Table of Contents

Table of Contents

Introduction

Data of the person in charge of the treatment

Scope of application

Treatment to which the data will be subjected and purposes of it

Processing of personal data of parents and guardians.

Processing of personal data of children and adolescents.

Processing of personal data relating to the health of children and adolescents (nursing and food allergies).

Processing of personal data related to health (psychology).

Processing of biometric data of children (images, photographs and videos) Processing of biometric data of school employees.

Processing of biometric data of persons external to the educational community. Processing of grades of children and adolescents.

Credit data that may be taken for reporting to credit bureaus of parents or guardians.

Processing of personal data of employees and service providers. Processing of personal data of suppliers.

Authorizations

Obligations of Gimnasio la Montaña as Responsible and Responsible for the Information.

Rights of data owners

Information security measures

Technology service providers and their treatment measures.

Cloud services used by GLM

Prerequisite for the filing of complaints before the Superintendence of Industry and Commerce.

Responsible for monitoring and compliance with this policy

Procedure for answering queries and complaints

Terms of permanence of the information and effective date of the treatment policy.

1. Introduction

In compliance with the legal and regulatory duties established in the Statutory Law 1581 of 2012, Decree 1377 of 2013 and the Single Decree 1074 of 2015, Corporación Gimnasio la Montaña issues the following Personal Data Processing Policy. As a legal entity that provides the education service, the school is part of the scope of application of the aforementioned Statutory Law and its corresponding regulatory decrees.

This Policy contains the elements required by current regulations, in development of the principles of legality, purpose, freedom, truthfulness or quality, transparency, restricted access and circulation, security and confidentiality, provided in Article 4 of Law 1581 of 2012. In this way, the school aims to guarantee and protect the fundamental rights to personal and family privacy and good name, the right to know, update and rectify the information that has been collected about the people of the community in databases and files and the right to information of all members of the community. Likewise, it seeks to comply with its duty of co-responsibility in the realization of the best interests of children and adolescents who are an essential part of the school.

In order to effectively fulfill this purpose, it is necessary that the people who consult this Policy keep in mind the definitions indicated below, in order to provide clarity so that it is sufficiently understandable for everyone.

A personal data is any information linked or that can be associated to a determined or determinable natural person.

● A personal data is any information linked or linkable to a specific or identifiable natural person.

● A database is an organized set of personal data, which is the subject of processing.

Public data is data that is not semi-private, private or sensitive. Some data that are considered public are those related to the marital status of individuals, their profession or trade, and their status as merchants or public servants. This data may be contained in public records, public documents, official gazettes and bulletins, and duly executed court rulings that are not subject to confidentiality.

Sensitive data is data that affects the holder’s privacy or whose improper use may generate discrimination against the holder. Within this type of data are those that reveal racial or ethnic origin, political orientation, religious or philosophical beliefs, membership in trade unions, social organizations, human rights or that promote the interests of any political party. Also those that guarantee the rights of opposition political parties, data related to health, sexual life and biometric data. The data of children and adolescents are considered sensitive data, taking into consideration their special position of vulnerability and their need for superior and prevalent protection.

● The processing of personal data refers to operations on personal data, such as the collection, storage, use, circulation or deletion of such data.

● The owner is the natural person whose personal data is the object of processing. 

● The person responsible for the processing of personal data is the natural or legal person who makes decisions on the databases collected, as well as on the treatment given to them.

● The data processor is a person, which may be natural or legal, public or private, who by himself or in association with others carries out the processing of personal data, on behalf of the controller. 

● The authorization for the processing of personal data is the prior, express and informed consent of the holder to carry out the processing of his personal data. 

● The privacy notice is the verbal or written communication made by the responsible party and addressed to the holder for the processing of personal data. By means of this communication, the holder is informed about the existence of the information processing policies that will be applicable, as well as the purposes of the processing and the way in which he/she can access such policies.

Transferencia: Esta tiene lugar cuando el Responsable y/o Encargado del tratamiento de datos personales a un receptor, que a su vez es Responsable del tratamiento y se  encuentra dentro o fuera del país. 

Transmisión: Tratamiento de datos personales que implica la comunicación de los  mismos dentro o fuera del territorio de la República de Colombia cuando tenga por  objeto la realización de un Tratamiento por el encargado por cuenta del responsable. 

2. Data of the person in charge of the treatment 

A continuación se relacionan los datos del Responsable del tratamiento de los datos:  

● Company name: CORPORACIÓN GIMNASIO LA MONTAÑA 

● Address: Carrera 51 # 214-55, Bogotá 111166, Colombia 

● E-mail: rectoria@glm.edu.co 

● Phone: (+571) 676 1861 

3. Scope of application. 

La presente política se aplicará al tratamiento de datos personales efectuado en territorio  colombiano, o cuando le sean aplicables las normas sobre protección de datos personales al responsable y/o encargado ubicado fuera del territorio colombiano, en virtud de tratados  internacionales, relaciones contractuales, entre otros.  

Las disposiciones contenidas en esta política se aplicarán a cualquier base de datos personales  que se encuentren en custodia del colegio, bien sea en calidad de responsable y/o encargado del  tratamiento. 

