POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES ANDES TOURS S.A.S

Fecha de última actualización: 14 de febrero de 2025

Vigencia: A partir del 14 de febrero de 2025

1. IDENTIFICACIÓN DEL RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

RESPONSABLE DEL TRATAMIENTO:

• • Razón Social: ANDES TOURS S.A.S

• • NIT: 860.031.954-4

• • Domicilio: Carrera 9 # 74-08, Bogotá D.C., Colombia

• • Teléfono: +57 (1) 746-1333

• • Correo electrónico principal: albrechtc@andestours.com.co

• • Correo para protección de datos: privacidad@andestours.com.co

• • Página web: www.andestours.com.co

• • Representante Legal: Colette Albrecht

• • Cédula: 51.719.147

DELEGADO DE PROTECCIÓN DE DATOS:

• • Nombre: [Designar responsable interno]

• • Correo: privacidad@andestours.com.co

• • Teléfono: +57 (1) 746-1333

2. MARCO LEGAL Y NORMATIVO

Esta Política se desarrolla en estricto cumplimiento de:

• • Ley 1581 de 2012 (Régimen General de Protección de Datos Personales)

• • Decreto 1377 de 2013 (Reglamentario de la Ley 1581)

• • Ley 1266 de 2008 (Disposiciones generales del hábeas data)

• • Decreto 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio)

• • Sentencia C-748 de 2011 (Corte Constitucional)

• • Circular Externa 002 de 2015 (Superintendencia de Industria y Comercio)

• • Resolución 76434 de 2021 (SIC – Modelo de Privacidad)

• • Normativas internacionales aplicables según destinos de viaje

3. DEFINICIONES

Para efectos de esta política se entiende por:

• • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables

• • Dato público: Dato calificado como tal según mandato de la ley o de la Constitución Política

• • Dato semiprivado: Datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector

• • Dato privado: Datos que por su naturaleza íntima o reservada sólo son relevantes para el titular

• • Dato sensible: Información que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación

• • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales

• • Titular: Persona natural cuyos datos personales sean objeto de tratamiento

• • Responsable: Persona natural o jurídica que decide sobre el tratamiento de datos personales

• • Encargado: Persona natural o jurídica que realiza el tratamiento por cuenta del responsable

4. TIPOS DE DATOS RECOLECTADOS

ANDES TOURS recolecta y trata de manera diferenciada los siguientes tipos de datos:

4.1 DATOS DE IDENTIFICACIÓN Y CONTACTO:

• • Nombres y apellidos completos

• • Tipo y número de documento de identidad (cédula, pasaporte, etc.)

• • Fecha y lugar de nacimiento

• • Nacionalidad y país de residencia

• • Estado civil

• • Género

• • Dirección de residencia y/o trabajo completa

• • Números telefónicos (fijo, móvil, WhatsApp)

• • Correo electrónico personal y corporativo

• • Redes sociales (cuando sean proporcionadas voluntariamente)

4.2 DATOS LABORALES Y COMERCIALES:

• • Empresa donde labora y cargo

• • Dirección y contacto laboral

• • Información financiera y crediticia (cuando sea necesaria)

• • Historial comercial y de servicios contratados

• • Preferencias comerciales y de contacto

• • Centro de costos y códigos contables (para clientes corporativos)

4.3 DATOS ESPECÍFICOS DE VIAJE:

• • Número de pasaporte y fecha de vencimiento

• • Visas y documentos consulares

• • Información de vuelos y reservas

• • Preferencias de asientos, comidas y alojamiento

• • Datos de programas de viajero frecuente

• • Información de acompañantes y beneficiarios

• • Datos de contacto de emergencia

• • Historial completo de viajes

4.4 DATOS SENSIBLES (CON AUTORIZACIÓN EXPRESA):

• • Datos de salud: Alergias alimentarias, condiciones médicas relevantes para el viaje, medicamentos, discapacidades, restricciones de movilidad

• • Datos biométricos: Cuando sean requeridos por autoridades migratorias

• • Creencias religiosas: Solo cuando afecten servicios de alimentación o itinerarios

• • Orientación sexual: Solo cuando sea relevante para servicios específicos

• • Datos de menores de edad: Con autorización de padres o tutores

4.5 DATOS TÉCNICOS Y DE NAVEGACIÓN:

• • Dirección IP y ubicación geográfica

• • Información del navegador y dispositivo

• • Cookies y tecnologías de seguimiento

• • Historial de navegación en nuestro sitio web

• • Interacciones con contenido digital

• • Logs de sistema y accesos

5. FINALIDADES DEL TRATAMIENTO

5.1 FINALIDADES PRINCIPALES (NECESARIAS PARA EL SERVICIO):

Para Viajes Corporativos:

• • Gestión integral de viajes de empresa

• • Implementación de políticas corporativas de viaje

• • Emisión de tiquetes y gestión de reservas

• • Tramitación de documentos consulares y visas

• • Gestión de programas de viajero frecuente

• • Reportes de gestión y control de gastos

• • Facturación y contabilidad

• • Cumplimiento de normativas fiscales y contables

Para Eventos MICE:

• • Organización completa de eventos corporativos

• • Gestión de participantes y invitaciones

• • Coordinación logística integral

• • Manejo de proveedores especializados

• • Producción y protocolo de eventos

• • Medición de satisfacción y resultados

Para Viajes Personalizados:

• • Diseño de itinerarios a medida

• • Gestión de servicios premium

• • Asesoría especializada en destinos

• • Coordinación de experiencias únicas

• • Atención personalizada 24/7

5.2 FINALIDADES SECUNDARIAS (REQUIEREN CONSENTIMIENTO ADICIONAL):

• • Envío de información promocional y ofertas especiales

• • Estudios de mercado y análisis de tendencias

• • Mejoramiento continuo de servicios

• • Desarrollo de nuevos productos turísticos

• • Invitaciones a eventos y presentaciones

• • Comunicaciones de temporadas especiales

• • Programas de fidelización y beneficios

5.3 FINALIDADES LEGALES (OBLIGATORIAS):

• • Cumplimiento de obligaciones fiscales y tributarias

• • Reporte a autoridades cuando sea requerido por ley

• • Cumplimiento de normativas de prevención de lavado de activos

• • Verificación de listas restrictivas (OFAC, ONU, UE)

• • Conservación de registros según normativa contable

• • Atención de requerimientos judiciales y administrativos

6. TRATAMIENTO DE DATOS SENSIBLES

Los datos sensibles reciben protección especial:

6.1 AUTORIZACIÓN EXPRESA:

• • Se solicita autorización específica y separada

• • Se informa claramente sobre la finalidad específica

• • El titular puede revocar la autorización en cualquier momento

• • Se implementan medidas de seguridad reforzadas

6.2 DATOS DE SALUD:

• • Solo se recolectan cuando sean estrictamente necesarios para el viaje

• • Se limita el acceso al personal estrictamente necesario

• • Se mantiene confidencialidad médica absoluta

• • Se destruyen una vez cumplida la finalidad

6.3 DATOS DE MENORES:

• • Requiere autorización expresa de padres o tutores legales

• • Se verifica la identidad del representante legal

• • Se aplican medidas de protección especiales

• • Se limita la conservación al mínimo necesario

7. DERECHOS DE LOS TITULARES

Como titular de datos personales, usted tiene los siguientes derechos:

7.1 DERECHO DE ACCESO:

• • Conocer qué datos tenemos sobre usted

• • Obtener copia de sus datos en formato digital

• • Conocer las finalidades del tratamiento

• • Identificar los destinatarios de sus datos

7.2 DERECHO DE RECTIFICACIÓN:

• • Corregir datos inexactos o incompletos

• • Actualizar información desactualizada

• • Completar datos que sean incompletos

7.3 DERECHO DE SUPRESIÓN:

• • Solicitar la eliminación de sus datos cuando:

    • • No sean necesarios para las finalidades
    • • Haya retirado su consentimiento
    • • Sus datos hayan sido tratados ilícitamente
    • • Sea necesario para cumplir una obligación legal

7.4 DERECHO DE OPOSICIÓN:

• • Oponerse al tratamiento por motivos legítimos

• • Rechazar el envío de comunicaciones comerciales

• • Solicitar la no inclusión en estudios de mercado

7.5 DERECHO DE PORTABILIDAD:

• • Recibir sus datos en formato estructurado y legible

• • Transmitir estos datos a otro responsable cuando sea técnicamente posible

7.6 DERECHO A NO SER OBJETO DE DECISIONES AUTOMATIZADAS:

• • No ser objeto de decisiones basadas únicamente en tratamiento automatizado

• • Solicitar intervención humana en procesos automatizados

8. PROCEDIMIENTO PARA EJERCER DERECHOS

8.1 CANALES DE ATENCIÓN:

• • Presencial: Carrera 9 # 74-08, Bogotá D.C. (Lunes a viernes 8:00 AM – 6:00 PM)

• • Correo electrónico: privacidad@andestours.com.co

• • Teléfono: +57 (1) 746-1333

• • Formulario web: www.andestours.com.co/proteccion-datos

• • Correo certificado: Carrera 9 # 74-08, Bogotá D.C.

8.2 REQUISITOS DE LA SOLICITUD:

• • Identificación completa: Nombre, documento de identidad, dirección

• • Petición clara: Describir específicamente lo solicitado

• • Documentos: Adjuntar copia del documento de identidad

• • Contacto: Medio para recibir respuesta

• • Representación: Si actúa en nombre de otro, acreditar la representación

8.3 PLAZOS DE RESPUESTA:

• • Consultas: Máximo 10 días hábiles

• • Reclamos: Máximo 15 días hábiles

• • Solicitudes complejas: Hasta 8 días hábiles adicionales (con justificación)

• • Respuesta gratuita: Una consulta por año calendario

9. AUTORIZACIÓN PARA EL TRATAMIENTO

9.1 FORMA DE OTORGAR AUTORIZACIÓN:

• • Escrita: Mediante formularios físicos o digitales

• • Oral: En comunicaciones telefónicas (se conserva registro)

• • Electrónica: A través de aceptación en medios digitales

• • Conducta inequívoca: Cuando no sea posible obtenerla por escrito

9.2 CASOS SIN NECESIDAD DE AUTORIZACIÓN:

• • Información requerida por entidades públicas

• • Datos de naturaleza pública

• • Casos de urgencia médica o sanitaria

• • Tratamiento autorizado por ley

• • Datos necesarios para ejecutar contratos

9.3 REVOCATORIA DE AUTORIZACIÓN:

• • Puede revocarse en cualquier momento

• • Debe ser por escrito o medio verificable

• • No afecta tratamientos realizados con autorización previa

• • Puede implicar imposibilidad de continuar prestando servicios

10. SEGURIDAD DE LA INFORMACIÓN

10.1 MEDIDAS TÉCNICAS:

• • Encriptación: Datos sensibles encriptados con estándares AES-256

• • Certificados SSL/TLS: Conexiones seguras en todas las comunicaciones

• • Firewalls: Protección perimetral de servidores

• • Antivirus: Protección contra malware actualizada permanentemente

• • Backups: Copias de seguridad automatizadas y cifradas

• • Control de acceso: Autenticación multifactor para accesos críticos

10.2 MEDIDAS ADMINISTRATIVAS:

• • Políticas internas: Manuales de manejo de información confidencial

• • Capacitación: Formación continua del personal en protección de datos

• • Contratos: Cláusulas de confidencialidad con empleados y terceros

• • Auditorías: Revisiones periódicas de cumplimiento

• • Gestión de incidentes: Protocolos para violaciones de seguridad

• • Control de acceso físico: Restricciones a áreas donde se almacenan datos

10.3 MEDIDAS ORGANIZACIONALES:

• • Designación de responsables: Personal específico para protección de datos

• • Segregación de funciones: Separación de responsabilidades críticas

• • Monitoreo: Supervisión continua de actividades de tratamiento

• • Documentación: Registro detallado de todas las operaciones

11. TRANSFERENCIAS Y TRANSMISIONES INTERNACIONALES

11.1 TRANSFERENCIAS NACIONALES:

Los datos pueden ser compartidos con:

• • Proveedores turísticos: Aerolíneas, hoteles, agencias receptivas

• • Entidades financieras: Para procesamiento de pagos

• • Autoridades: Cuando sea requerido por ley

• • Terceros autorizados: Según finalidades informadas

11.2 TRANSFERENCIAS INTERNACIONALES:

• • Países con nivel adecuado: Según lista de la SIC

• • Salvaguardas apropiadas: Cláusulas contractuales tipo, normas corporativas vinculantes

• • Autorización expresa: Del titular cuando no existan otros mecanismos

• • Excepciones específicas: Ejecución de contratos, interés vital, interés público

11.3 GARANTÍAS EN TRANSFERENCIAS:

• • Verificación del nivel de protección del destinatario

• • Contratos que garanticen protección equivalente

• • Supervisión del cumplimiento de obligaciones

• • Derecho del titular a obtener copia de las salvaguardas

12. CONSERVACIÓN Y ELIMINACIÓN DE DATOS

12.1 CRITERIOS DE CONSERVACIÓN:

• • Finalidad: Mientras sea necesario para cumplir los propósitos

• • Base legal: Según plazos establecidos por ley

• • Consentimiento: Mientras no sea revocado

• • Interés legítimo: Evaluación periódica de proporcionalidad

12.2 PLAZOS ESPECÍFICOS:

• • Datos de clientes activos: Durante la relación comercial + 10 años

• • Datos fiscales: 5 años después del último ejercicio fiscal

• • Datos de marketing: Hasta revocatoria del consentimiento

• • Datos de menores: Eliminación al cumplir mayoría de edad (salvo obligación legal)

• • Videos de seguridad: Máximo 30 días (salvo investigación)

12.3 ELIMINACIÓN SEGURA:

• • Borrado físico irrecuperable de dispositivos de almacenamiento

• • Destrucción certificada de documentos físicos

• • Verificación de eliminación en copias de seguridad

• • Registro documentado del proceso de eliminación

13. VIOLACIONES DE SEGURIDAD (BRECHAS DE DATOS)

13.1 DETECCIÓN Y RESPUESTA:

• • Monitoreo continuo para detectar incidentes

• • Protocolo de respuesta inmediata (máximo 24 horas)

• • Evaluación del riesgo para los derechos y libertades

• • Implementación de medidas de contención

13.2 NOTIFICACIÓN A AUTORIDADES:

• • Notificación a la SIC dentro de 15 días hábiles

• • Información detallada sobre la naturaleza de la violación

• • Medidas adoptadas y por adoptar

• • Evaluación de riesgo y posibles consecuencias

13.3 COMUNICACIÓN A TITULARES:

• • Notificación cuando exista alto riesgo para derechos y libertades

• • Lenguaje claro y comprensible

• • Descripción de medidas adoptadas

• • Recomendaciones para el titular

14. DERECHOS DE NIÑOS, NIÑAS Y ADOLESCENTES

14.1 PROTECCIÓN ESPECIAL:

• • Los menores de 18 años reciben protección reforzada

• • Evaluación del interés superior del menor

• • Limitación en la recolección al mínimo necesario

• • Medidas de seguridad especiales

14.2 CONSENTIMIENTO:

• • Menores de 14 años: Autorización de ambos padres o representantes legales

• • Entre 14 y 18 años: Autorización del menor con asistencia de representantes

• • Verificación de identidad del representante legal

• • Información adaptada a la edad del menor

15. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

15.1 TIPOS DE COOKIES:

• • Estrictamente necesarias: Para funcionamiento básico del sitio

• • De rendimiento: Para análisis estadístico anónimo

• • De funcionalidad: Para recordar preferencias del usuario

• • De publicidad: Para mostrar contenido relevante (con consentimiento)

15.2 GESTIÓN DE COOKIES:

• • Panel de configuración de cookies en el sitio web

• • Posibilidad de aceptar/rechazar por categorías

• • Información detallada sobre cada tipo

• • Instrucciones para gestión desde el navegador

16. EVALUACIONES DE IMPACTO

ANDES TOURS realiza evaluaciones de impacto cuando:

• • El tratamiento puede implicar alto riesgo para derechos y libertades

• • Se utilizan nuevas tecnologías

• • Se procesan datos sensibles a gran escala

• • Se realizan perfiles o scoring automatizado

17. RESPONSABILIDAD PROACTIVA (ACCOUNTABILITY)

17.1 MEDIDAS IMPLEMENTADAS:

• • Políticas internas de protección de datos

• • Formación continua del personal

• • Auditorías regulares de cumplimiento

• • Registro de actividades de tratamiento

• • Evaluaciones de impacto cuando corresponda

• • Designación de delegado de protección de datos

17.2 DEMOSTRACIÓN DE CUMPLIMIENTO:

• • Documentación de todas las medidas adoptadas

• • Registros de consentimientos otorgados

• • Evidencia de implementación de medidas técnicas y organizativas

• • Resultados de auditorías y acciones correctivas

18. CONTACTO Y AUTORIDAD DE CONTROL

18.1 CONTACTO DEL RESPONSABLE:

• • ANDES TOURS S.A.

• • Delegado de Protección de Datos: [Nombre]

• • Correo: privacidad@andestours.com.co

• • Teléfono: +57 (1) 746-1333

• • Dirección: Carrera 9 # 74-08, Bogotá D.C.

18.2 AUTORIDAD DE CONTROL:

• • Superintendencia de Industria y Comercio (SIC)

• • Dirección: Carrera 13 # 27-00, Bogotá D.C.

• • Teléfono: +57 (1) 587-0000

• • Web: www.sic.gov.co

• • Email: contactenos@sic.gov.co

19. MODIFICACIONES DE LA POLÍTICA

19.1 COMUNICACIÓN DE CAMBIOS:

• • Notificación por correo electrónico a clientes registrados

• • Publicación destacada en el sitio web por 30 días

• • Aviso en redes sociales oficiales

• • Comunicación en próximas interacciones comerciales

19.2 ENTRADA EN VIGOR:

• • Los cambios rigen 30 días después de la notificación

• • Se mantiene versión anterior disponible para consulta

• • Consentimiento expreso para cambios sustanciales

20. VIGENCIA

Esta Política de Privacidad entra en vigor el 14 de febrero de 2025 y permanece vigente hasta nueva modificación.