top of page

POLÍTICAS Y PROCEDIMIENTOS DE TRATAMIENTO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES DE LA CORPORACIÓN CREAME - INCUBADORA DE EMPRESAS

Incluye régimen de tratamiento de datos en Sistemas de Inteligencia Artificial

CONTENIDO


1. INTRODUCCIÓN, OBJETIVO Y ALCANCE    
1.1. Objetivo    
1.2. Alcance    
1.3. Marco normativo    
2. DEFINICIONES    
3. PRINCIPIOS RECTORES    
3.1. Principios generales (art. 4 Ley 1581 de 2012)    
3.2. Principios específicos en materia de Inteligencia Artificial    


4. BASES JURÍDICAS Y AUTORIZACIÓN    
4.1. Regla general    
4.2. Formas de obtención de la Autorización    
4.3. Autorización para Datos Sensibles    
4.4. Autorización de niños, niñas y adolescentes (NNA)    
4.5. Autorización diferenciada para IA    
4.6. Revocación de la Autorización    


5. CATEGORÍAS DE DATOS Y DE TITULARES    
5.1. Categorías de Datos Personales tratados    
5.2. Categorías de Titulares    


6. FINALIDADES DEL TRATAMIENTO    
6.1. Finalidades misionales    
6.2. Finalidades operativas y administrativas   
6.3. Finalidades promocionales y de relacionamiento    
6.4. Finalidades relacionadas con Sistemas de Inteligencia Artificial    
6.5. Finalidades legales y regulatorias    
6.6. Regla de uso posterior    


7. DERECHOS DEL TITULAR Y PROCEDIMIENTOS    
7.1. Derechos generales (art. 8 Ley 1581 de 2012)   
7.2. Derechos reforzados frente a la IA    
7.3. Personas legitimadas para ejercer los derechos    
7.4. Canales oficiales    
7.5. Procedimiento de Consulta (art. 14 Ley 1581/2012)    
7.6. Procedimiento de Reclamo (art. 15 Ley 1581/2012)    
7.7. Revocatoria y supresión del dato    
7.8. Requisito previo a la queja ante la SIC   

 
8. TRATAMIENTO DE DATOS EN SISTEMAS DE INTELIGENCIA ARTIFICIAL    
8.1. Ámbito    
8.2. Uso interno de herramientas de IA    
8.3. Decisiones automatizadas y perfilamiento    
8.4. Entrenamiento de modelos con Datos Personales    
8.5. Evaluación de Impacto en Protección de Datos (EIPD)    
8.6. Proveedores y Encargados de IA    
8.7. Gobernanza interna    


9. MEDIDAS DE SEGURIDAD Y GESTIÓN DE INCIDENTES    
9.1. Medidas de seguridad    
9.2. Gestión de incidentes de seguridad    


10. TRANSFERENCIAS Y TRANSMISIONES    
10.1. Reglas generales    
10.2. Transmisiones a Encargados    
10.3. Transferencias internacionales   

 
11. GOBIERNO DE DATOS Y OFICIAL DE PROTECCIÓN DE DATOS    
11.1. Oficial de Protección de Datos (DPO)    
11.2. Funciones principales del DPO    
11.3. Responsabilidad demostrada (accountability) 

  
12. DEBERES DE CRÉAME COMO RESPONSABLE    
13. VIGENCIA, MODIFICACIONES Y DISPOSICIONES FINALES    
13.1. Vigencia    
13.2. Modificaciones    
13.3. Datos del Responsable    
13.4. Aprobación    

 