4. Tratamiento al cual serán sometidos los datos y finalidades del  mismo 

La Corporación Gimnasio La Montaña es responsable de los datos que obtiene de los padres y  madres de familia, estudiantes, trabajadores, proveedores, y visitantes de las instalaciones. Por lo  tanto, hemos adoptado medidas para tener un correcto tratamiento, conservación y manejo de  estos datos y así realizar esfuerzos por el bienestar e interés de todas las personas que nos han  brindado su información, siguiendo los parámetros señalados en la Ley 1581 de 2012, el Decreto  1377 de 2013 y el Decreto 1074 de 2015. 

En el marco de estas medidas, deseamos dar a conocer a la comunidad el tipo de datos personales  que obtenemos y las finalidades que enmarcan el tratamiento de esta información: 

3.1. Tratamiento de datos personales de padres de familia y acudientes 

Mediante el contrato de matrícula y el diligenciamiento de formularios destinados a ciertas  actividades del colegio se han recolectado datos personales de los padres y acudientes de nuestra  comunidad. Los datos personales serán utilizados por parte del colegio para:  

● El envío de información relativa al desempeño académico, formativo y actitudinal de los  estudiantes que los padres o acudientes tienen a su cargo, por parte de los funcionarios  del colegio.  

● Ser compartido con entidades que prestan servicios educativos al colegio mediante  contratos o convenios celebrados en cumplimiento del objeto social del mismo y en favor  de la comunidad educativa.  

● El envío de información sobre convenios con entidades externas y servicios ofrecidos por  otras instituciones.  

● Ser compartidos con distintas entidades que ofrezcan servicios o productos educativos  que puedan resultar de interés para los padres de familia.  

● Dar a conocer de actividades curriculares y extracurriculares en las que estén  involucrados los estudiantes del colegio. 

● Coordinar actividades y reuniones del colegio que requieran la participación, presencia y  colaboración de los padres. 

● Comunicar las novedades y nuevas iniciativas que se esté presentando dentro del colegio. ● Consulta y reporte a centrales de información crediticia y financiera.

3.2. Tratamiento de datos personales de niños, niñas y adolescentes 

A través de formularios que solicitan información y especialmente de los contratos de matrícula,  los padres de familia y acudientes han facilitado los datos personales de niños, niñas y  adolescentes que estudian en el colegio. Estos sólo serán utilizados por el colegio para  finalidades relacionadas con su interés superior, las cuales son:  

● Prestar el servicio de educación y formación personal del niño. 

● Dar acceso a servicios de tecnología establecidos por el colegio que enriquezcan su  experiencia académica. 

● La participación en eventos deportivos que permitan su acceso a actividades físicas que  ayuden a su salud y bienestar. 

● La gestión de salidas pedagógicas que sumen experiencias útiles para la comprensión de  temas académicos.  

● La realización de actividades extracurriculares (Congreso Joven, Charlas  TEDxYouth@GLM y Consejo Estudiantil, entre otras). 

● Ser compartidos con entidades que prestan servicios educativos al colegio mediante  contratos o convenios celebrados en cumplimiento del objeto social del mismo y en favor  de la comunidad educativa.  

Estos datos resultan esenciales, pues buscan la correcta y adecuada prestación del servicio de  educación formal en los niveles de básica y media y el acceso a recursos necesarios para brindar  a los jóvenes una educación de alta calidad. 

3.3. Tratamiento de datos personales relativos a la salud de niños, niñas y  adolescentes (enfermería y alergias alimentarias) 

Cuando nos ha sido facilitado este tipo de datos, catalogamos esta información relativa a la salud  como de naturaleza sensible y por ende hemos establecido que el titular no está obligado a  autorizar su tratamiento. Sin embargo, y en caso de que el padre de familia o acudiente autorice  el tratamiento de los datos de la salud de sus hijos, los mismos solo serán utilizados para las  siguientes finalidades:  

● Atención de enfermedades y suministro de medicamentos necesarios para el tratamiento  de las mismas. 

● Toma de precauciones frente a la alimentación que le es proveída al niño y que  corresponda con su cuadro clínico. 

● Determinar el centro hospitalario a donde debe ser llevado el niño en caso de requerir  este servicio.

● Adoptar medidas necesarias para la protección de la salud del menor en salidas  organizadas y lideradas por el colegio.  

Todas estas autorizaciones se relacionan con el fin de proteger el interés superior del menor al  tratar de garantizar el adecuado cuidado de su salud y bienestar. Así mismo, buscan garantizar y  materializar el derecho fundamental a la salud del niño, la niña o el adolescente. 

3.4. Tratamiento de datos personales relativos a la salud (psicología) 

Los datos relativos al bienestar psicológico de niños y niñas, que pueden ser recolectados por el  centro de Consejería para el Aprendizaje (KOA), se constituyen como datos de la salud y por  ende de naturaleza sensible. El colegio entiende que no existe obligación de autorizar el  tratamiento de este tipo de datos y los padres o acudientes pueden hacerlo dentro del contrato de  matrícula o a través de las autorizaciones que maneja el centro KOA. Cuando se autoriza dicho  tratamiento, la información será utilizada para:  

● Realizar evaluaciones de diagnóstico y valoración de aprendizaje del niño. ● Establecer mecanismos de seguimiento académico al niño.  

● Realizar observaciones en el aula que permitan establecer la necesidad de apoyo o  evaluaciones adicionales y estrategias para el manejo dentro del aula y favorezcan el  desempeño académico y sicosocial del niño.  

