Política de Privacidad y Tratamiento de Datos Personales

1. Introducción y propósito

FUNDACIÓN PARA EL DESARROLLO INTEGRAL EN GÉNERO Y FAMILIA GENFAMI (en adelante, “Genfami”, “nosotros” o el “Responsable”), identificada con NIT 900291489-1, con domicilio en carrera 15 # 88-21 oficina 702, y correo electrónico privacidad@ganfami.org, reconoce la importancia de la privacidad y la protección de los datos personales de las personas que interactúan con sus canales digitales, programas sociales y proyectos.

La presente Política de Tratamiento de Datos Personales (la “Política”) regula la recolección, almacenamiento, uso, circulación, supresión y demás actividades de tratamiento sobre los datos personales obtenidos a través del sitio web https://genfami.org, sus formularios digitales, canales de mensajería (incluido WhatsApp Business), redes sociales asociadas y demás puntos de contacto de Genfami.

Esta Política se expide en cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 (Capítulo 25) de la República de Colombia y, cuando resulte aplicable, el Reglamento General de Protección de Datos (UE) 2016/679 (GDPR) para titulares ubicados en el Espacio Económico Europeo.

2. Definiciones

  • Titular: persona natural cuyos datos personales son objeto de tratamiento.
  • Datos personales: cualquier información vinculada o que pueda asociarse a una persona natural identificada o identificable.
  • Datos sensibles: aquellos que afectan la intimidad del titular o cuyo uso indebido pueda generar discriminación (salud, orientación sexual, datos biométricos, opiniones políticas, datos de menores, situación socioeconómica vulnerable, entre otros).
  • Responsable del tratamiento: Genfami, quien decide sobre las finalidades y medios del tratamiento.
  • Encargado del tratamiento: persona natural o jurídica que realiza el tratamiento por cuenta del Responsable (proveedores tecnológicos, alojamiento, mensajería, analítica).
  • Autorización: consentimiento previo, expreso e informado del titular para el tratamiento de sus datos personales.
  • Aviso de privacidad: comunicación física, electrónica o verbal generada por Genfami para informar al titular sobre las políticas de tratamiento que le serán aplicables.

3. Datos personales que recolectamos

Dependiendo del canal y la finalidad, Genfami puede recolectar las siguientes categorías de datos:

3.1 Datos de identificación y contacto

  • Nombres y apellidos.
  • Tipo y número de documento (cuando es indispensable).
  • Correo electrónico, número de teléfono móvil, ciudad, país y zona horaria.
  • Cargo, organización o rol comunitario (cuando aplica).

3.2 Datos sociodemográficos y de contexto

  • Edad o rango etario, género, idioma preferente.
  • Localización geográfica aproximada (ciudad/municipio) para focalización de programas sociales.
  • Nivel socioeconómico declarado, situación de vulnerabilidad y condiciones del entorno familiar (cuando es relevante para el programa).
  • Composición del núcleo familiar (cuando el programa lo requiere).

3.3 Datos sensibles

Cuando los programas de Genfami lo requieren (acompañamiento emocional, salud mental, primera infancia, bienestar familiar), podemos recolectar datos sensibles tales como: estado emocional autoreportado, indicadores de bienestar, condiciones de salud declaradas, situación familiar (separación, duelo, violencia), entre otros. El tratamiento de estos datos requiere autorización expresa, explícita e informada del titular y se realizará con medidas de seguridad reforzadas.

3.4 Datos de menores de edad

Cuando un programa esté dirigido a niños, niñas o adolescentes, los datos serán suministrados y autorizados exclusivamente por el padre, madre o representante legal del menor. Genfami velará siempre por el interés superior del menor, conforme al artículo 7 de la Ley 1581 de 2012 y el artículo 12 del Decreto 1377 de 2013.

3.5 Datos de navegación y técnicos

  • Dirección IP (anonimizada en analítica), tipo de navegador, sistema operativo, dispositivo.
  • Páginas visitadas, tiempo de navegación, fuente de tráfico (UTM).
  • Identificadores publicitarios (cuando corresponda a Google Ads/Meta Ads).
  • Cookies y tecnologías similares (ver Parte II — Política de Cookies).