1. INTRODUCCIÓN, OBJETIVO Y ALCANCE
1.1. Objetivo
Créame - Incubadora y Aceleradora de Empresas (en adelante “Créame” o el “Responsable”), en cumplimiento del artículo 15 de la Constitución Política, de la Ley 1581 de 2012 y demás normas concordantes, adopta la presente Política de Tratamiento de Protección de Datos Personales (en adelante la “Política”), mediante la cual establece los lineamientos, procedimientos y garantías aplicables a la recolección, uso, circulación, almacenamiento, supresión y, en general, cualquier forma de Tratamiento de Datos Personales que realice directamente o a través de sus Encargados, incluyendo el Tratamiento desarrollado mediante Sistemas de Inteligencia Artificial (SIA).
1.2. Alcance
La presente Política aplica a todos los Datos Personales objeto de Tratamiento por Créame, así como a quienes intervienen en dicho Tratamiento, sin importar el medio físico o digital utilizado. Aplica a colaboradores, contratistas, miembros de órganos sociales, proveedores, aliados, emprendedores, beneficiarios, visitantes y, en general, a cualquier Titular cuya información sea recolectada o tratada por Créame.
1.3. Marco normativo
Esta Política se fundamenta, entre otras, en las siguientes disposiciones:
a)    Constitución Política de Colombia — art. 15 (derecho fundamental al habeas data).
b)    Ley Estatutaria 1266 de 2008 — habeas data financiero y crediticio.
c)    Ley Estatutaria 1581 de 2012 — régimen general de protección de datos personales.
d)    Decreto Reglamentario 1377 de 2013 — reglamentación parcial de la Ley 1581/2012.
e)    Decreto 886 de 2014 — Registro Nacional de Bases de Datos (RNBD).
f)    Decreto 090 de 2018 y Decreto 255 de 2022 — modificaciones al RNBD.
g)    Circular Externa 002 de 2015 SIC — instrucciones sobre el RNBD.
h)    Circular Externa 003 de 2018 SIC — Principio de Responsabilidad Demostrada (accountability).
i)    Circular Externa 002 de 2022 SIC — reporte de incidentes de seguridad.
j)    Circular Externa 005 de 2022 SIC — régimen de transferencias internacionales de datos.
k)    Circular Externa 002 de 2024 SIC - Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial.
l)    CONPES 4144 de 2025 — Política Nacional de Inteligencia Artificial.
m)    Principios OCDE sobre IA (2019, actualizados 2023) — referencia internacional para el diseño ético de sistemas de IA.


2. DEFINICIONES
Para efectos de esta Política, los siguientes términos tendrán el significado aquí asignado. En caso de conflicto, prevalecerán las definiciones contenidas en la Ley 1581 de 2012 y en sus normas reglamentarias.
Anonimización: Técnica que disocia irreversiblemente los Datos Personales de su Titular, de modo que no puedan ser reidentificados con medios razonables; en tal caso, los datos dejan de ser Datos Personales.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales.
Aviso de Privacidad: Comunicación verbal o escrita generada por Créame y dirigida al Titular, que le informa la existencia de esta Política, la forma de acceder a ella y las finalidades del Tratamiento.
Base de Datos: Conjunto organizado de Datos Personales objeto de Tratamiento, cualquiera que sea la modalidad de su creación, almacenamiento, organización o acceso.
Consulta: Solicitud del Titular o de las personas legitimadas para conocer los Datos Personales que reposan en una Base de Datos. Se atiende en los términos del artículo 14 de la Ley 1581 de 2012.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato Sensible: Aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación (origen racial o étnico, orientación política, convicciones religiosas, afiliación sindical, datos de salud, vida sexual y datos biométricos, entre otros).
Datos Públicos, Semiprivados y Privados: Clasificación derivada de la Ley 1266 de 2008. Son públicos los no semiprivados, privados ni sensibles; semiprivados los de interés del Titular y de cierto sector (p. ej., datos financieros); privados los de naturaleza íntima o reservada.
Decisión Automatizada Individualizada: Decisión adoptada únicamente a partir del Tratamiento automatizado de Datos Personales, sin intervención humana significativa, que produce efectos jurídicos o afecta de manera similarmente significativa al Titular.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable.
Entrenamiento de Modelos: Proceso mediante el cual un Sistema de Inteligencia Artificial utiliza conjuntos de datos (que pueden incluir Datos Personales) para aprender patrones, ajustar parámetros y desarrollar la capacidad de generar resultados.
Evaluación de Impacto en Protección de Datos (EIPD): Análisis previo para identificar, evaluar y mitigar los riesgos que un Tratamiento —en particular el desarrollado mediante SIA, decisiones automatizadas, Datos Sensibles o grandes volúmenes— puede suponer para los derechos de los Titulares.
Incidente de Seguridad: Violación de los códigos de seguridad o pérdida, robo y/o acceso no autorizado de la información de una Base de Datos administrada por Créame o su Encargado.
Oficial de Protección de Datos (DPO): Responsable funcional al interior de Créame de supervisar el cumplimiento de esta Política y del régimen de protección de datos, recibir y tramitar solicitudes, y servir de enlace con la SIC.
Perfilamiento: Forma de Tratamiento automatizado de Datos Personales consistente en utilizarlos para evaluar o predecir aspectos personales del Titular (desempeño, situación económica, salud, preferencias, comportamiento, ubicación o desplazamientos).
Reclamo: Solicitud del Titular o de las personas legitimadas para corregir, actualizar o suprimir sus Datos Personales, o para revocar la Autorización. Se atiende en los términos del artículo 15 de la Ley 1581 de 2012.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decide sobre la Base de Datos y/o el Tratamiento. En esta Política, Créame actúa como Responsable.
Seudonimización: Técnica que sustituye identificadores directos por seudónimos, de modo que la reidentificación solo sea posible mediante información adicional conservada por separado y con controles de seguridad.
Sistema de Inteligencia Artificial (SIA): Sistema basado en una máquina que, para objetivos explícitos o implícitos, infiere a partir de los datos de entrada cómo generar salidas tales como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales (def. OCDE 2023, adoptada por el CONPES 4144/2025).
Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
Transferencia: Envío de Datos Personales por el Responsable o el Encargado a un receptor que adquiere la calidad de Responsable, dentro o fuera del territorio de la República de Colombia.
Transmisión: Tratamiento que implica la comunicación de Datos Personales dentro o fuera del territorio, cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.


3. PRINCIPIOS RECTORES
3.1. Principios generales (art. 4 Ley 1581 de 2012)
a)    Legalidad: el Tratamiento es una actividad reglada que se sujeta a la ley.
b)    Finalidad: el Tratamiento debe obedecer a una finalidad legítima, previamente informada al Titular.
c)    Libertad: el Tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del Titular, salvo mandato legal o judicial que lo releve.
d)    Veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
e)    Transparencia: el Titular tiene derecho a obtener en cualquier momento información sobre los datos que le conciernen.
f)    Acceso y circulación restringida: el Tratamiento se sujeta a los límites que derivan de la naturaleza de los datos.
g)    Seguridad: se adoptan medidas técnicas, humanas y administrativas que garanticen la seguridad de los registros.
h)    Confidencialidad: quienes intervienen en el Tratamiento están obligados a guardar reserva sobre la información.
3.2. Principios específicos en materia de Inteligencia Artificial
Adicionalmente a los principios generales, en todo Tratamiento mediante SIA Créame aplica los siguientes principios, alineados con la Guía SIC 2024, el CONPES 4144/2025, la Sentencia T-323/2024 y los Principios OCDE sobre IA:
i)    Privacidad desde el diseño y por defecto (privacy by design & by default): incorporar medidas de protección desde la fase de diseño y configurar los SIA para tratar por defecto únicamente los datos estrictamente necesarios.
j)    Minimización: no introducir en el SIA más Datos Personales que los necesarios para la finalidad legítima declarada.
k)    Exactitud y calidad del dato: procurar que los conjuntos de datos sean veraces, actualizados y representativos, a efectos de reducir sesgos discriminatorios.
l)    Transparencia algorítmica: informar al Titular, en lenguaje claro, cuándo se usa un SIA, qué tipo de decisión o salida se produce y qué derechos le asisten.
m)    Supervisión humana significativa: toda decisión con efectos jurídicos o similarmente significativos cuenta con revisión humana competente y con autoridad real para modificarla.
n)    No discriminación: prohibición de que los SIA generen tratos discriminatorios con base en características protegidas.
o)    Seguridad y robustez: los SIA se someten a pruebas de seguridad, ciberseguridad y continuidad.
p)    Responsabilidad demostrada (accountability): se documentan decisiones, análisis de riesgo y medidas adoptadas, conforme al principio de responsabilidad demostrada desarrollado por la SIC.


4. BASES JURÍDICAS Y AUTORIZACIÓN
4.1. Regla general
El Tratamiento de Datos Personales por parte de Créame requiere la Autorización previa, expresa e informada del Titular, salvo las excepciones previstas en la Ley 1581 de 2012 (artículo 10).
4.2. Formas de obtención de la Autorización
La Autorización podrá manifestarse por: (i) escrito; (ii) oralmente; o (iii) mediante conductas inequívocas que permitan concluir razonablemente que fue otorgada. Créame conservará la prueba de la Autorización por mecanismos adecuados y durante el tiempo de conservación de los datos.
4.3. Autorización para Datos Sensibles
Tratándose de Datos Sensibles, Créame informará al Titular (i) que, por su naturaleza, no está obligado a autorizar su Tratamiento, y (ii) cuáles datos son sensibles y la finalidad específica. La Autorización deberá ser explícita y diferenciada.
4.4. Autorización de niños, niñas y adolescentes (NNA)
El Tratamiento de datos de NNA se realiza respetando su interés superior y sus derechos fundamentales. Créame requerirá la autorización del representante legal y, cuando corresponda, escuchará la opinión del NNA considerando su madurez, autonomía y capacidad de entender el asunto.
4.5. Autorización diferenciada para IA
Cuando el Tratamiento implique (a) decisiones automatizadas con efectos jurídicos o similarmente significativos, (b) perfilamiento sistemático o (c) entrenamiento de modelos con Datos Personales, la Autorización será recabada de forma específica, diferenciada y con información adicional sobre la lógica del Tratamiento y sus consecuencias.
4.6. Revocación de la Autorización
El Titular podrá revocar la Autorización en cualquier momento mediante los canales previstos en el Capítulo 7. La revocatoria no procederá cuando exista un deber legal o contractual del Titular con Créame que imponga permanencia del Tratamiento.


5. CATEGORÍAS DE DATOS Y DE TITULARES
5.1. Categorías de Datos Personales tratados
Créame trata, entre otros, Datos Personales de las siguientes categorías:
•    Datos de identificación: nombres, apellidos, tipo y número de documento, fecha de nacimiento, nacionalidad.
•    Datos de contacto: dirección, teléfono, correo electrónico, ciudad.
•    Datos socioeconómicos: información laboral, de ingresos, de actividad empresarial y de emprendimiento.
•    Datos financieros y crediticios: en los términos de la Ley 1266 de 2008, cuando sean requeridos para contratación, reportes o beneficios.
•    Datos de imagen y voz: fotografías, videos y grabaciones obtenidas en eventos, capacitaciones o espacios de Créame.
•    Datos Sensibles: solo cuando resulten estrictamente necesarios y medie autorización explícita (p. ej., discapacidad para ajustes razonables).
•    Datos de NNA: únicamente en programas específicamente dirigidos a ellos.
5.2. Categorías de Titulares
•    Emprendedores, beneficiarios y postulantes de convocatorias.
•    Colaboradores, aspirantes, practicantes y exempleados.
•    Contratistas, proveedores y aliados.
•    Miembros de la Asamblea, Junta Directiva, comités y órganos asesores.
•    Visitantes a las sedes y participantes en eventos.
•    Usuarios del sitio web, redes sociales y plataformas digitales.