● Aplicación de sociogramas, que permitan obtener información del funcionamiento social  del grupo y hagan posible desarrollar estrategias individuales o grupales de intervención.  ● Implementar programas y actividades para la detección de situaciones vulnerables que  afecten el desempeño social del niño.  

Las finalidades aquí mencionadas se relacionan con el interés superior del menor ya que buscan  su bienestar sicológico y emprender medidas que le permitan tratar problemáticas que afecten su  desempeño académico y su desarrollo sicosocial. 

3.5. Tratamiento de datos biométricos de niños y niñas (imágenes, fotografías y  videos) 

Los datos obtenidos en fotografías, imágenes y videos se consideran como datos personales  biométricos de naturaleza sensible. El colegio entiende que no existe obligación de autorizar el  tratamiento de este tipo de datos, pero en el caso en que se autorice al colegio a acceder y obtener  esta información, esta será utilizada para:  

● Tener registro histórico de actividades que se realicen dentro de la institución educativa o  que sean organizados por esta. 

● Adelantar un seguimiento a las actividades y metodología utilizada por docentes  previamente seleccionados por parte de las directivas, con el fin de efectuar retroalimentaciones periódicas que permitan a la institución evaluar la forma en la que el  profesor imparte sus clases, esto generalmente se hace a través de videos en los que  pueden figurar los menores de edad que atienden la clase.  

● Dar a conocer a padres de familia el desarrollo de actividades escolares en las que no  puedan acompañar a sus hijos y compartir experiencias y vivencias con otros miembros  de la comunidad.  

● Elaboración del anuario escolar.  

● Apoyo fotográfico en las diferentes publicaciones y actividades desarrolladas por el Club  de Medios, el periódico escolar y otros medios estudiantiles. 

● Apoyo fotográfico en las publicaciones realizadas en las redes sociales institucionales  oficiales del colegio.  

Estos datos buscan garantizar el acceso a recursos educativos y registrar momentos de gran  importancia para los niños durante su vida escolar, fines directamente relacionados con su interés  superior.  

Adicionalmente, dentro del contrato de matrícula y en la recepción del colegio se ha dado a  conocer el uso de un circuito cerrado de televisión como mecanismo de seguridad establecido  dentro de las instalaciones.  

3.6. Tratamiento de datos biométricos de funcionarios del colegio. 

Así mismo, El colegio recolecta datos biométricos de mayores de edad pertenecientes a la  comunidad educativa como docentes funcionarios. En concreto, esta recolección tiene las  siguientes finalidades: 

• Tener registro histórico de actividades que se realicen dentro de la institución  educativa o que sean organizados por esta. 

• Adelantar un seguimiento a las actividades y metodología utilizada por docentes  previamente seleccionados por parte de las directivas, con el fin de efectuar  retroalimentaciones periódicas que permitan a la institución evaluar la forma en  la que el profesor imparte sus clases.  

• Elaboración del anuario escolar.  

• Apoyo fotográfico en las diferentes publicaciones y actividades desarrolladas por  el Club de Medios, el periódico escolar y otros medios estudiantiles. 

• Apoyo fotográfico en las publicaciones adelantadas en las redes sociales  institucionales oficiales del colegio.  

• Registro y archivo del expediente laboral.  

• Control de ingreso y salida mediante huella digital a ciertas instalaciones del  colegio. 

3.7. Tratamiento de datos biométricos de personas externas a la comunidad  educativa. 

El colegio recoge datos biométricos pertenecientes a terceros que ingresan a las  instalaciones del colegio y que generalmente no hacen parte de la comunidad educativa  con la finalidad de llevar un control de ingreso y salida que permita salvaguardar la  seguridad de las personas y bienes ubicados en las instalaciones de la institución. 

3.8. Tratamiento de notas de niños, niñas y adolescentes. 

El desempeño académico de los niños, las niñas y los adolescentes también es considerado como  un dato personal de esta población. Es indispensable que las notas de los estudiantes sean objeto  de tratamiento, porque de otra manera no podría haber un adecuado ejercicio del derecho a la  educación y se estaría desconociendo el interés superior del niño, la niña o el adolescente.  Entonces, debe haber un cuidado especial por parte de todo aquel que tenga conocimiento de esta  información y nunca debe ser conocida por persona diferente a quienes son esenciales para que  se cumpla con los fines de la educación. 

3.9. Datos de contenido crediticio que pueden ser llevados para reporte a  centrales de riesgo de padres de familia o acudientes 

El colegio ha solicitado autorización para el reporte a las centrales de información financiera y  crediticia el nacimiento, la modificación y la extinción de las obligaciones contraídas con éste,  así como el cumplimiento o incumplimiento de las mismas. Lo anterior, con propósitos de  control, de supervisión, estadísticos, de prevención de fraude y de conocimiento del  comportamiento financiero y crediticio, según lo dispuesto en la Ley 1266 de 2008. Así mismo,  se ha solicitado una autorización dirigida a quien en el futuro se subrogue en la calidad de  acreedor de las obligaciones contraídas con el colegio, para que maneje los datos de contenido  crediticio suministrados, con los mismos fines y en los mismos casos expuestos en este párrafo. 