3.6 Datos de mensajería e interacción

  • Contenido de mensajes intercambiados a través de WhatsApp Business API y otros canales conversacionales.
  • Metadatos de conversación: marca temporal, estado de lectura, plantilla utilizada, ruta de derivación.
  • Etiquetas y atributos asignados al usuario en la plataforma de gestión (Respond.io u otra).

4. Finalidades del tratamiento

Genfami trata los datos personales para las siguientes finalidades, sujetas a la autorización del titular:

  1. Gestionar la operación de los programas, proyectos e iniciativas sociales de Genfami, incluyendo inscripción, acompañamiento, seguimiento e indicadores de impacto.
  2. Comunicarse con el titular para responder solicitudes, brindar información de los programas y enviar contenido relacionado con su participación.
  3. Operar el sitio web https://genfami.org y mejorar su funcionamiento, seguridad y experiencia de usuario.
  4. Realizar acompañamiento conversacional vía WhatsApp Business API y canales digitales asociados, incluyendo flujos automatizados con apoyo de inteligencia artificial.
  5. Activar protocolos de derivación clínica o de apoyo especializado cuando el contenido de la conversación así lo amerite, conforme a los Lineamientos de la Parte IV.
  6. Enviar comunicaciones de marketing, newsletters y campañas de sensibilización, siempre y cuando el titular haya autorizado expresamente esta finalidad (opt-in).
  7. Medir la efectividad de campañas publicitarias en plataformas como Google Ads y redes sociales, así como segmentar audiencias para campañas de remarketing dirigidas a personas mayores de edad.
  8. Realizar análisis estadísticos, evaluaciones de impacto y reportes a aliados, donantes y entidades cooperantes, utilizando datos agregados o anonimizados.
  9. Cumplir obligaciones legales, contractuales, regulatorias o requerimientos de autoridades competentes.
  10. Atender, tramitar y dar respuesta a consultas, peticiones, quejas, reclamos y ejercicio de derechos por parte de los titulares.
  11. Gestionar donaciones, voluntariados y vinculaciones de aliados estratégicos.
  12. Capacitar al equipo interno y mejorar la calidad de los procesos, utilizando ejemplos anonimizados.

5. Base legal del tratamiento

El tratamiento de datos personales por parte de Genfami se fundamenta principalmente en:

  • Consentimiento previo, expreso e informado del titular, obtenido a través de los mecanismos descritos en la Parte III de este documento.
  • Interés legítimo de Genfami como organización social, en tanto persigue fines de bienestar colectivo y la información se trata con medidas que respetan los derechos fundamentales del titular.
  • Cumplimiento de obligaciones legales aplicables a Genfami y a los programas que ejecuta.
  • Ejecución de un acuerdo o relación contractual cuando exista vínculo formal con el titular.

6. Tratamiento de datos sensibles

Genfami no condiciona la prestación de sus servicios al suministro de datos sensibles, salvo cuando la naturaleza del programa lo haga indispensable. En todos los casos:

  • Se solicitará autorización expresa, explícita e independiente para el tratamiento de datos sensibles.
  • El titular podrá negarse a suministrar datos sensibles sin perjuicio de su acceso a información general.
  • Se aplicarán medidas de seguridad técnicas, administrativas y humanas reforzadas (cifrado en tránsito y reposo, control de acceso, anonimización en analítica, capacitación específica del equipo).
  • Se limitará el acceso a personal estrictamente autorizado y con compromisos de confidencialidad firmados.
  • Cuando sea posible y proporcional, se trabajará con datos anonimizados o pseudonimizados.

7. Tratamiento de datos de menores de edad

Genfami trata los datos personales de niños, niñas y adolescentes con apego al principio del interés superior del menor. En consecuencia:

  • La autorización para el tratamiento será otorgada por el padre, madre, tutor o representante legal del menor.
  • El consentimiento se obtendrá mediante mecanismos verificables (formulario digital con casilla específica + correo electrónico de confirmación o equivalente).
  • Se respetará el derecho del menor a ser escuchado y se valorará su opinión cuando tenga la madurez suficiente.
  • No se realizarán actividades de marketing personalizado, perfilamiento publicitario ni remarketing con datos de menores.
  • La información de menores se conservará solo por el tiempo estrictamente necesario para la finalidad y se eliminará o anonimizará posteriormente.

