Política de Tratamiento y Protección de Datos Personales

1. Marco Legal

EPYROS SAS, identificada con NIT [NIT de la empresa], con domicilio principal en Barranquilla, Atlántico, Colombia, en calidad de responsable y encargada del tratamiento de datos personales, presenta esta Política de Tratamiento y Protección de Datos Personales en cumplimiento de:

• Constitución Política de Colombia, Artículo 15 (Derecho al Habeas Data)
• Ley 1581 de 2012 de Protección de Datos Personales
• Decreto 1377 de 2013 (Reglamentación de la Ley 1581)
• Decreto 886 de 2014 (Registro Nacional de Bases de Datos)
• Ley 1266 de 2008 (Habeas Data financiero, crediticio, comercial y de servicios)
• Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio

2. Responsable del Tratamiento

3. Finalidad del Tratamiento

Los datos personales recolectados por EPYROS serán utilizados exclusivamente para las siguientes finalidades, autorizadas previamente por el titular:

3.1 Finalidades relacionadas con la prestación del servicio MSP

• Gestión de usuarios y acceso a sistemas tecnológicos del Cliente
• Provisión de soporte técnico remoto y presencial
• Monitoreo y administración de infraestructura tecnológica
• Implementación de medidas de ciberseguridad
• Gestión de licencias de software
• Generación de reportes de operación y métricas de servicio
• Respaldo y recuperación de información
• Automatización de procesos tecnológicos

3.2 Finalidades contractuales

• Facturación y recaudo de servicios prestados
• Gestión contractual y administrativa
• Atención de solicitudes, quejas y reclamos
• Comunicaciones relacionadas con el servicio contratado
• Envío de alertas de seguridad y mantenimiento

3.3 Finalidades comerciales (con autorización expresa)

• Envío de información comercial sobre nuevos servicios
• Invitaciones a eventos y capacitaciones
• Encuestas de satisfacción y mejoramiento del servicio

4. Datos Personales Objeto de Tratamiento

EPYROS puede recolectar y tratar las siguientes categorías de datos personales:

4.1 Datos de identificación

• Nombre completo, documento de identidad, cargo
• Correo electrónico corporativo y personal
• Números telefónicos fijos y móviles
• Dirección de correspondencia

4.2 Datos de acceso tecnológico

• Credenciales de acceso a sistemas (usuarios, contraseñas cifradas)
• Direcciones IP y registros de actividad
• Identificadores de dispositivos y equipos
• Configuraciones de acceso y permisos

4.3 Datos sensibles (solo cuando aplique y con autorización especial)

De conformidad con el artículo 7 de la Ley 1581 de 2012, para el tratamiento de datos sensibles EPYROS requiere autorización expresa del titular, informando claramente la finalidad. Esto aplica especialmente para:

• Consultorios médicos: Datos de salud contenidos en historias clínicas electrónicas
• Firmas de abogados: Datos relacionados con procedimientos legales
• Firmas contables: Datos financieros y tributarios sensibles

5. Derechos del Titular (Derechos ARCO)

Conforme al artículo 8 de la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos:

6. Procedimiento para Ejercer Derechos

Para ejercer sus derechos ARCO, el titular debe presentar solicitud escrita que contenga:

• Nombre completo del titular y documento de identidad
• Descripción clara del derecho que desea ejercer
• Dirección física o electrónica para notificaciones
• Documentos que sustenten la solicitud (si aplica)

Canales de atención:

• Email: privacidad@epyros.com.co
• Correo físico: Barranquilla, Atlántico, Colombia
• Línea telefónica: +57 300 123 4567

De conformidad con el artículo 14 de la Ley 1581 de 2012, EPYROS responderá las solicitudes dentro de los quince (15) días hábiles siguientes a su recepción. Cuando no sea posible atender la solicitud, se informará al titular las razones dentro del mismo término.