Las mismas entidades están autorizadas también para consultar los datos del titular en las  centrales de información y para obtener las referencias comerciales necesarias para que el  colegio conozca precisamente su comportamiento en las relaciones financieras, comerciales y de  servicios en las que haya sido parte. De acuerdo con lo dispuesto en el artículo 13 de la Ley 1266  de 2008, la información sobre el incumplimiento de las obligaciones del titular permanecerá en  las centrales de información financiera y crediticia durante el tiempo que subsista el  incumplimiento, es decir, hasta el momento en el cual el titular efectúe el correspondiente pago. 

3.10. Tratamiento de datos personales de empleados y prestadores de servicios 

Los empleados del colegio proveen datos personales en diferentes medios, entre los que se  encuentran los contratos, las hojas de vida, entrevistas, y otros documentos. Mediante el  diligenciamiento de una autorización, los empleados y todas las personas naturales que prestan sus servicios en el colegio dan su consentimiento para que se realice el tratamiento de sus datos  personales. Las finalidades para las cuales se hace este Tratamiento son:  

● El cumplimiento y ejecución del contrato laboral. 

● Comunicar la realización de eventos y actividades propias del colegio.  

● Dar acceso a herramientas tecnológicas para el desarrollo de sus responsabilidades.  ● Contactar en caso de ser requerido por miembros de la comunidad. 

● Generación y envío de correspondencia.  

Es importante resaltar que las personas que se postulan a diferentes trabajos en el colegio deben  proveer algunos datos personales, aunque no lleguen a ser seleccionados. Esto lo hacen al  presentar su hoja de vida, por ejemplo. Por esa razón, también deben firmar una Autorización  especial. Las finalidades para las cuales estos datos personales son recolectados son:  

● Llevar a cabo el procedimiento de selección de manera adecuada.  

● Recolectar información sobre el candidato mediante el contacto con sus referencias  laborales y personales y el estudio de sus publicaciones en Internet y otros medios  (periódicos, revistas, boletines, televisión, etc.). 

● Contactar al candidato para brindarle información sobre el proceso.  

● Contactar al candidato para darle a conocer los resultados e identificarlo plenamente  como postulante para el puesto de trabajo al cual se presentó. 

3.11. Tratamiento de datos personales de proveedores 

El tratamiento de datos personales de proveedores solo es procedente cuando se trata de personas  naturales que presten servicios especiales al colegio y que suministren datos personales  esenciales para el desarrollo del mismo. Es necesario obtener datos personales de estos  proveedores para que se puedan desarrollar adecuadamente los contratos que firman con el  colegio. En este sentido, el colegio recoge dichos datos por medio de diferentes documentos,  como el contrato. Las finalidades para las cuales se piden estos datos son:  

● Contactar a los proveedores para la realización de cotizaciones y llevar a cabo órdenes de  compra.  

● Contabilidad para efectos de pagos y verificar las referencias. 

● Seguimiento a la realización de los servicios contratados por el colegio.  ● Generación y envío de correspondencia. 

Estas finalidades son conocidas por los proveedores al firmar la AUTORIZACIÓN DE  TRATAMIENTO DATOS PERSONALES DE PROVEEDORES PERSONAS NATURALES. 

4. Autorizaciones 

Los datos anteriormente mencionados han sido recolectados de acuerdo con lo estipulado por las  normas vigentes en la materia. En este sentido, cada documento en el que se provee información  personal de niños, niñas, adolescentes, padres, acudientes, profesores, empleados y proveedores personas naturales, va acompañado de una autorización para el tratamiento de los mismos. La  recolección y autorización cumplen con lo señalado en el Decreto 1074 de 2015. De esta manera,  la recolección se limita a los datos que son pertinentes y adecuados para la finalidad para la cual  son recolectados. La autorización, se solicita en el momento de recolectar los datos, en el caso de  los formatos de admisión, el contrato de matrícula y los contratos de empleados y profesores. Así  mismo, estos documentos contienen autorizaciones sobre los datos que se lleguen a facilitar por  otros medios, por parte del mismo titular, durante la vigencia del respectivo contrato o  documento. Estos mecanismos de obtención de la autorización son permitidos por el Decreto  1074 de 2015. 

En todas las autorizaciones se explica qué tipos de datos se están suministrando o se van a  facilitar, así como las finalidades específicas para las cuales son requeridos. Se explica que hay  datos que son públicos, por lo cual no se necesita autorización para su tratamiento. En caso de  que se suministren datos sensibles, el colegio informa a los titulares sobre esta circunstancia y les  hace saber que no están obligados a autorizar su tratamiento. 

En el caso de datos de niños, niñas y adolescentes, su tratamiento se enmarca dentro de las  excepciones que contiene la Ley a la prohibición de tratamiento de este tipo de datos. Esta situación también es informada a los padres y acudientes y se les indica que el tratamiento de  datos personales de niños, niñas y adolescentes se hará únicamente para finalidades relacionadas  con su interés superior, para hacer efectivo su derecho a la educación y todos los demás que  estén directamente relacionados con él. 