8. Derechos del titular

Conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013 y, cuando aplique, el GDPR, el titular de los datos personales tiene los siguientes derechos:

  • Acceso: conocer los datos personales que reposan en las bases de datos de Genfami.
  • Actualización y rectificación: solicitar la corrección de información parcial, inexacta, incompleta o desactualizada.
  • Supresión: solicitar la eliminación de los datos cuando se considere que no son tratados conforme a los principios y deberes legales, o cuando se haya superado la finalidad.
  • Revocatoria de la autorización: retirar el consentimiento en cualquier momento, sin efectos retroactivos.
  • Prueba de la autorización: solicitar evidencia del consentimiento otorgado.
  • Información sobre uso: ser informado sobre el uso que se le ha dado a sus datos.
  • Presentar quejas: presentar quejas ante la Superintendencia de Industria y Comercio (SIC) en Colombia, o la autoridad competente en su país de residencia.
  • Para titulares en la UE/EEE (GDPR): adicionalmente, derecho a la portabilidad, a la limitación del tratamiento, a oponerse al tratamiento basado en interés legítimo y a no ser objeto de decisiones automatizadas con efectos jurídicos significativos.

9. Procedimiento para ejercer derechos

El titular podrá ejercer sus derechos enviando una solicitud al correo electrónico privacidad@ganfami.org indicando: (i) nombre completo, (ii) tipo y número de documento, (iii) descripción clara del derecho que ejerce, (iv) canal de contacto preferente para la respuesta, y (v) cuando aplique, soporte documental del derecho invocado.

Tiempos de respuesta:

  • Consultas: hasta diez (10) días hábiles desde la recepción, prorrogables por cinco (5) días adicionales.
  • Reclamos: hasta quince (15) días hábiles desde el día siguiente a la recepción, prorrogables por ocho (8) días adicionales cuando se justifique.
  • Para titulares cubiertos por GDPR: hasta treinta (30) días calendario, prorrogables por dos (2) meses adicionales en casos complejos.

10. Conservación de los datos

Los datos personales se conservarán durante el tiempo necesario para cumplir la finalidad informada, atender obligaciones legales y resolver eventuales reclamaciones. Tiempos referenciales:

Categoría de datos

Tiempo de conservación

Contacto general (formulario web)

Hasta 2 años desde el último contacto.

Beneficiarios de programas

Duración del programa + 5 años (obligaciones de reporte y trazabilidad social).

Datos sensibles (salud, bienestar)

Mínimo necesario para la finalidad; anonimización tras cierre del caso.

Datos de menores de edad

Solo durante la vigencia del programa; supresión o anonimización al finalizar.

Conversaciones WhatsApp

12 meses, salvo casos de derivación (donde se conservan según protocolo).

Donantes y aliados

10 años (obligaciones contables y fiscales colombianas).

Suscriptores newsletter

Hasta que el titular se dé de baja + 6 meses de respaldo.

11. Encargados del tratamiento y transferencias internacionales

Para operar sus servicios, Genfami se apoya en proveedores tecnológicos que actúan como Encargados del Tratamiento bajo contratos que incluyen cláusulas de protección de datos. Los principales son:

Proveedor

Finalidad

País / Mecanismo de transferencia

Google LLC (Analytics, Ads)

Analítica web, publicidad y remarketing

EE.UU. — Cláusulas Contractuales Tipo (CCT) y Data Processing Terms de Google

Meta Platforms Inc. (WhatsApp Business)

Mensajería conversacional y plantillas HSM

EE.UU. / Irlanda — Términos WhatsApp Business y CCT

Respond.io

Plataforma de gestión conversacional multicanal

Hong Kong / Malasia — Acuerdo de Procesamiento de Datos

Proveedor de hosting

Alojamiento del sitio web

Hostinger — Lituania

Proveedor de email transaccional

Envío de correos y newsletters

Google Workspace — Estados Unidos

 

Algunos de estos proveedores procesan datos en países que pueden no contar con el mismo nivel de protección que Colombia o la Unión Europea. En esos casos, Genfami exige garantías contractuales (Cláusulas Contractuales Tipo, Data Processing Addenda) y, cuando es exigible, evaluaciones de impacto de transferencia.