6. FINALIDADES DEL TRATAMIENTO
Créame trata Datos Personales con las siguientes finalidades, agrupadas por categoría:
6.1. Finalidades misionales
•    Ejecutar programas, convocatorias, acompañamientos y actividades de emprendimiento, incubación y aceleración.
•    Evaluar postulaciones y seleccionar beneficiarios de convocatorias, capital semilla, financiación, mentorías u otros beneficios.
•    Ejecutar contratos, convenios y órdenes de servicio suscritos por Créame.
•    Desarrollar actividades de formación, asesoría, capacitación, eventos, foros, conferencias y publicaciones.
•    Diseñar, estructurar e implementar estrategias de fortalecimiento al emprendimiento en sus diferentes etapas para el fortalecimiento del ecosistema local, regional y nacional, enmarcadas en su objeto misional.
6.2. Finalidades operativas y administrativas
•    Gestionar la relación contractual con colaboradores, contratistas, aliados y proveedores.
•    Realizar pagos, facturación, cobros, reportes tributarios y contables.
•    Soportar procesos de auditoría, control interno y cumplimiento.
•    Verificar información en listas restrictivas, centrales de riesgo y fuentes públicas, en los términos de ley.
•    Velar por la seguridad y adecuado funcionamiento de las sedes (incluidos sistemas de videovigilancia).
6.3. Finalidades promocionales y de relacionamiento
•    Enviar información institucional, boletines e invitaciones a eventos, foros, capacitaciones y convocatorias.
•    Realizar estudios estadísticos, sondeos y análisis agregados para mejorar la oferta de valor.
•    Ejecutar campañas de mercadeo y relacionamiento con beneficiarios, aliados y patrocinadores.
6.4. Finalidades relacionadas con Sistemas de Inteligencia Artificial
•    Utilizar herramientas de IA (asistentes conversacionales, automatización, análisis de datos) para apoyar la operación interna, la productividad y la gestión de programas, bajo las salvaguardas del Capítulo 8.
•    Realizar, con Autorización específica, actividades de perfilamiento y análisis predictivo para selección de beneficiarios, evaluación de proyectos, priorización y segmentación.
•    Emplear, previa Autorización diferenciada, Datos Personales anonimizados o seudonimizados para el entrenamiento, validación o ajuste de modelos propios de IA orientados a mejorar los servicios de Créame.
6.5. Finalidades legales y regulatorias
•    Dar cumplimiento a obligaciones legales frente a entidades administrativas, de control, tributarias, judiciales y de seguridad social.
•    Reportar información a centrales de riesgo crediticio, cuando aplique, en los términos de la Ley 1266 de 2008.
•    Responder requerimientos de autoridades y atender derechos de petición.
6.6. Regla de uso posterior
Los Datos Personales solo se utilizarán para las finalidades aquí señaladas o para otras directamente relacionadas que sean compatibles con las originalmente informadas al Titular. Cesada la necesidad del Tratamiento, los datos serán suprimidos o archivados con medidas de seguridad.

 