5. Obligaciones del Gimnasio la Montaña como responsable y  encargado de la información.  

Al obtener una diversidad de datos tanto en calidad de responsable como encargado del  tratamiento, el colegio ha adquirido las siguientes obligaciones: 

i. Garantizar al titular de la información, en todo tiempo, y de forma gratuita el pleno y  efectivo ejercicio del derecho de hábeas data. 

ii. Conservar la información bajo las condiciones de seguridad necesarias para impedir su  adulteración, pérdida, consulta, uso o acceso no autorizados o fraudulentos. iii. Realizar oportunamente la actualización, rectificación o supresión de los datos en los  términos de la Ley. 

iv. Actualizar la información, y en caso de efectuar cambios sustanciales en el tratamiento de  los datos personales, informarlo a través de los medios que considere más idóneo tanto a  los titulares como a los encargados de la información en caso de existir. 

v. Rectificar la información cuando sea incorrecta y en caso de existir un encargado del  manejo de la misma, informárselo.

vi. En caso de existir un encargado del tratamiento de la información, suministrarle  únicamente datos cuyo tratamiento este previamente autorizado por el titular. vii. Tramitar las consultas y los reclamos formulados por los titulares en los términos  señalados en la Ley. 

viii. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado  cumplimiento de la Ley y, en especial, para la atención de consultas y reclamos por parte  de los titulares. 

ix. Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se  regula en la Ley. 

x. Insertar en la base de datos la leyenda “información en discusión judicial” una vez  notificado por parte de la autoridad competente sobre procesos judiciales relacionados  con la calidad del dato personal. 

xi. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo  bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. xii. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a  ella. 

xiii. Informar a solicitud del titular sobre el uso dado a sus datos. xiv. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones  a los códigos de seguridad y existan riesgos en la administración de la información de los  titulares. 

xv. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria  y Comercio. 

6. Derechos que asisten a los titulares de datos 

Los derechos que la Ley otorga al titular de datos personales y que el colegio se ha  comprometido a respetar, para lo cual ha diseñado mecanismos que permitan el pleno ejercicio  de los mismos, son: 

i. Conocer, actualizar y rectificar los datos personales frente a los responsables o  encargados del tratamiento.  

ii. Solicitar prueba de la autorización otorgada al responsable del tratamiento. iii. Ser informado por los responsables o encargados del tratamiento, previa solicitud,  respecto del uso que le han dado a los datos personales del titular. 

iv. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo  dispuesto en la presente Política de Tratamiento de datos, la Ley 1581 de 2012 y las  demás normas que la modifiquen, adicionen o complementen (dentro de las que se  encuentra el Decreto 1377 de 2013). 

v. Revocar la autorización o solicitar la supresión del dato cuando en el tratamiento no se  respeten los principios, derechos y garantías constitucionales y legales. La revocatoria o supresión procederá cuando la Superintendencia de Industria y Comercio haya  determinado que en el tratamiento el responsable o encargado han incurrido en conductas  contrarias a la Ley 1581 de 2012 o a la Constitución. 

vi. Acceder en forma gratuita a los datos personales que hayan sido objeto de tratamiento. 

7. Medidas de seguridad de la información 

A continuación se describen las medidas de seguridad de la información adoptadas por el  colegio: 

● Todos los empleados, contratistas y proveedores son responsables de proteger la  información a la cual tiene acceso y procesen, para evitar su pérdida, alteración,  destrucción o uso indebido. En los equipos de cómputo propiedad del colegio o  alquilados por el mismo, únicamente se permite el uso de software autorizado por la  oficina de Tecnología y que haya sido adquirido legalmente. 

● Es responsabilidad de todos los miembros de la comunidad reportar los incidentes de  seguridad, eventos sospechosos y el mal uso de los recursos que identifique. ● El acceso a los documentos físicos y digitales está restringido, según el nivel de acceso  correspondiente a cada usuario, según su rol y responsabilidades mediante controles de  software y restricciones físicas de acceso.  

● Los miembros de la comunidad que utilizan el acceso a Internet y los recursos  tecnológicos aceptan normas generales que regulan su uso y se comprometen a seguir los  lineamientos éticos del colegio en sus comunicaciones y tratamiento de información. El  acceso físico a los equipos que soportan los sistemas de información está restringido  mediante controles biométricos y cerraduras físicas o alojado en centros de datos seguros  (Amazon Web Services, Google). 

● El colegio firma acuerdos de confidencialidad con los empleados, clientes y terceros que  por diferentes razones requieran conocer o intercambiar información restringida o  confidencial de la Institución.  

● Las contraseñas asignadas por todos los usuarios, deben cumplir condiciones mínimas de  seguridad y los perfiles con mayores niveles de acceso utilizan autenticación de dos  factores. 

8. Proveedores de servicios tecnológicos y sus medidas de  tratamiento 

El colegio, para desarrollar las actividades propias del servicio que presta, en consonancia con su  misión y su visión, usa diferentes bases de datos, páginas web y plataformas tecnológicas, entre  otros, sobre los cuales declara que ha leído y aceptado los términos y condiciones, en especial lo  que respecta al tratamiento de la información que en virtud del uso de dichos portales pueda llegar a ser entregada por el Gimnasio la Montaña. En todo caso, cuando la información sea  entregada directamente por los Titulares a cualquiera de estos portales se entiende que lo hace de  forma libre, expresa, e informada.  

En la lista que sigue a continuación, se enuncian los diferentes servicios en nube que utiliza el  colegio, con sus correspondientes proveedores tecnológicos. 

8.1. Servicios en nube que usa el GLM 

● Amazon Web Services (AWS): servidores remotos. 

● Google Apps for Education: servicios de comunicación, colaboración y almacenamiento  en nube. 

● Microsoft Volume Licensing: descargas de software como beneficios de nuestra licencia. ● IXL: Matemáticas.  

