La entidad promotora de salud EPS S.O.S establece la presente política con el propósito de brindar las directrices generales asociadas al tratamiento de los datos personales, cumpliendo con los lineamientos emitidos por los entes de control y demás entidades regulatorias, relacionadas con el correcto uso de los datos que reposan en las bases de datos de la entidad. 

Glosario

  • Autorización: consentimiento previo, expreso e informado del titular del dato personal para llevar a cabo el tratamiento. Base de datos de información
  • personal: conjunto organizado de datos personales que sea objeto de tratamiento, sin importar que se trate de una base de datos manual o automatizada.
  • Conducta inequívoca: aquellas acciones que no admiten duda o equivocación del titular del dato que permitan concluir de forma razonable que otorgó la autorización.
  • Dato biométrico: son aquellos datos personales que informan sobre determinados aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que identifican a una persona.
  • Dato personal o información personal: cualquier información que, de manera individual o vinculada, permita determinar, identificar o asociarse a una o varias personas naturales determinadas o determinables.
  • Dato privado: es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información personal.
  • Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Dato semiprivado: es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a el(la) titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
  • Dato sensible: aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, así como datos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a vida sexual, y datos biométricos.
  • Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta, a nombre y según las directrices del responsable del tratamiento.
  • Responsable del tratamiento: persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, decida sobre la base de datos y/o tratamiento del dato personal.
  • Titular: persona natural cuyos datos personales sean objeto de tratamiento.
  • Transferencia de datos: la transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
  • Transmisión de datos: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, con el fin de que un encargado realice determinado tratamiento, por cuenta y según las indicaciones del responsable.
  • Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.


Objetivo

Establecer los criterios bajo los cuales se realiza el tratamiento de los datos personales que reposan en las bases de datos, archivos físicos y digitales de la EPS Servicio Occidental de Salud EPS S.O.S. 

Alcance de la Política

La Política de Tratamiento de Datos Personales establece el manejo, disposiciones generales y específicas de los datos personales que se recolectan en el marco de nuestras actividades como Entidad Promotora de Salud; así mismo, establece los derechos que tienen los titulares de la información y los mecanismos que se han dispuesto para que los usuarios puedan ejercer su derecho al buen uso de sus datos.

Esta Política es obligatoria y por lo tanto de forzoso cumplimiento para todos(as) los(as) colaboradores(as), contratistas y aquellos terceros que obren en nombre de la EPS S.O.S.

Responsable del tratamiento de la información personal

Se trata de la EPS S.O.S, identificada con el Nit: 805.001.157-2 y con domicilio en la Carrera. 56 No. 11A – 88 en Santiago de Cali, Valle del Cauca, Colombia; página web www.sos.com.co, teléfonos 018000 938777 y 4898686 y correo electrónico para asuntos de datos personales protecciondedatos@sos.com.co

Tratamiento de Datos personales

La EPS S.O.S recolectará, solicitará, consultará, verificará, almacenará, compartirá, enviará, reportará, modificará, transferirá, transmitirá, actualizará, usará y conservará los datos personales de sus grupos de interés, principalmente para el cumplimiento de sus funciones como Entidad Promotora de Salud, empleador y para los fines contractuales necesarios para dar cumplimiento a las obligaciones legales y aquellas inherentes a las relaciones de índole precontractual, contractual y postcontractual de conformidad con las normas que regulen el tratamiento de datos personales; las finalidades del uso de los datos personales por parte de la EPS S.O.S, se encuentran indicadas en el numeral 4 Finalidades para el tratamiento de datos personales. 

A continuación, se detalla de manera general el ciclo de tratamiento de los datos personales dentro de la organización: 

Recolección: el tratamiento de la información personal se da para el cumplimiento de los deberes de la EPS S.O.S. como parte del Sistema General de Seguridad Social, empleador y contratante. En todos los casos, la información se solicita de manera directa al titular, salvo en los casos de registro de beneficiarios o ante datos transferidos o transmitidos a la EPS con previa autorización del titular de la información.  