12. Cookies, Google Analytics y Google Ads

Genfami utiliza cookies y tecnologías similares para operar el sitio web, medir su desempeño y, previa autorización del titular, ejecutar campañas publicitarias en plataformas como Google Ads y Meta Ads. El detalle, clasificación y mecanismos de gestión se encuentran descritos en la Parte II — Política de Cookies de este documento.

En relación con Google Ads y Google Analytics, Genfami declara: (i) no recolecta información personal identificable a través de etiquetas de Google Ads sin consentimiento; (ii) no utiliza datos sensibles (salud, situación de vulnerabilidad, datos de menores) para fines de remarketing o segmentación publicitaria; (iii) cumple con la Política de uso de datos del usuario de Google y con la Política de consentimiento del usuario de la UE de Google; (iv) anonimiza la dirección IP en Google Analytics cuando es técnicamente posible.

13. Medidas de seguridad

Genfami implementa medidas técnicas, administrativas y humanas razonables y proporcionales al riesgo, alineadas con buenas prácticas de seguridad de la información:

  • Cifrado en tránsito (HTTPS/TLS) en todos los formularios y comunicaciones del sitio web.
  • Control de acceso por roles, autenticación multifactor para personal con acceso a bases de datos.
  • Acuerdos de confidencialidad firmados por el personal y proveedores.
  • Política interna de gestión de incidentes y notificación de brechas en plazos razonables (72 horas cuando aplique GDPR).
  • Capacitación periódica al equipo en protección de datos y seguridad digital.
  • Revisión y actualización periódica de proveedores tecnológicos y sus acuerdos de procesamiento.
  • Cuando es viable, anonimización o seudonimización de datos sensibles.

14. Modificaciones a la política

Genfami podrá actualizar esta Política cuando lo considere necesario para reflejar cambios normativos, operativos o tecnológicos. Toda modificación se publicará en https://genfami.org y, cuando los cambios sean sustanciales o afecten finalidades autorizadas, se solicitará nueva autorización del titular por canales adecuados.

15. Autoridades de control y contacto

Para consultas, ejercicio de derechos o quejas relacionadas con el tratamiento de datos personales:

Responsable del tratamiento: FUNDACIÓN PARA EL DESARROLLO INTEGRAL EN GÉNERO Y FAMILIA GENFAMI

Correo: privacidad@ganfami.org

Dirección: Carrera 15 # 88-21 Bogotá, Colombia. 

Teléfono: +57 312 593 69 89

Autoridad de control: Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales, Bogotá D.C., Colombia. www.sic.gov.co

16. Vigencia

Esta Política entra en vigor el 15 de mayo de 2026 y deja sin efecto cualquier versión anterior. Las bases de datos administradas por Genfami tienen vigencia equivalente a la duración del programa o relación con el titular, sin perjuicio de los tiempos de conservación establecidos en la sección 10.

Política de Cookies

1. ¿Qué son las cookies?

Las cookies son pequeños archivos de texto que un sitio web instala en el navegador o dispositivo del usuario cuando lo visita. Permiten recordar información sobre la navegación (preferencias, sesión, idioma) y, en algunos casos, recopilar datos para analítica o publicidad. Junto con tecnologías similares (píxeles, etiquetas, almacenamiento local), conforman la base técnica para operar el sitio https://genfami.org y medir su impacto.

2. Tipos de cookies que utilizamos

Genfami clasifica las cookies según su finalidad y origen:

Categoría

¿Requiere consentimiento?

Descripción

Estrictamente necesarias (técnicas)

No

Permiten el funcionamiento básico del sitio: sesión, seguridad, balanceo de carga, accesibilidad. Sin ellas el sitio no puede operar.