● EBSCO. Acceso a bases de datos bibliográficas. 

● Flickr. Cuenta institucional con fotos de eventos. 

● Facebook. Cuenta institucional, con algunas fotos y actualizaciones. 

● Twitter: Cuenta institucional. 

● iCloud: Sincronización de aplicaciones y configuración de tabletas y computadores. 

Los proveedores de tecnología enunciados anteriormente sirven para los fines establecidos  dentro del colegio debido a sus características especiales, que a continuación se describen, con  base en un análisis realizado por el Berkman Center de la Universidad de Harvard1

En primer lugar, se encuentra Amazon Web Services (AWS). Esta infraestructura ofrece una  amplia gama de reemplazos virtuales de soportes físicos, la cual incluye servidores de uso  generalizado, almacenamiento de archivos en masa, bases de datos y servicios de nombres de  dominio. La principal responsabilidad sobre el mantenimiento y la seguridad es del colegio2. Se  destaca que la audiencia hacia la cual va dirigido este proveedor es principalmente el sector  administrativo del colegio. AWS, en el Gimnasio la Montaña, aloja la página web principal, otras  páginas y sus respectivas bases de datos, entre otros. 

En cuanto a Google Apps for Education, este proveedor hace posible que todos los servicios de  Google se encuentren en la administración y manejo de una institución educativa, a diferencia de  lo que puede hacer una sola persona que tiene una cuenta en Google sin ser parte de una  institución. Este proveedor permite extender los servicios a diferentes miembros de la institución  y crear cuentas para todos los estudiantes, colaboradores y exalumnos3. La variedad que ofrece  este proveedor tecnológico en cuanto a aplicaciones que pueden ser utilizadas permite que la  audiencia sea más amplia. En este sentido, tanto profesores y administrativos, como estudiantes y  exalumnos graduados, pueden acceder a todos los servicios que ofrece4.  

En tercer lugar, el colegio cuenta con los servicios de Microsoft Volume Licensing5, donde se  recolecta información tanto del colegio como de los diferentes usuarios, que incluyen  estudiantes, profesores, empleados y padres de familia. Dentro de la información que recolecta  este proveedor, se encuentran datos de identificación, geográficos, de ubicación y demográficos,  entre otros. Estos datos los adquiere Microsoft por diferentes medios, como formularios que  llenan los usuarios, tecnologías como cookies, el ingreso de cada usuario a la web y los  programas instalados en computadores y otros equipos electrónicos. Según la política de  privacidad de Microsoft, esta información es utilizada para operar, mejorar y personalizar los  productos y servicios que ofrece, para proveer una experiencia más consistente y personalizada  para los usuarios. En ocasiones utilizan información de los usuarios que proviene de otras  compañías. También se utilizan los datos personales de cada usuario para comunicarse con ellos.  Microsoft solamente comparte información con terceros previo consentimiento del usuario, y lo  hace con diferentes finalidades, como cuando el usuario envía un correo electrónico a un tercero,  por ejemplo. También lo hace cuando cree que es necesario para cumplir con fines legalmente  establecidos. Algunos servicios ofrecidos por el proveedor permiten acceder y editar la  información personal del usuario. Esto depende de cada servidor y del tipo de licencia que se  tenga. Hay casos en los que el colegio es quien debe acceder a la información y quien tiene la  posibilidad de modificarla y no necesariamente pueden hacerlo los alumnos. Cuando se trata de  datos personales de menores de edad, Microsoft pide autorización de los padres o tutores, si el  niño o la niña es menor de 13 años. Sin embargo, la cuenta de un menor de edad funciona como  la de cualquier usuario. La información financiera del titular de la cuenta puede ser compartida  con bancos y otras entidades financieras con el fin de evitar fraude y reducir el riesgo crediticio. 

Por otra parte, el colegio cuenta con un software de ejercitación de Matemáticas y Lenguaje  (Inglés), llamado IXL. Este proveedor recolecta información de diferentes formas y a través de  los productos que ofrece6. En primer lugar, recolecta información cuando el usuario se registra.  También, cuando el usuario accede a soporte tecnológico, cuando envía mensajes a través de  correo electrónico, por medio de encuestas y otras comunicaciones. Además, IXL utiliza cookies 

para mejorar el servicio y prestarlo de manera adecuada, por lo cual recolecta datos personales  del usuario a través de estas. Los datos personales son utilizados por este proveedor tecnológico  para ofrecer al usuario un servicio personalizado con un alto nivel de soporte técnico. También  utiliza la información para dar reportes detallados a los profesores sobre el desempeño de sus  estudiantes, para hacer investigaciones de tipo demográfico y mejorar el servicio entendiendo de  mejor manera a los usuarios. La información de cada usuario puede ser modificada en cualquier  momento, para que esté actualizada, completa y precisa. IXL tiene diferentes medidas de  seguridad para garantizar que la información no sea alterada, distribuida ni destruida, así como  para evitar que sea accedida sin autorización. Dentro de estas medidas hay revisiones internas  sobre los procesos de recolección, almacenamiento y procesamiento de la información, así como  medidas físicas para evitar el acceso no autorizado. Todos los empleados del proveedor que  tienen acceso a los datos personales para poder prestar los servicios están vinculados por medio  de contratos que tienen estrictas obligaciones sobre la materia. En cuanto a los menores de edad,  IXL no pide información adicional a los menores de 13 años, ni comparte su información con  terceros.  