7. DERECHOS DEL TITULAR Y PROCEDIMIENTOS
7.1. Derechos generales (art. 8 Ley 1581 de 2012)
a)    Conocer, actualizar y rectificar sus Datos Personales.
b)    Solicitar prueba de la Autorización otorgada.
c)    Ser informado, previa solicitud, del uso dado a sus Datos Personales.
d)    Presentar quejas ante la Superintendencia de Industria y Comercio (SIC).
e)    Revocar la Autorización y/o solicitar la supresión del dato, cuando proceda.
f)    Acceder gratuitamente a sus Datos Personales objeto de Tratamiento.
7.2. Derechos reforzados frente a la IA
a)    Ser informado de manera clara sobre la existencia y lógica del Tratamiento automatizado.
b)    Solicitar revisión humana significativa de decisiones automatizadas.
c)    Oponerse al Tratamiento de sus datos con fines de entrenamiento de modelos.
d)    Solicitar explicación razonada y no técnica de los criterios que incidieron en una decisión específica.
7.3. Personas legitimadas para ejercer los derechos
1.    El Titular, acreditando su identidad.
2.    Los causahabientes, acreditando tal calidad.
3.    El representante y/o apoderado, con el documento que acredite la representación.
4.    Por estipulación a favor de otro o para otro.
Los derechos de los NNA se ejercen por sus representantes legales.
7.4. Canales oficiales
Canal    Dato / dirección
Correo electrónico habeas data    ---- @creame.com.co
Correo electrónico general    info@creame.com.co
Dirección física    Carrera 46 N.º 56-11, piso 11, Medellín (Antioquia)
Teléfono    (+57) 310 434 0088
Sitio web / formulario    www.creame.com.co — sección “Protección de datos”
7.5. Procedimiento de Consulta (art. 14 Ley 1581/2012)
1.    El Titular radica su Consulta a través de cualquiera de los canales oficiales, acreditando su identidad.
2.    Créame registra la solicitud y asigna un número de radicado.
3.    El DPO gestiona la Consulta y prepara la respuesta, que será comunicada por el mismo medio o el indicado por el Titular.
4.    Plazo: máximo diez (10) días hábiles contados desde la recepción. Si no fuere posible atender la Consulta en ese término, se informará al Titular, explicando los motivos y señalando la fecha de respuesta, que no podrá superar los cinco (5) días hábiles adicionales.
7.6. Procedimiento de Reclamo (art. 15 Ley 1581/2012)
1.    El Titular presenta el Reclamo a través de los canales, identificándose y describiendo los hechos, acompañando los documentos que pretenda hacer valer.
2.    Si el Reclamo resulta incompleto, Créame requerirá al Titular dentro de los cinco (5) días siguientes a su recepción para completarlo. Transcurridos dos (2) meses sin que se complete, se entenderá desistido.
3.    Una vez recibido el Reclamo completo, se incluirá en la Base de Datos una leyenda “reclamo en trámite” y el motivo, en un término no mayor a dos (2) días hábiles.
4.    Plazo máximo de respuesta:  quince (15) días hábiles contados desde el día siguiente a la recepción del Reclamo completo, prorrogables por ocho (8) días hábiles adicionales informando al Titular.
7.7. Revocatoria y supresión del dato
La revocación y/o supresión procederán cuando no se respeten los principios, derechos y garantías constitucionales y legales, o cuando el Tratamiento haya cesado en su finalidad. No procederán cuando el Titular tenga un deber legal o contractual con Créame que exija la conservación del dato.
7.8. Requisito previo a la queja ante la SIC
Para ejercer la queja ante la SIC, el Titular deberá agotar previamente el trámite de consulta o reclamo ante Créame (art. 16 Ley 1581/2012).

 