Preferences

Recomendado

Recuerdan elecciones del usuario (idioma, región, tamaño de fuente) para mejorar la experiencia.

Analíticas

Recogen información sobre el uso del sitio (páginas vistas, tiempo, fuente de tráfico) de forma agregada. Incluye Google Analytics (_ga, _gid, _gat).

Publicitarias / marketing

Permiten mostrar publicidad relevante y medir conversiones. Incluye Google Ads (_gcl_au, _gac_*), remarketing y, cuando aplique, Meta Pixel.

De terceros

Cookies gestionadas por proveedores externos (Google, Meta, plataformas embebidas como YouTube/Vimeo) sujetas a sus propias políticas.

3. Listado detallado de cookies

Cookie

Proveedor

Tipo

Duración

Finalidad

_ga

Google

Analítica

2 años

Identifica al usuario de forma anónima

_gid

Google

Analítica

24 horas

Distingue usuarios

_gat

Google

Analítica

1 minuto

Limita la tasa de solicitudes

_gcl_au

Google Ads

Publicitaria

90 días

Atribución de conversiones

IDE / NID

Google

Publicitaria

13–24 meses

Remarketing y personalización publicitaria

cookie_consent

GENFAMI

Técnica

12 meses

Guarda la preferencia de consentimiento del usuario

 

El listado anterior es indicativo y puede actualizarse. Se recomienda revisarlo periódicamente.

4. Base legal para el uso de cookies

  • Cookies técnicas: interés legítimo de Genfami en operar correctamente el sitio.
  • Cookies analíticas, publicitarias y de terceros: consentimiento previo, expreso e informado del usuario, otorgado a través del banner de cookies.

5. Banner de consentimiento

Manage consent

Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones. [Aceptar] [Denegar] [Ver preferencias] [Política de privacidad].

6. Cómo gestionar las cookies

El usuario puede gestionar el uso de cookies de las siguientes maneras:

  • A través del banner de consentimiento al ingresar por primera vez al sitio.
  • Modificando sus preferencias en cualquier momento desde el enlace “Configuración de cookies” ubicado en el pie de página.
  • Desde la configuración de su navegador: Chrome, Firefox, Safari, Edge y otros permiten bloquear, eliminar o limitar el uso de cookies.
  • Para Google Analytics, instalando el complemento de inhabilitación: https://tools.google.com/dlpage/gaoptout
  • Para publicidad personalizada de Google: https://adssettings.google.com
  • Para publicidad de Meta: https://www.facebook.com/adpreferences

7. Consecuencias del rechazo

El rechazo de las cookies opcionales no impide la navegación por el sitio, pero puede afectar la disponibilidad de algunas funcionalidades, la medición precisa del impacto de los programas y la posibilidad de recibir contenido publicitario relevante.

8. Vigencia y actualizaciones

Esta Política de Cookies se revisa al menos una vez al año o cuando se incorporen nuevas tecnologías al sitio. La última actualización se indica en el pie de página del documento.

Lineamientos de uso de información en WhatsApp y canales digitales asociados

1. Propósito y alcance

Este documento establece los lineamientos operativos, éticos y de cumplimiento para el uso de información personal en los canales conversacionales y digitales asociados a los proyectos de Genfami. Se aplica a todo el equipo, voluntarios, aliados y proveedores que tengan acceso o intervengan en la operación de los siguientes canales:

  • WhatsApp Business API (a través de Meta Cloud API o proveedor BSP autorizado).
  • Plataforma de gestión conversacional Respond.io (o equivalente).
  • Canales de mensajería en redes sociales asociadas a los programas (Instagram DM, Facebook Messenger, Telegram, entre otros).
  • Bots y agentes conversacionales con apoyo de inteligencia artificial vinculados a los proyectos.

2. Principios rectores

  • Consentimiento previo: no se inicia conversación proactiva sin opt-in registrado.
  • Minimización: solo se solicita la información estrictamente necesaria para la finalidad.
  • Finalidad explícita: cada interacción tiene un propósito declarado al usuario.
  • Transparencia: el usuario sabe que está hablando con Genfami y, cuando aplique, con un agente automatizado.
  • Confidencialidad: la información intercambiada se trata como confidencial y se comparte únicamente con personas autorizadas.
  • Cuidado y no daño: ante señales de riesgo (emocional, físico, vulneración de derechos) se activan los protocolos de derivación de la sección 8.
  • No discriminación: el uso de IA y automatizaciones se audita para evitar sesgos.