La información se puede recolectar por medios físicos y digitales como: formularios web, formatos físicos, cámaras de videovigilancia, aplicaciones web y móviles, páginas web, entre otros. La EPS S.O.S hace uso de los datos personales de acuerdo con la normatividad vigente, cumpliendo con los principios de libertad y finalidad, por esta razón, el uso de datos se realiza una vez obtenida la autorización para el tratamiento de los datos personales, salvo los casos en que se cuente con una base legal para el uso de los datos sin autorización; en todo caso, se informará al propietario de los datos, tanto el tratamiento como la finalidad de éstos. 

Con respecto a la información que se encuentra en el dominio público y que sea catalogada como dato público, podrá ser recolectada por la EPS S.O.S para crear o complementar sus bases de datos. A dicha información se le dará el mismo tratamiento señalado en la presente Política, con las salvedades contenidas en la ley.

Los datos personales sólo se utilizan sin autorización cuando son necesarios para:

  • La ejecución de un contrato en el que el titular de los datos es parte o para la aplicación, a petición de éste, de medidas precontractuales.
  • El cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • Proteger los intereses vitales y/o legítimos del interesado o de otra persona física, siempre que sobre dichos intereses no prevalezcan sobre los intereses, derechos y libertades fundamentales del dueño de los datos, en particular cuando éste sea un menor de edad.
  • El cumplimiento de una misión realizada en interés público o en el ejercicio de funciones públicas conferidas a la EPS S.O.S.

Almacenamiento: la información personal se almacena en servidores propios y de nuestros proveedores, en equipos de cómputo de los responsables de los procesos y/o en archivos físicos, en todos los casos, se han establecido controles de acceso a la información, con las correspondientes medidas de seguridad físicas, técnicas y administrativas, incluidos los servidores externos a cargo de terceros, que pueden estar dentro o fuera del país.

Supresión: La supresión de la información personal se realiza bajo dos circunstancias, cuando se ha cumplido el ciclo para el cual se solicitaron los datos o en los casos en los que el titular de la información solicite su eliminación, siempre y cuando la ley lo autorice.


Finalidades para el tratamiento de datos personales

4.1 Afiliados y beneficiarios PBS: 

La autorización para el tratamiento de datos personales se gestiona de acuerdo con lo estipulado en el Formulario Único de Afiliación y Registro de Novedades al Sistema General de Seguridad Social en Salud. El uso de los datos es únicamente para la prestación del servicio de salud y las actividades que de éste se deriven tal como son, el envío de comunicaciones por cualquier medio físico o electrónico requeridas para la prestación del servicio para el(la) afiliado(a), su grupo familiar y beneficiarios, así como también las actividades necesarias para el cumplimiento de nuestros deberes, las cuales incluyen la entrega de información a organismos y Entes de Control, el acceso a información y actualización de datos con ocasión a los servicios brindados por los prestadores de salud, la realización de  actividades de promoción y prevención, vacunación y otras que se deriven de nuestros deberes frente al Sistema de Salud, según la normatividad vigente.

La EPS S.O.S., podrá utilizar los datos personales de sus afiliados para fines distintos a la prestación del servicio de salud, sólo si cuenta con su autorización expresa y voluntaria, dicha autorización no está condicionada al diligenciamiento del Formulario único de Afiliación y Registro de Novedades al Sistema General de Seguridad Social en Salud. Entre las finalidades que podrían solicitarse están: 

  • Enviar comunicaciones comerciales por cualquier medio físico o electrónico (correo, SMS, MMS, fax, WhatsApp, redes sociales, etc.) sobre productos o servicios de la EPS, aliados comerciales y/o estratégicos.
  • Transmitir nacional o internacionalmente los datos a un tercero, según la normatividad vigente.
  • Realizar investigaciones de mercados, conocimiento del perfil comercial o transaccional del titular de los datos, telemercadeo, elaborar encuestas de satisfacción y entrevistas de opinión.
  • Compartir, en modo de transferencia, la información personal distinta a la de carácter sensible, con aliados comerciales o estratégicos, a fin de que éstos puedan tratarla para las mismas finalidades autorizadas en la presente Política.
  • Consultar y obtener información de centrales de riesgo crediticio u operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países o entidades similares.
  • Elaborar estudios técnicos, estadísticos, encuestas, análisis de tendencias de mercado y en general, cualquier estudio técnico o de campo relacionado con el sector o la prestación de servicios.
  • Crear bases de datos de acuerdo con las características y perfiles de los titulares de datos personales, según lo dispuesto en la ley.
  • Gestionar todos los procesos administrativos internos de la EPS S.O.S., en materia de administración de proveedores, contratistas y colaboradores(as).
  • Usar sus datos para mejorar la implementación de procesos y la prestación del servicio o del producto ofrecido o adquirido.
  • Realizar procesos de analítica de datos y big data para una mejor prestación de los servicios y alcanzar los objetivos estratégicos de la organización.
  • Las demás finalidades que determine la EPS S.O.S. en desarrollo de su objeto social, las cuales, en todo caso, serán conforme con la ley y en especial el cumplimiento específico en materia de protección de datos.


4.2 Afiliados y beneficiarios PAC:

  • Gestionar su solicitud y dar cumplimiento a las obligaciones precontractuales, contractuales, postcontractuales y de origen legal.
  • Gestionar procesos administrativos y mejorar la implementación de procesos, prestación del servicio o del producto ofrecido o adquirido.
  • Enviar comunicaciones comerciales por cualquier medio físico o electrónico (correo, SMS, MMS, fax, redes sociales, WhatsApp, etc.) sobre productos o servicios propios, de aliados comerciales y/o estratégicos, incluyendo empresas y las Cajas de Compensación Familiar del Suroccidente Colombiano, socias de la EPS S.O.S.
  • Transferir y/o transmitir nacional o internacionalmente los datos a un tercero, según la normatividad vigente.
  • Realizar investigaciones de mercados, conocimiento del perfil comercial o transaccional, telemercadeo y encuestas.
  • Realizar actividades relacionadas con prevenir y controlar el lavado de activos y la financiación del terrorismo y el financiamiento a la proliferación de armas de destrucción masiva, de acuerdo a las normas vigentes, lo cual incluye la validación de su información en listas con información LAFT/FPADM y el reporte a centrales de riesgo, validaciones complementarias de antecedentes judiciales, administrativos y disciplinarios para identificar posible relación con lavado de activos o financiación del terrorismo, fraude, corrupción, delitos conexos.
  • Realizar procesos de analítica de datos y big data para una mejor oferta y prestación de los servicios y; alcanzar los objetivos estratégicos de la organización
  • Crear bases de datos de acuerdo con las características y perfiles de los titulares de datos personales, según lo dispuesto en la ley.

4.3 Colaboradores:

  • Dar cumplimiento a las obligaciones como empleador (tales como nómina, afiliación y pagos al Sistema General de Seguridad Social Integral, actividades de bienestar social,  entre otras).
  • Tratar datos asociados al estado de salud de los colaboradores, orientados exclusivamente a la prevención de enfermedades o accidentes de origen laboral y común;  y cumplir con la normatividad, tanto en materia del monitoreo de actividades dentro del Sistema de Gestión de Seguridad y Salud en el Trabajo, como en relación a los fueros de estabilidad laboral reforzada y demás contenidos en la legislación colombiana.
  • Realizar reportes de accidentes de trabajo a la Administradora de Riesgos Laborales (ARL), los cuales pueden incluir la entrega de información personal de tipo sensible. 
  • Realizar actividades vinculantes, planes de desarrollo, reconocimiento y pago de beneficios legales y extralegales, envío de comunicaciones internas y externas asociadas al desempeño de actividades laborales.
  • Contratar beneficios laborales con terceros tales como ( seguro de vida, fondo de empleados, plan exequial, y demás asociados a los beneficios ofrecidos por el empleador).
  • Procesamiento de información en diferentes aplicativos tecnológicos instalados en servidores de la compañía o en la nube, asociados a las funciones laborales del colaborador.
  • Tratar los datos con el objetivo de procurar que el servicio de vigilancia y seguridad en las instalaciones físicas de la entidad, se preste de manera eficiente y con facilidad de acceso a la información que se requiera.
  • Tratar los datos para facilitar la ejecución de procesos judiciales, administrativos y disciplinarios internos o externos, tanto en etapa previa, durante y posterior. 
  • Realizar actividades relacionadas para prevenir y controlar el lavado de activos y la financiación del terrorismo y el financiamiento a la proliferación de armas de destrucción masiva.
  • Realizar actividades para fines recreativos, publicitarios, de concursos, sorteos o cualquier dinámica interna que promueva el bienestar social de los colaboradores.
  • Realizar exámenes médicos periódicos y de retiro;  y conocer los conceptos de aptitud emitidos. 

La EPS S.O.S, podrá conocer datos de identificación y ubicación del núcleo familiar o terceros, aportados por el colaborador; los cuales serán usados únicamente para cumplir los deberes legales como empleador. 

4.4. Candidatos en los procesos de selección:

  • Administrar la información de los procesos de selección y vinculación de personal, incluyendo la evaluación y calificación de los participantes y la verificación de referencias laborales y personales, directamente o a través de terceros.
  • Contactar por los diferentes canales de comunicación, para informarle el estado de su proceso de selección. 


4.5. Contratistas:

  • Administrar la información de los procesos de selección y vinculación de contratistas, incluyendo la evaluación y calificación de los participantes y la verificación de aptitud médica, certificados de capacitación, pagos de aportes a seguridad social, directamente o a través de terceros a fin de autorizar la ejecución de actividades en las instalaciones, para cumplir con requerimientos legales de Seguridad y Salud en el Trabajo.
  • Recibir información sobre el estado de salud, a través de reportes emitidos por la ARL y/o las empresas a las que pertenecen los contratistas.
  • Gestionar adecuadamente la relación contractual existente. 
  • Gestionar todos los procesos administrativos, en materia de administración de contratistas, incluidas las gestión de los datos para efectuar los procesos de pagos de facturas cuando hubiere lugar a ello, cuentas de cobro presentadas y demás acciones que se encuentren a nuestro cargo.


4.6 Proveedores y prestadores de servicios de salud:

  • Gestionar adecuadamente la relación contractual existente. 
  • Gestionar todos los procesos administrativos, en materia de administración de proveedores y prestadores de servicios de salud.
  • Dar cumplimiento a las obligaciones en calidad de contratante.
  • Transferir y/o transmitir nacional o internacionalmente los datos a un tercero en todo caso, atendiendo lo dispuesto en la normatividad que regule el tratamiento de datos personales. 
  • Registrar la información personal en aplicativos propios o de terceros para gestión y control del vínculo contractual.
  • Gestionar los datos para efectuar los procesos de pagos de facturas electrónicas cuando hubiere lugar a ello, cuentas de cobro presentadas y demás acciones que se encuentren a nuestro cargo.
  • Desarrollar y aplicar procesos de selección, evaluación, elaboración de respuestas a una solicitud de información, elaborar solicitudes de cotización y propuesta, y/o adjudicación de contratos.
  • Establecer controles de acceso a la infraestructura lógica o física, cuando el servicio contratado lo requiera.


4.7 Usuarios canales de atención (App, Chatbot, Líneas telefónicas, entre otros):

Los datos personales recogidos a través de formularios, cookies, aplicaciones móviles, sitios web, redes sociales, datos recopilados automáticamente con el uso de un servicio o producto  a través de transacciones, dirección IP, datos de ubicación recolectados por aplicaciones web o móviles, serán usados para:

  • El correcto funcionamiento del canal atención por el cual se recolecta la información.
  • Dar respuesta a las peticiones, solicitudes y/o reclamos presentados y guardar trazabilidad sobre la misma.
  • Monitorear la calidad de nuestros servicios.
  • Otras finalidades requeridas por la organización, debidamente autorizadas por el titular. 

Los datos personales biométricos recolectados a través de llamadas telefónicas, serán usados para:

  • Guardar evidencia de la llamada con fines de calidad y monitoreo. 


4.8. Referidos y prospectos de afiliados:

  • Enviar comunicaciones comerciales por cualquier medio físico o electrónico (correo, SMS, MMS, fax, redes sociales, WhatsApp, etc.) sobre productos o servicios propios, de aliados comerciales y/o estratégicos, incluyendo empresas y las Cajas de Compensación Familiar del Suroccidente Colombiano, socias de la EPS S.O.S.
  • Transferir y/o transmitir nacional o internacionalmente los datos a un tercero, según la normatividad vigente.

La información personal de los referidos será recolectada directamente del titular, por parte de la EPS S.O.S o sus encargados.