El colegio también cuenta con los servicios y productos que ofrece EBSCO. La política de  tratamiento de datos personales de este proveedor7 señala que los usuarios suministran  información de manera completamente voluntaria para acceder a los diferentes productos y  servicios ofrecidos. Los datos personales son utilizados para propósitos internos, dentro de los  que se incluye el procesamiento de transacciones, establecer la identidad de los dueños de las  cuentas y servicio al cliente, entre muchas otras finalidades. El tratamiento que este proveedor le  da a los datos personales incluye compartirlos con afiliados y con terceros, sin que se esté en el  negocio de venta de datos personales. En el caso de que se transfiera la información a terceros,  EBSCO garantiza que solo se comparten datos personales con la condición de que se mantenga  la confidencialidad y que estos solo van a ser utilizados por el tercero para llevar a cabo los  servicios que los contratistas le presten a EBSCO. El proveedor se asegura de que las finalidades  y los usos que terceros le den a los datos personales de sus usuarios sea consistente con la  política de tratamiento que maneja EBSCO. Hay diferentes formas en las que el proveedor se  asegura de esto, dentro de las que se encuentran contratos y acuerdos. También revela  información en los casos en que la ley así lo exija o si de buena fe considera que es  completamente necesario para cumplir con procesos legales, responder quejas o proteger a la  compañía, sus empleados, clientes y el público. En caso de que EBSCO sea vendido, uno de los  activos de la compañía consiste en los datos personales que ha recolectado. Es posible que los  usuarios contacten al proveedor para comunicarle que no desean que sus datos personales sean  utilizados para determinadas finalidades, diferentes a aquellas para las cuales fueron  recolectados. No es lo usual que este proveedor recolecte datos sensibles, pero si lo hace, no los  va a revelar a terceros ni usarlos para finalidades diferentes a aquellas para las cuales fueron  recolectados, a menos que el usuario expresamente lo pida y autorice. EBSCO toma las medidas  de seguridad suficientes y necesarias para que el acceso a los datos personales de los usuarios sea  restringido, que no sean alterados, destruidos, distribuidos, divulgados o revelados para usos no  compatibles con las finalidades y propósitos para los cuales fueron adquiridos. Los sitios web de  EBSCO no están hechos para recolectar información de niños, niñas y adolescentes, pero en caso  de que lo hagan, los padres o tutores deben estar ahí presentes para suministrar la información y  nunca deben facilitar más datos de los necesarios para acceder a los servicios. 

Otro proveedor tecnológico en el que hay una cuenta institucional es Flickr. La política de  privacidad de este servicio8 indica que cada usuario determina quién tiene acceso al contenido  que suba y los datos personales que se manejen a través de este servicio son tratados conforme a  la política de tratamiento de Yahoo9. Hay diferentes formas en las que Yahoo recolecta  información de los usuarios, dentro de las que se incluye el registro, el envío de mensajes y  encuestas, entre otros. El proveedor no vende, arrienda ni comparte datos personales con  terceros, excepto para suministrar productos o servicios solicitados por el usuario, con  autorización del mismo o bajo ciertas circunstancias. Debido a que lo que maneja el colegio es  una cuenta institucional, la información para el registro es únicamente la de la institución. Por  esa razón, por medio de este servicio no se debe proveer información de niños, niñas y  adolescentes. Sin embargo, como cuenta institucional, se suben fotos de actividades del colegio,  en las que aparecen estudiantes menores de edad. En este sentido, el colegio es responsable de lo  que comparte a través de su cuenta, razón por la cual no debe vincular las fotos de los estudiantes  con sus nombres.  

De la misma forma, el colegio tiene una cuenta institucional en Facebook10. Este proveedor  recolecta información del usuario de diferentes maneras, empezando por los datos de registro y  acceso, y continuando a través de toda la actividad del mismo en la red social. Esta información  es utilizada con diferentes finalidades, dentro de las que se encuentra proveer y mejorar los  servicios, comunicarse con el usuario, mostrar propaganda personalizada y promover seguridad.  El usuario escoge con quién comparte la información que sube, pero hay casos en los que estas  personas pueden descargar el contenido y compartirlo a su manera, dependiendo de lo que ellos  escojan como opciones de compartirlo. La compañía también comparte información de los  usuarios con terceros, para diferentes propósitos. El proveedor almacena la información por el  tiempo que considere necesario para poder suministrar productos y servicios de variada  naturaleza. 

Otro proveedor tecnológico es Twitter, donde el colegio tiene una cuenta institucional. La  política de tratamiento de este proveedor11 indica que hay diferentes tipos de información  recolectada por la compañía, entre la que se encuentra datos de registro, acceso, contacto y todo  lo que el usuario publica en su cuenta. También recolecta información por medio de cookies,  páginas web que visite desde el servidor e información financiera y crediticia, cuando hace  pagos. Para prestar sus servicios, Twitter comparte información y utiliza datos proveídos por  terceros, contratistas y afiliados. El consentimiento y la autorización del usuario son las bases  para compartir información y datos personales. Los servicios que provee Twitter no están  dirigidos a menores de 13 años y las cuentas que estas personas abran en el servicio serán  cerradas. Al igual que con Facebook, la cuenta del colegio es institucional y se utiliza para  ofrecer información pública, por lo cual no se proveen a esta empresa datos de estudiantes ni  empleados. 