3. Opt-in y opt-out

3.1 Mecanismos de opt-in válidos

  • Casilla específica en formulario digital (ver Parte III, sección 7).
  • Confirmación verbal o escrita registrada en la plataforma de gestión cuando el usuario inicia el contacto.
  • Mensaje inicial enviado por el usuario al número oficial de WhatsApp de Genfami (cuando este sea el primer contacto).
  • Aceptación explícita en un evento, taller o jornada presencial registrada en formulario impreso o digital.

3.2 Mecanismos de opt-out

  • Palabras clave en cualquier momento de la conversación: BAJA, STOP, CANCELAR, SALIR.
  • Solicitud al correo de privacidad.
  • Solicitud verbal a un agente humano del equipo.

El opt-out debe procesarse dentro de las 24 horas siguientes a la recepción, registrándolo en la plataforma con marca temporal y motivo.

4. Ventana de servicio de 24 horas y plantillas (HSM)

Conforme a la política de WhatsApp Business:

  • Una vez el usuario envía un mensaje, se abre una ventana de servicio de 24 horas durante la cual Genfami puede responder libremente con mensajes de sesión.
  • Fuera de esa ventana, solo pueden enviarse plantillas (HSM) previamente aprobadas por Meta, asociadas a categorías como utility, marketing o authentication.
  • Las plantillas de marketing requieren opt-in expreso y deben respetar las políticas de Meta sobre frecuencia y contenido.
  • Genfami mantiene un repositorio interno de plantillas aprobadas con su categoría, idioma, propósito y restricciones.

5. Tipos de plantillas autorizadas

Categoría

Ejemplos de uso

Requisitos

Utility (servicio)

Confirmación de inscripción, recordatorio de sesión, actualización de estado

Opt-in previo y vinculación directa con la finalidad declarada

Marketing

Invitaciones a campañas, novedades de programas, contenido educativo

Opt-in marketing expreso, frecuencia razonable, opción visible de opt-out

Authentication

Códigos de verificación (cuando aplique)

Uso estricto para autenticación, no se combina con otros mensajes

6. Tratamiento de datos sensibles en canales

Cuando una conversación involucra datos sensibles (salud emocional, situación familiar vulnerable, datos de menores), aplican las siguientes reglas:

  • Se evita solicitar datos sensibles que no sean estrictamente necesarios para la finalidad de la conversación.
  • Se informa al usuario sobre la naturaleza sensible de la información y se solicita confirmación explícita de su autorización.
  • Los mensajes que contengan datos sensibles se etiquetan en la plataforma como “restringidos” y su visibilidad se limita al personal autorizado.
  • No se almacenan datos sensibles en hojas de cálculo no cifradas, correos personales ni dispositivos sin protección.
  • Se prefiere trabajar con resúmenes anonimizados cuando se requiera reportar el caso.

7. Protocolo de derivación clínica o de apoyo especializado

Genfami no presta servicios de atención clínica de emergencia. Cuando una conversación revela señales de riesgo emocional grave (ideación suicida, autolesión, violencia activa, vulneración de derechos de un menor), se activa el siguiente protocolo:

  1. Detección: el agente o el flujo conversacional identifica señales de alerta a través de palabras clave o por valoración del operador humano.
  2. Pausa y contención: se envía un mensaje empático que reconoce la situación y comunica que un miembro humano del equipo retomará la conversación.
  3. Derivación: se entrega de manera clara y verificable la línea de atención correspondiente al país y ciudad del usuario (en Colombia: 106 Bogotá, 123 nacional, líneas de la EPS y servicios institucionales).
  4. Registro: el caso queda etiquetado como “derivación de alta sensibilidad” y se conserva con acceso restringido a un único equipo autorizado.
  5. Seguimiento: cuando sea pertinente y autorizado, se realiza un seguimiento posterior dentro de los plazos definidos por el programa, respetando siempre la decisión del usuario.
  6. Aprendizaje: se documenta de forma anonimizada para retroalimentar la mejora del flujo y la capacitación del equipo.