Tratamiento de datos personales sensibles

Los datos personales sensibles no serán solicitados o recibidos a través de herramientas de difusión masiva, mensajería instantánea o redes sociales, salvo que se pueda garantizar la confidencialidad de la información, de igual manera, la autorización sobre datos sensibles debe ser explícita, clara y previa. Con respecto a las conductas inequívocas, las mismas no serán tomadas como autorización, salvo de aquellos datos personales recolectados a través de circuitos de video vigilancia, debidamente informados al titular.

Teniendo en cuenta que la falta de autorización del uso de los datos personales no condiciona la entrega de los servicios, se ratifica que los titulares de la información son libres de autorizar o impedir el uso de sus datos; por parte de la EPS S.O.S solo se hará uso de los datos personales sensibles sin autorización previa del titular cuando el tratamiento:

  • Sea necesario para salvaguardar la vida y derechos del titular y que éste se encuentre física o jurídicamente incapacitado. Siempre que se pueda, se buscará la autorización por parte de sus representantes legales.
  • Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Tenga una finalidad histórica, estadística o científica. En estos casos se adoptarán las medidas necesarias para proteger la identidad del titular.

Como parte de su ejercicio como entidad promotora de salud, la EPS S.O.S podrá solicitar, consultar o acceder a historias clínicas y/o  información personal de tipo sensible,  de sus afiliados(as) y los beneficiarios(as) de éstos, cuando sea requerido para garantizar  la prestación y calidad de los servicios de salud y/o dar cumplimiento a sus deberes como entidad. Pese a lo anterior, las Instituciones Prestadoras de Salud (IPS), clínicas y demás prestadores, serán responsables de salvaguardar dicha información, sin embargo, la EPS S.O.S procurará garantizar que las instituciones cumplan con la normatividad vigente en materia de protección de datos.

Tratamiento de datos personales de niños, niñas y adolescentes

La EPS S.O.S tratará los datos de menores de edad con previa autorización del padre, acudiente o representante legal, excepto cuando se trate de datos de naturaleza pública y cuando dicho tratamiento responda y respete el interés superior y los derechos fundamentales de los niños, niñas y adolescentes.

La EPS S.O.S no usará los datos de menores de edad para fines de mercadeo, ni se incluirán para custodia en bases de datos que cuenten con dicha finalidad.

Cuando el(la) menor lo soliciten, se tendrá en cuenta su opinión y voluntad de ejercer sus derechos o autorizar el tratamiento de sus datos, para lo cual, se valorará la madurez, autonomía y capacidad del (la) menor para entender la política.

Tratamiento de datos personales servicios de videovigilancia

La EPS S.O.S utiliza diversos medios de videovigilancia instalados en diferentes sitios internos y externos de las instalaciones u oficinas, la entidad informa sobre la existencia de estos mecanismos mediante la difusión en sitios visibles de anuncios de videovigilancia.

La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización, sin que la falta de una autorización expresa por parte del titular de la información ante cada una de las cámaras de videovigilancia, sea un impedimento.

  • Derechos de los titulares de información

La EPS S.O.S garantizará que a todos los titulares de la información se les permita el ejercicio de sus derechos, que son:

  • Derecho de consulta y acceso: conocer si se están tratando o no sus datos de carácter personal, obtener copia de los datos que son objeto de tratamiento, conocer cuáles los fines del tratamiento de datos, conocer las categorías de datos personales que se tratan, cuáles son los destinatarios a los que se les comparte o compartirá la información personal y cómo se obtuvieron los datos personales.
  • Derecho de rectificación: rectificar los datos personales inexactos o incompletos que reposen en las bases de datos de la EPS S.O.S. que le conciernan. La EPS S.O.S garantizará que el titular de la información podrá obtener, sin ningún tipo de demora, la rectificación de sus datos personales. 
  • Derecho de actualización: solicitar la actualización de sus datos personales. La EPS S.O.S garantizará que la actualización se vea reflejada en todas las bases de datos y/o archivos de la organización y encargados del tratamiento de los datos personales.
  • Derecho de supresión: solicitar la supresión de sus datos personales. Se dejará de tratar los datos personales, salvo que sean necesarios para garantizar intereses, derechos y libertades del titular de la información, o para la formulación, el ejercicio o la defensa de reclamaciones. La EPS S.O.S, garantizará que el titular de la información podrá obtener, sin ningún tipo de demora, la supresión de sus datos personales. 
  • Derecho de oposición o revocación: oponerse al tratamiento de información que esté realizando la EPS S.O.S, cuando el tratamiento tenga una finalidad relacionada con la mercadotécnica, incluida la elaboración de perfiles, cuando el titular de la información indique que se ha dado un tratamiento indebido de sus datos o se ha vulnerado su privacidad, en los casos anteriores se podrá solicitar la revocatoria de la autorización sobre uno o varios tratamientos.

El derecho de revocación no será aplicable para aquellos datos y fines necesarios para el cumplimiento de deberes legales y/o contractuales.

Procedimiento para la atención de ejercicios de derechos

A continuación, se presentan los procedimientos para la atención de ejercicios de derechos. Para su correcta gestión, los titulares de la información deben tener en cuenta lo siguiente: 

  • Solo el titular de la información personal, previa acreditación de su identidad podrá solicitar el ejercicio de sus derechos.
  • Los (as) personas físicas o jurídicas que han sucedido o sustituido a otra, representante y/o apoderado(a) del titular de la información, podrán ejercer los derechos del titular si acreditan la autorización o derecho legal.
  • Todo ejercicio de derecho debe tener la siguiente información básica:
  • Nombres y apellidos del titular.
  • Número de identificación del titular.
  • Datos de localización del titular.
  • Descripción de los hechos que dan lugar a la consulta o reclamo.
  • Documentos que considere soportan la consulta o reclamo.
  • Medio por el cual desea recibir respuesta.
  • Nombre de quien realiza la petición, el cual, si es diferente al titular, debe adjuntar los documentos que le permitan actuar en su nombre.
  • Firma de quien realiza la petición.


9.1 Canales de atención:

  • Canal correo electrónico: protecciondedatos@sos.com.co.
  • Radicación de PQRS:  a través de la opción contáctenos de la oficina virtual o por el formulario contáctenos de la página web www.sos.com.co.
  • Canal para colaboradores: Los colaboradores, en su calidad de titulares de los datos personales, podrán gestionar sus consultas o reclamos a través del área de gestión humana de la EPS S.O.S o mediante el correo electrónico a protecciondedatos@sos.com.co
  • Líneas de atención telefónica:
    • Línea a nivel nacional: 018000938777
    • Cali: (2)4898686
    • Buenaventura: (2) 2410999
    • Buga: (2) 2375400
    • Cartago (2) 2147700
    • Palmira (2) 2624700
    • Tuluá (2) 233 9100
    • Bogotá (1) 5876050
    • Popayán(2)8397000
    • Armenia(6)7451222
    • Pereira (6) 3400404


9.2 Lineamientos para la gestión de derechos: 

Para realizar una consulta o solicitud de acceso

  • Las solicitudes de consulta serán atendidas en un término máximo de 10 días hábiles contados a partir de la fecha en que se recibió la solicitud. 
  • Cuando no sea posible atender la consulta dentro de dicho término, se informará al interesado expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso será superior a 5 días hábiles siguientes al vencimiento del primer plazo.
  • Para presentar un reclamo
  • Los titulares, personas físicas o jurídicas que han sucedido o sustituido a otra o sus intermediarios debidamente autorizados, podrán presentar un reclamo en los casos en los que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley. El reclamo se debe presentar a través de los canales habilitados. 
  • Si el reclamo resulta incompleto, se requerirá al titular o sus intermediarios dentro de los 5 días hábiles siguientes a la recepción de la solicitud para que complete y subsane su petición.
  • Si transcurren 2 meses desde la fecha del requerimiento sin que el titular haya dado respuesta, se entenderá desistida la solicitud.
  • Si quien recibe el reclamo no es competente para resolverlo, éste será enviado a un funcionario que pueda resolverlo en un término máximo de 2 días hábiles; este cambió se le informará al titular de la información.
  • Si el reclamo es recibido de manera completa o se ha completado posteriormente, se incluirá, dentro de los 2 días hábiles siguientes, una leyenda en la base de datos que indique “reclamo en trámite”.
  • El reclamo se resolverá en un término máximo de 15 días hábiles contados a partir del día siguiente de recibirlo. En caso de que no ser posible se informará al titular la demora, los motivos y la fecha de respuesta mediante comunicación dirigida a la dirección física o electrónica de notificación que el titular de la información haya indicado. En todo caso, el término de respuesta no será superior a 8 días hábiles siguientes al vencimiento del primer término.