7. Autorización del Titular

EPYROS obtiene la autorización del titular mediante los siguientes mecanismos, conforme al artículo 9 de la Ley 1581 de 2012:

• Documentos físicos con firma del titular
• Formularios digitales con aceptación expresa
• Contratos de prestación de servicios que incluyan cláusula de autorización
• Correo electrónico con aceptación del titular

La autorización será requerida de manera previa al tratamiento, salvo en los casos exceptuados por la ley (artículo 10, Ley 1581 de 2012).

8. Medidas de Seguridad

EPYROS implementa medidas técnicas, administrativas y jurídicas para proteger los datos personales contra acceso no autorizado, pérdida, alteración o destrucción, conforme al artículo 15 de la Ley 1581 de 2012:

8.1 Medidas Técnicas

• Encriptación de datos en tránsito (TLS/SSL) y en reposo (AES-256)
• Control de acceso basado en roles (RBAC)
• Autenticación multifactor (MFA)
• Sistemas de detección y respuesta a amenazas (EDR)
• Backups cifrados con retención definida
• Monitoreo continuo 24/7

8.2 Medidas Administrativas

• Políticas internas de tratamiento de datos
• Capacitación continua al personal
• Acuerdos de confidencialidad con colaboradores
• Procedimientos de gestión de incidentes
• Auditorías periódicas de seguridad

9. Transferencia y Transmisión Internacional de Datos

EPYROS puede transferir datos personales a proveedores de servicios en la nube ubicados fuera de Colombia (principalmente Estados Unidos y Europa), para lo cual:

• Obtiene autorización previa del titular para transferencias internacionales
• Verifica que el destinatario tenga nivel adecuado de protección
• Firma acuerdos de transferencia de datos (DTA)
• Utiliza proveedores con certificaciones reconocidas (ISO 27001, SOC 2, GDPR compliance)

Proveedores principales: Microsoft Azure (GDPR compliant), AWS (Data Processing Agreement disponible), Google Workspace.

10. Período de Retención

Los datos personales serán conservados durante el tiempo necesario para cumplir la finalidad del tratamiento y según las obligaciones legales aplicables:

• Datos contractuales: Duración del contrato + 5 años
• Datos contables/tributarios: 5 años (art. 632 E.T.)
• Registros de soporte: 3 años
• Backups: Según plan contratado, máximo 1 año
• Logs de seguridad: 1 año mínimo

Vencido el período de retención, los datos serán suprimidos o anonimizados según procedimientos documentados.

11. Tratamiento de Datos de Menores

EPYROS no trata datos de menores de edad salvo autorización expresa del representante legal, cuando el tratamiento responda y respete el interés superior del niño, niña o adolescente, y se garantice el respeto de sus derechos fundamentales. En ningún caso se solicitarán datos de menores para fines comerciales.

12. Gestión de Incidentes de Seguridad

En caso de incidentes de seguridad que impliquen riesgo para los derechos y libertades de los titulares, EPYROS:

• Notificará a los titulares afectados en un plazo máximo de 15 días hábiles
• Reportará a la Superintendencia de Industria y Comercio cuando corresponda
• Documentará el incidente y las medidas correctivas implementadas
• Proporcionará información clara sobre la naturaleza del incidente y recomendaciones

13. Autoridad de Protección de Datos

La Superintendencia de Industria y Comercio (SIC) es la autoridad nacional competente para proteger los derechos de los titulares de datos personales. Los titulares pueden presentar quejas ante la SIC cuando consideren que EPYROS ha vulnerado sus derechos, siguiendo el procedimiento establecido en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

14. Vigencia y Modificaciones

Esta Política de Privacidad entra en vigencia a partir de su publicación y se mantendrá vigente mientras EPYROS realice tratamiento de datos personales. EPYROS se reserva el derecho de modificar esta política, lo cual será comunicado a los titulares a través del sitio web o correo electrónico con al menos treinta (30) días de anticipación a su entrada en vigor.

15. Contacto y Solicitudes

Para ejercer sus derechos, presentar consultas o realizar solicitudes relacionadas con el tratamiento de datos personales: