POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

INTRODUCCIÓN

Suramericana en desarrollo de sus principios: responsabilidad, respeto, transparencia y

equidad, determinan la información de sus empleados, clientes y proveedores como uno de
los activos más importantes; por lo tanto, declara la importancia de realizar un adecuado
tratamiento de su información, acogiéndose al marco normativo que lo regula en cada uno de
los países donde tiene presencia.
ALCANCE

La presente política de privacidad es un documento vinculante para Suramericana SA en

calidad de responsable de los datos a tratar, así como para las filiales, subsidiarias y
vinculadas económicamente con Suramericana SA en Colombia y el exterior, que actúan
como encargadas del tratamiento de datos, como son: Seguros Generales Suramericana S.A,
Seguros de Vida Suramericana S.A, EPS Suramericana S.A, Servicios de salud IPS
Suramericana S.A.S, Consultoría en Gestión de Riesgos Suramericana S.A.S, Diagnóstico y
Asistencia Médica S.A.S, Operaciones Generales Suramericana S.A.S, Inversiones
Suramericana Colombia S.A.S, y Servicios Generales Suramericana S.A.S, entre otras de la
región, en adelante LAS COMPAÑÍAS.

Datos del responsable: Suramericana S.A, con domicilio principal en la ciudad de Medellín,
en la calle 49B N.º 63-21, piso 1, comunicación a través de la línea de atención al cliente 437
88 88 desde Medellín, Bogotá y Cali, o al 01 8000 51 888 en el resto del país, o al correo
electrónico [email protected]

Información que recolectamos y almacenamos de nuestros clientes: dependiendo de la

relación que el titular tenga con LAS COMPAÑÍAS, la información que se recopila o almacena
puede incluir lo siguiente:

Datos públicos: es el dato que no sea privado o sensible. Por ejemplo: número y tipo de
documento de identidad, información contenida en documentos públicos, estado civil, oficio o
profesión, teléfono y correo electrónico corporativos.

Datos privados: son aquellos que por su naturaleza íntima o reservada sólo son relevantes
para el titular. Por ejemplo: nivel de ingresos, datos financieros, capacidad de endeudamiento,
patrimonio bruto, personas a cargo, composición del grupo familiar, hobbies o aficiones,
bienes que posee, información laboral, preferencias en redes sociales, hábitos de conducción,
hábitos de consumo, así como datos de contacto como dirección, teléfono y correo electrónico
personal.

Datos sensibles: categoría de datos personales que se reducen a la categoría más íntima y
sensible de su titular, cuyo tratamiento inadecuado, puede conllevar a la discriminación y/o al
sufrimiento de un perjuicio grave y de difícil reparación. Por ejemplo: datos biométricos e
historia clínica o datos relacionados con la salud en general.

LINEAMIENTOS GENERALES
Tratamiento al cual serán sometidos los datos personales: LAS COMPAÑÍAS usarán la
información personal de sus clientes para los fines autorizados e informados al titular y
aquellos señalados en la presente política, siempre que el tratamiento obedezca a un fin
legítimo y sea proporcional de acuerdo a la vinculación del cliente, particularmente para lo
que resulte necesario para la prestación de los servicios encargados, como ejecutar y cumplir
el contrato. La autorización de tratamiento de datos sensibles es facultativa.

Finalidades con las cuales serán tratados los datos: con el objetivo de obtener un mejor
servicio para empleados, clientes o proveedores, autoriza a Suramericana S.A., en calidad
de responsable, así como a LAS COMPAÑÍAS, en calidad de encargadas, a tratar sus datos,
incluso los biométricos o de salud, que son sensibles, pudiendo o no utilizar computación en
la nube, para las siguientes actividades:

Finalidades inherentes al objeto contractual o autorizadas por normatividad.

1. Compartir información con aliados estratégicos, reaseguradores e intermediarios de

seguros para la contratación de productos y servicios, gestión de riesgos, atención de
reclamaciones y gestión comercial.

2. Compartir y consultar datos del comportamiento crediticio y financiero con centrales de

información y riesgos, aseguradoras y prestadores para prevenir, controlar fraudes y
seleccionar riesgos.

3. Consultar y obtener copia de la historia clínica o datos clínicos, que son datos sensibles,
con la finalidad de evaluar y suscribir las pólizas, así como gestionar los riesgos que puedan
afectar la salud, bienestar y calidad de vida, y el desempeño ocupacional. (Esta finalidad
aplica sólo para el uso de soluciones de salud y vida contratadas con LAS COMPAÑÍAS).

4. Transmitir y/o transferir datos personales con la finalidad de atraer, valorar, fidelizar, captar
y/o estudiar comportamientos del mercado y de atención al cliente; así como para la ejecución
de aquellos contratos que sean necesarios para soportar la operación de LAS COMPAÑÍAS
y/o el logro de la estrategia corporativa.

5. Prestar el servicio de salud y realizar auditoría de calidad y cuentas médicas, integrando la

información clínica disponible en distintos prestadores. (Esta finalidad aplica sólo para el uso
de soluciones de salud y vida contratadas con LAS COMPAÑÍAS).

6. Realizar investigaciones científicas, comprometiéndose a divulgar los resultados de forma

anónima.

7. Tratar los datos para la atención de cualquier reclamación que se efectúe sobre el producto
contratado o atención proactiva del mismo, así como para realizar el cobro de primas o
aportes adeudados.

8. Compartir información con los prestadores o proveedores autorizados por LAS

COMPAÑÍAS, para la coordinación de un servicio o solicitud, con las limitaciones y reglas de
la presente política
9. Ejercer la defensa de LAS COMPAÑÍAS en procesos judiciales que se adelanten contra
ellas.

Otras finalidades:

1. Entregar o recibir información con entidades como FASECOLDA, INVERFAS, ACEMI u

otras, con la finalidad de adelantar actividades y proyectos del sector asegurador y de salud.

2. Facilitar el conocimiento integral y elaboración de propuestas de valor a partir del uso de

bases de datos que contengan tanto datos privados como sensibles.

3. Ser contactado para la entrega de ofertas comerciales e información publicitaria.

4. Estudiar el comportamiento digital (redes sociales, páginas web, aplicaciones), para

realizar una asesoría integral de productos y servicios, y elaborar un perfilamiento de los
intereses y hábitos de consumo.

5. Obtener datos sobre la conducción y movilidad para el desarrollo y contratación de

productos y servicios, gestión de riesgos, atención de reclamaciones y gestión comercial.

Derechos de los titulares: de acuerdo con lo establecido en la Ley 1581 de 2012, los titulares
tienen derecho a autorizar el tratamiento de sus datos personales, revocar la autorización,
conocer los datos que son tratados, actualizarlos, rectificarlos cuando se considere que existe
deficiencia en su calidad, y finalmente solicitar la supresión de datos siempre y cuando no
exista una obligación legal o contractual de continuar con el tratamiento (artículo 2.2.2.25.2.8
Decreto 1074 de 2015), por ejemplo en el caso de las finalidades que son inherentes al objeto
contratado y sin las cuales no es posible su ejecución.

Ejercicio de los derechos sobre los datos personales: los titulares de la información podrán
ejercer sus derechos en cualquier tiempo, para lo cual podrán comunicarse con la línea de
atención al cliente 437 88 88 desde Medellín, Bogotá y Cali, o al 01 8000 51 888 en el resto
del país, enviar un correo electrónico a [email protected] o
establecer contacto con LAS COMPAÑÍAS a través de los distintos medios que estas tienen
dispuestos para tal fin, tales como sitio web, redes sociales y oficinas de atención al cliente.

Principios generales que se acogen para garantizar la protección de los datos personales de
los clientes de LAS COMPAÑÍAS: dentro del compromiso legal y corporativo de LAS
COMPAÑÍAS para garantizar la confidencialidad de la información personal de sus clientes,
se establecen como principios generales para el tratamiento de la información, en desarrollo
de los ya presentes en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074 de 2015, y
demás normas aplicables, los siguientes:

Principio de legalidad: no habrá tratamiento de información personal de los clientes sin

observar las reglas establecidas en la normatividad vigente.

Principio de finalidad: la incorporación de datos a las bases físicas o digitales de LAS

COMPAÑÍAS deberá obedecer a una finalidad legítima, la cual será oportunamente informada
al titular en la cláusula de autorización para el tratamiento y en la política de privacidad.
Principio de libertad: LAS COMPAÑÍAS realizarán tratamiento de datos personales de sus
clientes cuando cuenten con la autorización de estos o cuando por norma exista una facultad
para hacerlo, en los términos del art. 3° literal a) y 6° literal a) de la Ley 1581 del 2012, así
como la sección II del capítulo 25 del Decreto 1074 de 2015.

Principio de veracidad y calidad: LAS COMPAÑÍAS propenderán porque la información de

sus clientes sea veraz y se encuentre actualizada, para lo cual dispondrá de medios eficientes
para la actualización y rectificación de los datos personales.

Principio de transparencia: dentro de los mecanismos que se establezcan para el ejercicio de

los derechos de los titulares de la información personal, se garantizará al titular y a sus
causahabientes, así como a los terceros autorizados por este, el acceso a la información
sobre datos personales que le conciernan.

Principio de acceso y circulación restringida: LAS COMPAÑÍAS se comprometen a garantizar

que únicamente personas autorizadas podrán acceder a la información personal. Asimismo,
su circulación se limitará al ejercicio de las finalidades autorizadas por el usuario o por la
normatividad. LAS COMPAÑÍAS dispondrán de medios contractuales para garantizar la
confidencialidad y circulación restringida de la información.

Principio de seguridad: LAS COMPAÑÍAS adelantarán todas las medidas técnicas,

administrativas y humanas para garantizar que la información personal de los titulares,
almacenada en bases de datos físicas o digitales, no circule o personas no autorizadas
accedan a ella.

Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos

personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva
de la información, inclusive después de finalizada su relación con alguna de las labores que
comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y
en los términos de la misma.

Entrega de información personal a proveedores de servicios: es posible que para cumplir con
la relación contractual que LAS COMPAÑÍAS sostengan con el titular de la información, esta
sea entregada o compartida con proveedores para las finalidades autorizadas por el titular o
las previstas en la ley, tales como ajustadores de siniestros, investigadores, instituciones,
profesionales de la salud, call centers, distribuidores y profesionales en prevención,
intermediarios de seguros y personas naturales o jurídicas que presten servicios
profesionales para efectuar estadísticas, cálculos actuariales, desarrollo de software y
cualquier otra actividad para llevar a cabo el objeto social de LAS COMPAÑÍAS y prestar
correctamente la atención. Siempre que su información sea entregada o compartida con
proveedores, LAS COMPAÑÍAS se asegurarán de establecer unas condiciones que vinculen
al proveedor a las políticas de privacidad y seguridad de la información de estas de tal forma
que la información personal de los titulares se encuentre protegida. Asimismo, se
establecerán acuerdos de confidencialidad para el manejo de la información y obligaciones
responsable-encargado cuando el tipo de entrega lo amerite.
Vigencia del tratamiento de los datos: la información suministrada por los titulares
permanecerá almacenada por el tiempo que sea determinado por el titular o que sea indicado
por ley para el cumplimiento de los fines para los cuales fue incorporada.

Modificaciones a la política de privacidad y tratamiento de datos personales: LAS

COMPAÑÍAS se reservan el derecho de modificar las normas de confidencialidad y protección
de datos con el fin de adaptarlas a nuevos requerimientos de tipo legal, jurisprudencial,
técnico y, en general, cuando sea necesario para prestar un mejor servicio.

Aceptación de esta política de privacidad: el titular de la información acepta el tratamiento de

sus datos personales, conforme con los términos de esta política de privacidad, cuando
proporciona los datos a través de nuestros canales o puntos de atención y cuando compra,
adquiere, se afilia o usa cualquiera de nuestros productos o servicios.

GOBERNABILIDAD

La aprobación de la presente política está a cargo de la Junta Directiva, o el máximo órgano

social, según corresponda, de LAS COMPAÑÍAS y cualquier modificación deberá ser
aprobada por estos mismos órganos.

El oficial de datos de LAS COMPAÑÍAS o quien haga sus veces será la instancia responsable
del gobierno y la aplicación de esta política.

INSTANCIAS DE DECISIÓN

Las instancias de decisión en materia de protección de datos personales estarán bajo las
definiciones del oficial de datos de LAS COMPAÑÍAS o quien haga sus veces, el reglamento
de trabajo y la normatividad vigente aplicable.

DIVULGACIÓN

La presente política será vinculante y deberá ser publicada a todos los grupos de interés,
dentro de los sitios definidos por LAS COMPAÑÍAS. El oficial de datos de LAS COMPAÑÍAS
o quien haga sus veces será el responsable de la administración de esta política y en esa
medida gestionará con las áreas involucradas su divulgación, cumplimiento y actualización.