8. TRATAMIENTO DE DATOS EN SISTEMAS DE INTELIGENCIA ARTIFICIAL
8.1. Ámbito
Este capítulo regula el Tratamiento de Datos Personales que Créame realiza directamente o a través de Encargados mediante SIA, ya sea para (i) apoyar la operación interna y la productividad; (ii) adoptar decisiones o recomendaciones que afecten al Titular; o (iii) entrenar, validar o ajustar modelos. Complementa —y no sustituye— el régimen general.
Este capítulo se interpreta de conformidad con:
•    El régimen general de protección de datos personales (Ley 1581 de 2012 y normas reglamentarias). 
•    Los lineamientos emitidos por la Superintendencia de Industria y Comercio (SIC), en particular sobre tratamiento de datos en sistemas de IA. 
•    Buenas prácticas internacionales en materia de gobernanza de datos e inteligencia artificial.
8.2. Uso interno de herramientas de IA
Créame podrá emplear herramientas de IA de terceros (asistentes conversacionales, copilotos, generadores de contenido, automatización) bajo estas reglas:
a)    Garantizar que el Tratamiento de Datos Personales cumpla con los principios de legalidad, finalidad, libertad, seguridad y confidencialidad.
b)    Evitar el tratamiento de datos sin autorización o sin una base legal sólida.
c)    Solo se usarán herramientas aprobadas por el DPO que cuenten con cláusulas contractuales exigibles de no uso de los insumos para entrenamiento, salvo autorización expresa.
d)    Queda prohibido cargar en herramientas públicas o no aprobadas Datos Sensibles, datos de NNA, información amparada por confidencialidad contractual, información financiera de terceros o información sujeta a reserva legal.
e)    Siempre que sea posible, los Datos Personales serán anonimizados o seudonimizados antes de su ingreso al SIA.
f)    Los colaboradores son responsables de verificar la exactitud de las salidas generadas por IA antes de usarlas como soporte de decisiones, comunicaciones o documentos externos.
8.3. Decisiones automatizadas y perfilamiento
Cuando Créame utilice SIA para adoptar decisiones con efectos jurídicos o similarmente significativos sobre el Titular (p. ej., aceptación/rechazo de postulaciones, asignación de capital semilla, priorización de beneficiarios):
a)    Informará previamente al Titular, en el Aviso de Privacidad o en un mecanismo específico, que la decisión se apoya en un SIA, describiendo la lógica general, los criterios principales y las consecuencias.
b)    Garantizará el derecho a intervención humana significativa, a expresar el punto de vista y a impugnar la decisión.
c)    Garantizará el ejercicio de acceso, rectificación, supresión y revocatoria.
d)    Documentará las pruebas internas de calidad, precisión y sesgos realizadas antes de la puesta en operación.
e)    Evitará decisiones discriminatorias o basadas en datos inexactos, así como decisiones exclusivamente automatizadas en decisiones de alto impacto, privilegiando siempre la supervisión humana significativa.
8.4. Entrenamiento de modelos con Datos Personales
Cuando Créame utilice Datos Personales para entrenar, validar o ajustar modelos propios de IA, o autorice a terceros para hacerlo por su cuenta:
a)    Se preferirán, cuando sea técnicamente viable, datos anonimizados, seudonimizados o sintéticos.
b)    No se emplearán Datos Sensibles, datos de NNA ni datos obtenidos por extracción indiscriminada de internet (scraping), sin habilitación legal específica.
c)    Se mantendrá registro del conjunto de datos usados y de las salvaguardas aplicadas.
d)    Se garantizarán los derechos de supresión y oposición del Titular, con las medidas técnicamente proporcionales.
8.5. Proveedores y Encargados de IA
Los contratos con proveedores de servicios basados en IA que traten Datos Personales por cuenta de Créame exigirán:
a)    Cláusulas que prohíban el uso de los datos de Créame para entrenar modelos generales del proveedor, salvo autorización expresa.
b)    Estándares mínimos de seguridad, trazabilidad y reporte de incidentes.
8.6. Gobernanza interna
Créame mantendrá un inventario actualizado de los SIA que traten Datos Personales, designará un responsable funcional para la supervisión del capítulo (rol del DPO), y adoptará lineamientos internos de uso aceptable, capacitación obligatoria y auditoría periódica.

 

9. MEDIDAS DE SEGURIDAD Y GESTIÓN DE INCIDENTES
9.1. Medidas de seguridad
Créame adopta medidas técnicas, humanas y administrativas, razonables y proporcionales al riesgo, para proteger la información de adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Estas medidas incluyen —entre otras— controles de acceso, cifrado, segregación de ambientes, copias de respaldo, capacitación del personal, acuerdos de confidencialidad y auditorías periódicas.
9.2. Gestión de incidentes de seguridad
Ante cualquier Incidente de Seguridad, el DPO coordinará la respuesta conforme al Plan de Respuesta a Incidentes de Créame, con los siguientes pasos mínimos:
a)    Detección, contención y análisis preliminar del incidente.
b)    Evaluación del impacto sobre Titulares y comunicación interna al Comité de Ética/Cumplimiento.
c)    Notificación a la SIC a través del RNBD, dentro de los quince (15) días hábiles siguientes al conocimiento del incidente, cuando exista violación de códigos de seguridad o riesgo significativo para los Titulares (Circular Externa 02/2022 SIC).
d)    Comunicación a los Titulares afectados cuando el incidente implique riesgo alto para sus derechos y libertades.
e)    Adopción de medidas correctivas, lecciones aprendidas y ajustes documentados.

 

10. TRANSFERENCIAS Y TRANSMISIONES
10.1. Reglas generales
Las transferencias y transmisiones de Datos Personales se realizarán con fundamento en autorización del Titular o en una causal legal que las habilite, y conservarán las finalidades originalmente informadas.
10.2. Transmisiones a Encargados
Créame celebrará con sus Encargados un contrato de transmisión (DPA) que cumpla el art. 25 del Decreto 1377/2013, incluyendo: (i) alcance del Tratamiento; (ii) actividades autorizadas; (iii) obligaciones del Encargado; (iv) medidas de seguridad; (v) obligación de devolución o supresión al término; (vi) prohibición de subcontratación sin autorización; y (vii) auditoría.