Esta institución maneja algunas cuentas iCloud, para diferentes fines. De acuerdo con la política  de tratamiento de este servidor12, se recolectan datos personales usando diferentes mecanismos,  como el registro y el acceso. Las finalidades para las cuales se utilizan los datos personales de los  usuarios varían, y están encaminadas a prestar un servicio personalizado, a ofrecer productos y  servicios, a verificar la identidad del usuario, entre otros. El proveedor tecnológico también  utiliza cookies y diferentes tecnologías para acceder a esta información personal del usuario. Hay  casos en los que Apple revela información a terceros, dependiendo del producto que el usuario  esté solicitando. La seguridad de la información es muy importante para este proveedor, razón  por la cual toma diferentes medidas de seguridad, entre las que se encuentran el uso de  codificación para las transacciones y la limitación física del acceso a los lugares donde se  almacena toda esta información. La recolección de datos personales de menores de 13 años se  hace con el consentimiento y la autorización de los padres o responsables. Las cuentas de iCloud  del GLM son administrativas y no brindan a Apple los datos personales de miembros de la  comunidad. 

Bajo los estándares aquí descritos y conforme al análisis realizado por el Berkman Center de la  Universidad de Harvard, el Gimnasio la Montaña ha considerado que estos proveedores brindan  medidas de seguridad y manejo de la información que se adecúan a los principios establecidos  por la legislación colombiana y por ende hace uso de los mismos. Sin embargo, el colegio  seguirá realizando una constante evaluación de estos servicios y de sus políticas de privacidad.  Además, el análisis del manejo de datos personales por parte de proveedores tecnológicos es un  punto importante en los procesos de selección del colegio.  

9. Responsables del seguimiento y cumplimiento de esta política 

El Gimnasio La Montaña ha designado la siguiente funcionaria como responsable de  implementar, actualizar y hacer seguimiento al cumplimiento de esta política por parte de los  miembros de la comunidad, así como de atender en debida forma el ejercicio del derecho de  Habeas Data por parte de cualquier titular que pretenda ejercerlo: 

Marcela Mejía 

• Cargo: Oficial de Tratamiento de Datos Personales 

• Correo electrónico:tratamientodatos@glm.edu.co 

• Teléfono: 6761861, ext. 109 

10. Procedimiento para la atención de consultas y reclamos 

Todas las solicitudes que surjan en cuanto al tratamiento de los datos y frente al ejercicio de los  derechos mencionados serán atendidos a través de las siguientes líneas de información: 

Correspondencia: Carrera 51 # 214-55, Bogotá 111166, Colombia 

Correo electrónico: tratamientodatos@glm.edu.co 

Los propietarios de datos pueden enviar solicitudes de dos tipos: 

i. Consulta: si quiere conocer el tratamiento de algún dato o la existencia y forma como  están consignados sus datos. En este caso, una vez el colegio recibe la solicitud se tienen  diez (10) días hábiles para dar respuesta al mismo, plazo que puede ser prorrogado por  cinco (5) días hábiles, lo cual se dará a conocer al solicitante. 

ii. Reclamo: si considera que hay un uso indebido de los datos o ha existido un indebido  tratamiento. La respuesta del colegio debe darse en quince (15) días hábiles y puede  prorrogarse por ocho (8) días hábiles más. 

En sus comunicaciones, le pedimos que nos envíe copia de su documento de identidad, poder  para representar en caso de que medie mandato, los documentos que son importantes para  evaluar su caso y la dirección a la cual desea que respondamos su solicitud. En caso de que la  solicitud no contenga uno de estos requisitos, se le avisará de esta situación dentro de los cinco  (5) días hábiles siguientes a la recepción de sus documentos. Si se está frente a un reclamo y se  comunica la ausencia de documentos para analizar la situación y los mismos no se hacen llegar  en dos (2) meses, entenderemos que han desistido de esta solicitud. 

11. Requisito previo para la interposición de quejas ante la  Superintendencia de Industria y Comercio. 

En caso que el titular de la información pretenda interponer una queja ante la Superintendencia  de Industria y Comercio respecto el tratamiento de sus datos personales por parte del colegio  deberá agotar el trámite de reclamo o consulta ante Gimnasio la Montaña de conformidad con el  procedimiento establecido en el numeral 10

12. Términos de permanencia de la información y fecha de  entrada en vigencia de la política de tratamiento 

La información de los padres de familia, empleados y proveedores estará vigente durante el  término de duración del contrato que ha dado lugar a cada una de estas relaciones. Una vez  terminada la relación contractual, se realizarán actualizaciones de datos. En caso de que no sea  posible actualizar los datos, se dará el término de un año para, después de este, suprimir la  información.  

La información académica de los estudiantes se mantendrá vigente para la emisión de  certificados frente el desempeño académico y las notas obtenidas por estos durante su tiempo en  el colegio. Se mantendrán actualizaciones de datos para conocer información sobre las  profesiones y carreras de nuestros ex alumnos, al igual que sus datos de contacto. En caso de que  no se logre la actualización, se dará el término de un año para después de este suprimir la  información.  La presente política ha sido establecida desde el 1 de octubre de 2014, siendo actualizada por  última vez el 2 de mayo de 2017Cualquier cambio sustancial en las políticas de tratamiento, será  dado a conocer a través de un anuncio en la página web www.glm.edu.co.