor o para el cual el titular hubiere estipulado.

El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos:

• Que responda y respete el interés superior de los niños, niñas y adolescentes.
• Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Promedan S.A tendrá presente, en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, respetando en todo caso la normatividad vigente sobre protección de datos personales.

En este sentido, cumplirá con los siguientes deberes:

• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
• Solicitar y conservar, copia de la respectiva autorización otorgada por el titular para el tratamiento de datos personales;
• Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su alteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
• Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
• Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
• Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento;
• Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012;
• Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
• Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
• Adoptar las políticas y procedimientos para garantizar el adecuado cumplimiento de la ley 1581 de 2012 y en especial, para la atención de consultas y reclamos;
• Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
• Informar a solicitud del Titular sobre el uso dado a sus datos;
• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
• Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se entra autorizado el tratamiento de sus datos.
• Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley.
• Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
• Usar los datos personales del titular en los términos establecidos por la legislación y en nuestro objeto social.

• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.
• Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
• Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley.
• Adoptar las políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
• Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley.
• Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Para la obtención de cualquier dato de carácter privado o semiprivado se contará con la autorización previa y expresa del titular, La única forma de no requerir la autorización es cuando se presente los siguientes casos:

• Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
• Datos de naturaleza pública.
• Casos de urgencias médica o sanitaria.

Promedan S.A podrá obtener la autorización ya sea por escrito a través del Formato FT_01_008_CUM_Autorizacion para el tratamiento de datos personales, de forma oral, o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización.

La autorización para el tratamiento de los datos personales para menores de edad se realizará bajo la facultad de los padres de familia y/o representantes legales del menor.

Para los casos en los que no sea posible poner a disposición del titular la presente política, Promedan S.A informará por medio de un aviso de privacidad del tratamiento de sus datos el cual podrá ser consultada en la página www.promedanips.co, en la parte inferior izquierda “Políticas de privacidad”

Promedan S.A garantizará el derecho de acceso cuando, previa acreditación de la identidad del titular, legitimidad, o personalidad de su representante, poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales a través de todo tipo de medio, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos. Dicho acceso deberá ofrecerse sin límite alguno y le deben permitir al titular la posibilidad de conocerlos y actualizarlos en línea o en cualquier otro medio.

Si alguna persona considera que Promedan S.A no debe utilizar o compartir su información personal para las finalidades aquí expuestas, o no quiere recibir materiales informativos relacionados con Promedan S.A A, debe escribir al correo electrónico protecciondatos@promedan.net manifestando su negativa y/o reclamo. O manifestarlo por escrito a la dirección Carrera 54 #46-115 interior piso 7 Medellín- Antioquia.

Los titulares o quien los represente, podrán consultar la información personal del Titular que repose en cualquier base de datos. En consecuencia, Promedan S.A, garantizará el derecho de consulta, suministrando a los titulares, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular, se realizará excepción, cuando se trate de cámaras de videovigilancia donde se genere la información de otros titulares y únicamente se dispondrá de dicha información cuando sea requerida por orden judicial.

Con respecto a los canales de atención a solicitudes relacionadas con el manejo de datos personales, Promedan S.A cuenta con los siguientes:

• Las diferentes IPS u hospitales
• Correo electrónico protecciondatos@promedan.net
• Página web a través del formulario FT_01_007_CUM_Solicitud para el tratamiento de datos personales

Estas solicitudes serán tramitadas por el Oficial de Cumplimiento de la Compañía, quien, en cualquier caso, independientemente del mecanismo empleado por el titular para realizar las solicitudes, las atenderá en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

En cualquier momento y de manera gratuita el titular o su representante podrán solicitar a personal de Promedan S.A, la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad.

Los derechos de rectificación, actualización o supresión únicamente se podrán ejercer por:

• El titular, previa acreditación de su identidad, o a través de instrumentos electrónicos que le permitan identificarse.
• Su representante, previa acreditación de la representación.

Cuando la solicitud sea formulada por persona distinta del titular, deberá acreditarse en debida forma la personería o mandato para actuar; y en caso de no acreditar tal calidad, la solicitud se tendrá por no presentada.

• La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por Promedan S.A, señalados en el aviso de privacidad y contener, como mínimo, la siguiente información:
• El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta.
• Los documentos que acrediten la identidad o la personalidad de su representante.
• La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos.

En caso dado otros elementos o documentos que faciliten la localización de los datos personales.

El titular tiene el derecho, en todo momento, a solicitar a Promedan S.A, la supresión (eliminación) de sus datos personales cuando:

• Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente.
• Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron conseguidos.
• Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.

Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por Promedan S.A. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio de este cuando:

• El titular tenga un deber legal o contractual de permanecer en la base de datos.
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
• Los datos sean necesarios para garantizar los procesos contables, administrativos y fiscales pertinentes de acuerdo con la normatividad vigente.

En caso de resultar procedente la cancelación de los datos personales, Promedan S.A debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.

Para que los titulares puedan ejercer sus derechos de acceder, conocer, actualizar, rectificar o suprimir sus datos personales Promedan S.A facilitará a los titulares el formato FT_01_007_CUM_Solicitud para el tratamiento de datos personales, para que sea diligenciado y enviado a los canales de atención dispuestos para ello.

El titular tiene el derecho, en todo momento, a solicitar a Promedan S.A, la supresión (eliminación) de sus datos personales cuando:

• Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente.
• Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron conseguidos.
• Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.

Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por Promedan S.A. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio de este cuando:

• El titular tenga un deber legal o contractual de permanecer en la base de datos.
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
• Los datos sean necesarios para garantizar los procesos contables, administrativos y fiscales pertinentes de acuerdo con la normatividad vigente.

En caso de resultar procedente la cancelación de los datos personales, Promedan S.A debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.

Para que los titulares puedan ejercer sus derechos de acceder, conocer, actualizar, rectificar o suprimir sus datos personales Promedan S.A facilitará a los titulares el formato FT_01_007_CUM_Solicitud para el tratamiento de datos personales, para que sea diligenciado y enviado a los canales de atención dispuestos para ello.

Los titulares de los datos personales pueden revocar el consentimiento o autorización para el tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello, Promedan S.A deberá establecer mecanismos sencillos y gratuitos que permitan al titular revocar su consentimiento, al menos por el mismo medio por el que lo otorgó y en los términos estipulados en la ley 1581 de 2012, sus Decretos reglamentarios y normas modificatorias o complementarias.

Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse. La primera, puede ser sobre la totalidad de las finalidades consentidas, esto es, que Promedan S.A deba dejar de tratar por completo los datos del titular; la segunda, puede ocurrir sobre tipos de tratamiento determinados, como por ejemplo para fines publicitarios o de estudios de mercado. Con la segunda modalidad, esto es, la revocación parcial del consentimiento, se mantienen a salvo otros fines del tratamiento que el responsable, de conformidad con la autorización otorgada puede llevar a cabo y con los que el titular está de acuerdo.

Por lo anterior, será necesario que el Titular al momento de elevar la solicitud de revocatoria, indique en ésta si la revocación que pretende realizar es total o parcial. En la segunda hipótesis se deberá indicar con cuál tratamiento el Titular no está conforme.

Habrá casos en que el consentimiento, por su carácter necesario en la relación entre Titular y Responsable por el cumplimiento de un contrato, por disposición legal no podrá ser revocado.

Los mecanismos o procedimientos que Promedan S.A establezca para atender las solicitudes de revocatoria del consentimiento otorgado no podrán exceder los plazos previstos para atender las reclamaciones conforme se señala en el artículo 15 de la Ley 1581 de 2012.

En desarrollo del principio de seguridad establecido en la normatividad vigente, la Compañía adopta las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su alteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Promedan S.A mantiene protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.

El procedimiento de medidas de seguridad considera los siguientes aspectos:

• Capacitación anual a los colaborados en seguridad para el tratamiento de datos personales.
• Se tiene plenamente identificadas las bases de datos, sus responsables y su gestión (Recolección, tratamiento, almacenamiento y custodia)
• Se tienen definidas las funciones y obligaciones del personal que administra las diferentes bases de datos.
• Se tiene un procedimiento de notificación, gestión y respuesta ante las incidencias de seguridad que se puedan presentar.
• Se cuenta con procedimientos para la realización de copias de respaldo y de recuperación de los datos.
• Se definieron los controles para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad en el tratamiento de datos personales.
• Se cuentan con las medidas para el tratamiento de la información, su transportado, desechado o reutilizado.
• El siguiente listado es tenido en cuenta para no reutilizar los documentos que hayan perdido su valor y que deberán ser destruidos en caso de ser reciclados.

Listados de clientes, Listados de inventarios, Facturas incorrectas. Presupuestos. Información contable. Números de cuenta. Informaciones de crédito, Declaraciones, Impuestos, Informes médicos, Nóminas, Copias de Cédula de Ciudadanía, tarjetas de identidad, registro civil, Historiales de personal, Historiales médicos, Tarifas, Cheques cancelados, Tarjetas de crédito, Contratos, Registros de seguridad, Hojas de vida.

• FT_01_007_CUM_Solicitud para el tratamiento de datos personales
• FT_01_008_CUM_Autorizacion para el tratamiento de datos personales

• Constitución Política (Art. 15)
• Ley 1266 de 2008
• Ley 1581 de 2012
• Decreto Reglamentario 1377 de 2013
• Decreto 1074 de 2015
• Circular 02 de noviembre de 2015
• Circular Externa 01 de noviembre de 2016
• Decreto 1115 de junio del 2017