MANUAL DE POLÍTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES

Transcripción

1 MANUAL DE POLÍTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES

2 1. OBJETIVO: Establecer los parámetros de seguridad para el tratamiento de datos personales al interior de la Organización. 2. DEFINICIONES Autorización: Consentimiento voluntario, previo, expreso e informado del titular de la información para llevar a cabo el Tratamiento de datos personales. Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento. Contratante: Parte contractual que firma el contrato de medicina prepagada. Causahabientes: Persona que ha sucedido a otra por causa del fallecimiento de ésta. Consulta: Derecho de los titulares de la información de conocer sus datos personales frente a los responsables o encargados del tratamiento. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Dato público: Es el dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios. Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido pueda generar discriminación, tales como: origen racial, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos, datos relacionados con la salud, la vida sexual y datos biométricos. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

3 Reclamo: Ver numeral 7.2. Titular: Persona natural cuyos datos personales sean objeto de tratamiento. Tratamiento: cualquier operación o conjunto de operaciones sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. 3. POLITICA GENERAL La política prevista en el presente manual se expide en cumplimiento de la Ley 1581 de 2012, Decreto 1377 de 2013 y normas que modifiquen o adicionen el régimen de protección de datos personales y busca garantizar que MEDPLUS MEDICINA PREPAGADA S.A. (MEDPLUS) en su condición de responsable de manejo de información personal y sensible, realice el tratamiento de la misma en estricto cumplimiento de la normatividad aplicable, garantizando los derechos que a los titulares de la información les asiste. 4. DERECHO DE LOS TITULARES Los titulares de los datos personales tienen los siguientes derechos: 4.1 Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado. 4.2 Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales. 4.4 Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen. 4.5 Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la Constitución y la ley. 4.6 Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento. 4.7 Legitimación para el ejercicio de los derechos del titular: Los derechos de los titulares podrán ejercerse por las siguientes personas: a. Por el titular, quien deberá acreditar su identidad en forma suficiente. b. Por sus causahabientes, quienes deberán acreditar tal calidad.

4 c. Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento. d. Por un tercero debidamente autorizado por el titular o por la Ley. 4.8 Personas a las que se les puede suministrar la información: La información que reúna las condiciones establecidas podrá suministrarse a las siguientes personas: a. A los titulares, sus causahabientes o sus representantes legales. b. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial. c. A los terceros autorizados por el titular o por la ley. MEDPLUS a través de su Aviso de Privacidad (Anexo 1) informará acerca de los canales previstos para que el titular pueda ejercer sus derechos de manera efectiva. 5. TRATAMIENTO Y FINALIDAD DE LOS DATOS En ejercicio de su objeto social, MEDPLUS actúa directamente, a través de su empresa matriz, grupo empresarial 1, o terceros para realizar el tratamiento de datos personales de sus colaboradores, ex colaboradores, empleados de sus contratistas, proveedores, usuarios y posibles usuarios de sus servicios, actividad que podrá ejecutar directamente, o por parte de terceros. Así mismo en cumplimiento de legislación aplicable y de políticas corporativas, MEDPLUS puede requerir transmitir o transferir dichos datos a sus compañías matrices, filiales y/o subsidiarias nacionales o extranjeras. En desarrollo de los principios de finalidad 2 y libertad 3, la recolección de datos personales por parte de MEDPLUS su empresa matriz y/o grupo empresarial, se limitará a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del titular. En cumplimiento de la normatividad vigente, MEDPLUS su empresa matriz y/o grupo empresarial, en caso de recolectar datos de menores de edad, realiza el uso de los mismos respetando el interés superior de los niños, niñas y adolescentes, asegurando el respecto de sus derechos fundamentales, de acuerdo a los usos establecidos en el presente manual. MEDPLUS, su empresa matriz y/o grupo empresarial, tiene la obligación de mantener la confidencialidad de los datos personales objeto de tratamiento y sólo podrá divulgarlos por solicitud expresa de las entidades de vigilancia y control y autoridades que tengan la facultad legal de solicitarla y permitirá en todo momento y de manera gratuita conocer, actualizar y corregir la información personal del titular. 1 Pertenecen al Holding Empresarial Medplus las siguientes empresas: Medplus Group S.A.S., Altea Farmacéutica S.A., Green City Inversiones y Construcciones S.A.S., Green Invest S.A.S., Medplus Medicina Prepagada S.A., Worldwide Advisors S.A.S., Medplus Centro de Recuperación Integral S.A.S., Green Circle Desarrollos Inmobiliarios S.A.S., Administración y Operación de Servicios de Salud Panamá S.A y Administración y Operación de Servicios de Salud S.A.S en liquidación. 2 El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular 3 El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento

5 El tratamiento de datos podrá incluir la recolección, almacenamiento, administración, utilización, transferencia, transmisión y destrucción, en la forma permitida por la ley y se realiza con la siguiente finalidad específica para cada caso: 5.1 Tratamiento de datos de potenciales usuarios, y usuarios de servicios: La recolección y tratamiento de estos datos por MEDPLUS, su empresa matriz y/o grupo empresarial, se utiliza para: a. Iniciar el proceso de afiliación a servicios de medicina prepagada. b. Establecer relación contractual con el usuario. c. Cumplir con las obligaciones contractuales a su cargo, tales como facturación, reportes de pagos, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes. d. Dar información comercial de planes de salud, envió de ofertas, beneficios y programas de fidelización, y para el desarrollo de campañas comerciales, publicitarias y de marketing relacionadas con productos y servicios de MEDPLUS o de sus aliados estratégicos. e. Informar sobre la realización de programas de promoción y prevención de salud, y realizar estudios epidemiológicos. f. Realización de encuestas para medición de estándares de calidad en la prestación del servicio, gestión y satisfacción. g. Establecer procesos de implementación de mejoras en los tiempos de acceso a los servicios, a través de comunicación con los usuarios y uso herramientas de evaluación de los servicios. h. Informar la presencia y asistencia a distintos municipios de Colombia en misiones sociales. i. Manejo y defensa ante acciones legales, cumplimiento de exigencias judiciales, administrativas y demás obligaciones emanadas del contrato de medicina prepagada. j. Contacto para las actividades de mantenimiento de la relación contractual, renovaciones y servicios. k. Contacto para invitaciones a diferentes eventos como concursos, eventos deportivos y/o eventos empresariales. l. Envío de información comercial, promocional y/o cortesías de la Compañía o de terceros aliados. m. Realizar segmentación de mercado, análisis de consumo y preferencias. n. Fines propios de la afiliación de los usuarios a los servicios de salud. o. Realizar la evaluación del estado de salud de los usuarios o posibles usuarios. p. Prestación de los servicios de salud a los usuarios. q. Realizar actividades de auditoria, cálculos actuariales y cualquier otro que autorice la ley. r. Procedimientos de cobranza, cobro y cesión de cartera, y los propios de la actividad administrativa de la compañía. 5.2 Tratamiento de datos personales de colaboradores y ex colaboradores: Se realiza para cumplir con las obligaciones laborales a cargo de MEDPLUS, su empresa matriz y/o grupo empresarial, tales como pagos de nómina, pagos y reportes al sistema general de seguridad social en salud, atención de consultas, peticiones, solicitudes,

6 acciones y reclamos, hechas por el titular de la información o por sus causahabientes, o por entidades del sistema general de seguridad social en salud a los que el titular esté o hubiere estado vinculado. 5.3 Tratamiento de datos personales de empleados de contratistas, que prestan servicio en instalaciones de MEDPLUS: Se realiza para permitir a MEDPLUS, su empresa matriz y/o grupo empresarial, el cumplimiento de las obligaciones contractuales a su cargo, tales como asignación y control de elementos tecnológicos, materiales, equipos, identificación de ingreso, seguimiento a cumplimiento de obligaciones a cargo de contratistas, atención de eventuales emergencias, atención respuesta de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes Tratamiento de datos personales de proveedores personas naturales: Se realiza para permitir el cumplimiento de obligaciones contractuales a cargo de MEDPLUS, su empresa matriz y/o grupo empresarial, tales como pagos de honorarios, pago de facturas y/o cuentas de cobro, reportes de pagos, reportes o interacciones que por ley o por políticas internas tiene la obligación de realizar, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes. 5.5 Tratamiento de datos biométricos: El tratamiento de datos como huellas digitales, fotografías, videos y demás datos que puedan llegar a ser considerados como sensibles de conformidad con la Ley de protección de datos, se realiza con el fin de lograr las finalidades relativas a ejecutar el control, seguimiento, monitoreo, vigilancia y, en general, garantizar la seguridad de las asistentes a las instalaciones de MEDPLUS. Niveles de seguridad aplicados al tratamiento: MEDPLUS, su empresa matriz y/o grupo empresarial, cuenta con reglamentaciones internas sobre seguridad de la información, las cuales se encuentran establecidas en los procedimientos y manuales de la Compañía. Adopta medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento. 6. DEBERES DEL RESPONSABLE Y/O ENCARGADO DEL TRATAMIENTO. Área responsable de la protección de datos personales, atención de peticiones, consultas y reclamos: MEDPLUS MEDICINA PREPAGADA S.A., con domicilio en la ciudad de Bogotá D.C., es responsable del tratamiento de los datos personales. MEDPLUS a través de la Coordinación de Peticiones, Quejas, Reclamos, Solicitudes y Apoyo Juridico será el responsable de velar por el cumplimiento de estas disposiciones y será el área encargada de la atención de peticiones, consultas y reclamos ante la cual el cliente titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y/o revocar la autorización. Para formular sus solicitudes en relación con la protección de sus datos personales, los titulares podrán contactarse con: Colaborador de contacto: Coordinador PQRS y Apoyo Juridico Área: Coordinación de PQRS y Apoyo Juridico

7 Correo electrónico: Teléfono: ext 418 El responsable y/o encargado del tratamiento cumplirá con los siguientes deberes: 6.1 Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. 6.2 Solicitar y conservar, en las condiciones previstas en el presente manual, copia de la respectiva autorización otorgada por el titular. 6.3 Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. 6.4 Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 6.5 Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. 6.6 Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada. 6.7 Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento. 6.8 Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en el presente manual. 6.9 Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular Tramitar las consultas y reclamos formulados en los términos señalados en el presente manual Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo Informar a solicitud del titular sobre el uso dado a sus datos Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

8 7. PROCEDIMIENTOS PARA GARANTIZAR EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES. 7.1 Consulta: a. Los titulares de datos personales o sus causahabientes deben dirigir sus consultas y peticiones al correo protecciondedatos@medplus.com.co o radicar comunicación escrita en la Carrera 14 No. 23B-15 de la ciudad de Bogotá D.C. o a través de la página web b. El responsable del tratamiento o encargado del tratamiento, deberá suministrar al titular o causahabiente que realice una solicitud de consulta, toda la información contenida en el registro individual o que esté vinculada con su identificación, en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. c. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. 7.2 Reclamos: El titular o causahabiente que considere que la información contenida en sus bases de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en el presente manual, podrá presentar un reclamo a MEDPLUS el cual será tramitado bajo las siguientes actividades: a. El reclamo se formulará mediante solicitud dirigida al responsable del tratamiento o al encargado del tratamiento, al correo electrónico protecciondedatos@medplus.com.co, o radicar comunicación escrita en la Carrera 14 No. 23B-15 de la ciudad de Bogotá D.C. o a través de la página web con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, MEDPLUS solicitará al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Si transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. b. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. c. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

9 7.3 Revocatoria de la autorización y supresión del dato: Los titulares de la información, o sus causahabientes podrán en todo momento solicitar a MEDPLUS la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con el procedimiento y requisitos previstos en el numeral 7.2 del presente manual. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos. MEDPLUS pone a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada tales como: correo electrónico a protecciondedatos@medplus.com.co o radicar comunicación escrita en la Carrera 14 No. 23B-15 de la ciudad de Bogotá D.C., o a través de la página web Del derecho de actualización, rectificación y supresión: MEDPLUS tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente: En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición. MEDPLUS tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes. MEDPLUS podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados en la página web. 7.5 Es importante tener en cuenta que la revocatoria de la autorización y/o la supresión del dato no es absoluto y MEDPLUS puede negar el ejercicio del mismo cuando: a) El titular tenga un deber legal o contractual de permanecer en la base de datos. b) La eliminación de datos obstaculice actuaciones prejudiciales, judiciales y/o administrativas vinculadas a obligaciones fiscales, la investigación o persecución de delitos o sanciones administrativas. c) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular. 7.6 Transmisión y/o transferencia internacional de datos personales Los datos personales recolectados por MEDPLUS, su empresa matriz y/o grupo empresarial podrán ser transferidos al exterior bajo niveles adecuados de protección,

10 seguridad y confidencialidad, sin perjuicio de la obligación de mantener la confidencialidad de la información.

11 AVISO DE PRIVACIDAD Medplus Medicina Prepagada S.A., con domicilio en la Ciudad de Bogotá D.C., Colombia, actuará directamente, a través de su empresa matriz, grupo empresarial o terceros como responsable del tratamiento de los datos personales de sus empleados, ex empleados, empleados de sus contratistas, proveedores, usuarios y posibles usuarios de sus servicios. Así mismo es responsable del tratamiento de los datos sensibles de los asistentes a sus instalaciones, actividad que ejecuta directamente, a través de su empresa matriz, grupo empresarial o terceros. En cumplimiento de la legislación aplicable y de políticas corporativas, MEDPLUS puede requerir transmitir o transferir dichos datos a sus compañías matrices, filiales y/o subsidiarias nacionales o extranjeras. Cómo contactarnos: Oficina principal: Carrera 14 No. 93 B 15, Bogotá, D.C. Correo electrónico: protecciondedatos@medplus.com.co Página web Sus datos personales serán incluidos en una base de datos y serán utilizados para las siguientes finalidades: Tratamiento de datos de potenciales usuarios, y usuarios de servicios: La recolección y tratamiento de estos datos por MEDPLUS se utiliza para: s. Iniciar el proceso de afiliación a servicios de medicina prepagada. t. Establecer relación contractual con el usuario. u. Dar información comercial de planes de salud, envió de ofertas, beneficios y programas de fidelización, y para el desarrollo de campañas comerciales, publicitarias y de marketing relacionadas con productos y servicios de MEDPLUS o de sus aliados estratégicos. v. Informar sobre la realización de programas de promoción y prevención de salud, y realizar estudios epidemiológicos. w. Realización de encuestas para medición de estándares de calidad en la prestación del servicio, gestión y satisfacción. x. Establecer procesos de implementación de mejoras en los tiempos de acceso a los servicios, a través de comunicación con los usuarios y uso herramientas de evaluación de los servicios. y. Informar la presencia y asistencia a distintos municipios de Colombia en misiones sociales. z. Manejo y defensa ante acciones legales, cumplimiento de exigencias judiciales, administrativas y demás obligaciones emanadas del contrato de medicina prepagada. aa. Contacto para las actividades de mantenimiento de la relación contractual, renovaciones y servicios. bb. Contacto para invitaciones a diferentes eventos como concursos, eventos deportivos y/o eventos empresariales. cc. Envío de información comercial, promocional y/o cortesías de la Compañía o de terceros aliados. dd. Realizar segmentación de mercado, análisis de consumo y preferencias. ee. Fines propios de la afiliación de los usuarios a los servicios de salud.

12 ff. Realizar la evaluación del estado de salud de los usuarios o posibles usuarios. gg. Prestación de los servicios de salud a los usuarios. hh. Realizar actividades de auditoria, cálculos actuariales y cualquier otro que autorice la ley. ii. Procedimientos de cobranza, cobro y cesión de cartera, y los propios de la actividad administrativa de la compañía. 5.2 Tratamiento de datos personales de colaboradores y ex colaboradores: Se realiza para cumplir con las obligaciones laborales a cargo de MEDPLUS, su empresa matriz y/o grupo empresarial, tales como pagos de nómina, pagos y reportes al sistema general de seguridad social en salud, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes, o por entidades del sistema general de seguridad social en salud a los que el titular esté o hubiere estado vinculado. 5.3 Tratamiento de datos personales de empleados de contratistas, que prestan servicio en instalaciones de MEDPLUS: Se realiza para permitir a MEDPLUS, su empresa matriz y/o grupo empresarial, el cumplimiento de las obligaciones contractuales a su cargo, tales como asignación y control de elementos tecnológicos, materiales, equipos, identificación de ingreso, seguimiento a cumplimiento de obligaciones a cargo de contratistas, atención de eventuales emergencias, atención respuesta de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes Tratamiento de datos personales de proveedores personas naturales: Se realiza para permitir el cumplimiento de obligaciones contractuales a cargo de MEDPLUS, su empresa matriz y/o grupo empresarial, tales como pagos de honorarios, pago de facturas y/o cuentas de cobro, reportes de pagos, reportes o interacciones que por ley o por políticas internas tiene la obligación de realizar, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el titular de la información o por sus causahabientes. 5.5 Tratamiento de datos biométricos: El tratamiento de datos como huellas digitales, fotografías, videos y demás datos que puedan llegar a ser considerados como sensibles de conformidad con la Ley de protección de datos, se realiza con el fin de lograr las finalidades relativas a ejecutar el control, seguimiento, monitoreo, vigilancia y, en general, garantizar la seguridad de las asistentes a las instalaciones de MEDPLUS. Niveles de seguridad aplicados al tratamiento: MEDPLUS, su empresa matriz y/o grupo empresarial, cuenta con reglamentaciones internas sobre seguridad de la información, las cuales se encuentran establecidas en los procedimientos y manuales de la Compañía. Adopta medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento. Se le informa a los titulares de información que pueden consultar el Manual de Políticas y Procedimientos para la protección de Datos Personales de Medplus Medicina Prepagada S.A., que contiene las políticas para el tratamiento de la información, así como los procedimientos de consulta y reclamación que le

13 permitirán hacer efectivos sus derechos al acceso, consulta, rectificación, actualización y supresión de los datos, en Cualquier cambio sustancial en las mismas será informado a través del mismo medio, y en cualquier otro medio que se considere adecuado.