8. Anonimización y reportería

Para reportes a aliados, donantes, financiadores o publicaciones de Genfami:

  • Se utilizan datos agregados o anonimizados como regla general.
  • Cualquier testimonio o caso individual requiere autorización expresa, separada y revocable del titular o representante legal.
  • Los identificadores directos (nombre, número, ubicación exacta) se eliminan o se reemplazan por pseudónimos en los reportes.

9. Almacenamiento y retención de conversaciones

  • Las conversaciones se almacenan en la plataforma autorizada por Genfami (Respond.io u otra) con autenticación multifactor.
  • El tiempo de retención por defecto es de 12 meses desde el último mensaje, salvo casos de derivación de alta sensibilidad.
  • Pasado el tiempo de retención, las conversaciones se eliminan o se anonimizan para fines estadísticos.
  • Los datos no se exportan a hojas de cálculo personales ni se comparten por canales no cifrados.

10. Encargados del tratamiento y responsabilidades

Los canales descritos involucran a los siguientes Encargados del Tratamiento, cuyos contratos deben mantenerse vigentes:

  • Meta Platforms Inc. (WhatsApp Business API).
  • Respond.io u otra plataforma de gestión conversacional autorizada.
  • Proveedor BSP (Business Solution Provider) cuando aplique.
  • Proveedores de modelos de IA, si se utilizan para análisis de conversación o generación de respuestas.

Genfami documenta y revisa anualmente la lista de Encargados, sus acuerdos de procesamiento (DPA) y su nivel de cumplimiento.

11. Roles y responsabilidades del equipo

Rol

Responsabilidad

Líder de proyecto

Vela por el cumplimiento general del lineamiento, aprueba flujos y plantillas antes de su publicación.

Oficial de privacidad

Resuelve consultas de titulares, audita registros de consentimiento, valida cambios en formularios.

Agente conversacional humano

Atiende casos, identifica señales de alerta, activa protocolos de derivación, registra etiquetas.

Equipo técnico / IA

Configura flujos, supervisa el comportamiento del bot, realiza pruebas de calidad y auditorías de sesgo.

Aliados y voluntarios

Firman acuerdo de confidencialidad antes de acceder a cualquier información, reciben capacitación obligatoria.

12. Gestión de incidentes y brechas de seguridad

Ante un incidente que afecte la confidencialidad, integridad o disponibilidad de los datos en los canales:

  1. Contención inmediata: aislar el origen, suspender accesos comprometidos, preservar evidencia técnica.
  2. Notificación interna al oficial de privacidad y al líder de proyecto dentro de las primeras 12 horas.
  3. Evaluación del alcance: titulares afectados, tipos de datos, riesgo.
  4. Notificación a la autoridad de control: SIC en Colombia cuando el incidente lo amerite, autoridad UE en plazo no mayor a 72 horas cuando aplique GDPR.
  5. Comunicación a los titulares cuando exista riesgo alto, con descripción del incidente y medidas de mitigación.
  6. Reporte post-incidente y plan de remediación con responsables y plazos.

13. Capacitación obligatoria

  • Toda persona con acceso a los canales recibe capacitación inicial sobre privacidad, manejo de datos sensibles y protocolo de derivación.
  • Refresco anual y al inicio de cada nueva campaña.
  • Registro firmado de asistencia y aprobación de la evaluación interna.

14. Auditoría y revisión

  • Auditoría interna trimestral de muestras de conversaciones (sin identificadores) para revisar calidad y cumplimiento.
  • Revisión anual de proveedores tecnológicos, plantillas, flujos y métricas de cumplimiento.
  • Actualización de los lineamientos al menos una vez al año o cuando ocurra un cambio normativo, operativo o tecnológico significativo.

Anexo C — Control de versiones

Versión

Fecha

Cambios

1.0

26 de mayo de 2026

Versión inicial del paquete legal integrado para Genfami.