Procedimiento para solicitar la rectificación y actualización de datos

  • Toda solicitud de rectificación, actualización o supresión debe hacerse a través de la opción contáctenos de la oficina virtual o por el formulario contáctenos de la página web www.sos.com.co.
  • Las solicitudes de rectificación y actualización de datos personales deben indicar las correcciones a realizar y aportar la documentación que avale su petición.
  • La EPS S.O.S. realizará voluntariamente la actualización de los datos a través de medios electrónicos u otros que considere pertinentes, a fin de garantizar que la información que reposa en sus bases de datos esté actualizada.
  • Para solicitar la supresión de datos


La eliminación de los datos personales podrá ser solicitada cuando:

  • Se considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente.
  • Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron obtenidos.
  • Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron obtenidos.
  • Esta supresión implica la eliminación total o parcial de la información de los registros, archivos y/o bases de datos personales de acuerdo con lo solicitado por el titular de la información.

El derecho de eliminar no es absoluto, por lo que se negará cuando:

  • La persona tenga un deber legal o contractual de permanecer en la base de datos.
  • La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
  • Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular, para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por la persona.

    Para solicitar la revocatoria de la autorización

  • Las personas dueñas de los datos personales pueden revocar el consentimiento para el uso de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual.
  • Se podrá revocar la totalidad de las finalidades o solicitar la revocación sobre determinadas finalidades o datos; por ejemplo, para fines comerciales.


10. Transferencia nacional e internacional de datos personales

Cuando se envíen o transfieran será necesario contar con la autorización del titular de la información que se va a transferir; salvo que la ley diga lo contrario, dicha autorización es también prerrequisito para efectuar la circulación internacional de datos. En este sentido, antes de enviar datos personales a responsables del tratamiento ubicados en Colombia u otro país, se verificará que se cuenta con la autorización previa, expresa e inequívoca del titular que permita trasmitir sus datos personales.

No se solicitará autorización para la transferencia internacional de datos cuando se presente alguna de las excepciones previstas en la ley.


11. Transmisión internacional y nacional de datos a encargados

Cuando la EPS S.O.S desee enviar o transmitir datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, deberá establecer mediante cláusulas contractuales o a través de un contrato de transmisión de datos personales, lo siguiente:

  • Los alcances del tratamiento.
  • Las actividades que el encargado realizará en nombre de la EPS S.O.S.
  • Las obligaciones que debe cumplir el encargado respecto del titular del dato y de la EPS S.O.S
  • La obligación del encargado de dar cumplimiento a las obligaciones como responsable de los datos, observando la presente política.
  • El deber del encargado de tratar los datos de acuerdo con la finalidad autorizada para estos, observando los principios establecidos en la ley colombiana y la presente política.
  • La obligación del encargado de proteger adecuadamente los datos personales y las bases de datos, así como de guardar confidencialidad respecto del tratamiento de los datos transmitidos.


12. Responsabilidad demostrada frente al tratamiento de datos personales

La EPS S.O.S adoptará las medidas necesarias para, de ser necesario, demostrar ante la Superintendencia de Industria y Comercio (SIC) que ha implementado medidas apropiadas y efectivas para cumplir con sus obligaciones legales en todo lo relacionado con el tratamiento de datos personales. Dichas medidas serán consistentes con las instrucciones impartidas por la SIC y los mandatos de los artículos 2.2.2.25.6.1 y 2.2.2.25.6.2 del Decreto 1074 de 2015.

13. Entrada en vigencia y plazo

La presente Política para el Tratamiento de Datos Personales fue aprobada mediante Acta Nro. 324 del 25 de abril del 2022 de la Junta Directiva y rige a partir del 15 de mayo del 2022, reemplazando las versiones previas. 

Las bases de datos en las que se registrarán los datos personales tendrán vigencia mientras no se solicite su supresión por el interesado y siempre que no exista un deber legal de conservarlos.

Ante el incumplimiento de la presente política, se puede presentar una queja a la Superintendencia de Industria y Comercio.

Si tienes algún problema llámanos a la línea nacional
01-8000-938-777