 

11. GOBIERNO DE DATOS Y OFICIAL DE PROTECCIÓN DE DATOS
11.1. Oficial de Protección de Datos (DPO)
Créame designa un Oficial de Protección de Datos (DPO), adscrito al Área Jurídica y de Cumplimiento, con funciones de supervisión, coordinación y enlace con la SIC. [nombrar persona y mecanismo de designación — CONFIRMAR POR CRÉAME]
11.2. Funciones principales del DPO
a)    Coordinar la implementación del Programa Integral de Gestión de Datos Personales (PIGDP).
b)    Mantener actualizado el Registro de Actividades de Tratamiento (ROPA) y la inscripción en el RNBD.
c)    Liderar las EIPD y la evaluación de proyectos que involucren SIA.
d)    Atender las consultas, reclamos y ejercicios de derechos de los Titulares.
e)    Diseñar y ejecutar el programa de capacitación y cultura en privacidad.
f)    Coordinar la respuesta a incidentes de seguridad y la notificación a la SIC.
g)    Supervisar los contratos de transmisión y las transferencias internacionales.
11.3. Responsabilidad demostrada (accountability)
En cumplimiento de la Circular Externa 03/2018 de la SIC, Créame mantendrá evidencia documental de: (i) el PIGDP; (ii) el ROPA; (iii) las EIPD; (iv) los contratos de transmisión; (v) las Autorizaciones otorgadas; (vi) los programas de capacitación; (vii) las auditorías; (viii) la gestión de incidentes; y (ix) las revisiones periódicas de esta Política.

 

12. DEBERES DE CRÉAME COMO RESPONSABLE
De conformidad con el artículo 17 de la Ley 1581/2012, Créame tiene los siguientes deberes:
a)    Garantizar al Titular el pleno y efectivo ejercicio del habeas data.
b)    Solicitar y conservar copia de la Autorización otorgada.
c)    Informar al Titular la finalidad de la recolección y sus derechos.
d)    Conservar la información con medidas de seguridad adecuadas.
e)    Garantizar que la información suministrada al Encargado sea veraz, completa, exacta, actualizada y comprobable.
f)    Actualizar la información y comunicar oportunamente novedades al Encargado.
g)    Rectificar la información cuando sea incorrecta.
h)    Suministrar al Encargado únicamente datos cuyo Tratamiento esté previamente autorizado.
i)    Exigir al Encargado el respeto a las condiciones de seguridad y privacidad.
j)    Tramitar las consultas y reclamos en los términos legales.
k)    Adoptar el manual interno de políticas y procedimientos.
l)    Informar al Encargado cuando la información se encuentre en discusión.
m)    Informar a solicitud del Titular el uso dado a sus datos.
n)    Informar a la SIC los incidentes que lo ameriten.
o)    Cumplir las instrucciones y requerimientos de la SIC.

 

13. VIGENCIA, MODIFICACIONES Y DISPOSICIONES FINALES
13.1. Vigencia
La presente Política rige a partir de su aprobación y publicación, el día 22 de abril de 2026. Las Bases de Datos sujetas a Tratamiento estarán vigentes por el término contractual del producto o servicio, más el término legal aplicable.
13.2. Modificaciones
Créame podrá modificar esta Política en cualquier momento. Los cambios sustanciales serán informados a los Titulares a través de los canales oficiales con al menos diez (10) días hábiles de anticipación, salvo que razones legales exijan aplicación inmediata.
13.3. Datos del Responsable
Razón social    Corporación Créame — Incubadora y Aceleradora de Empresas
NIT    811.007.547-0
Domicilio    Medellín, Antioquia — Colombia
Dirección    Carrera 46 N.º 56-11, piso 11
Teléfono    (+57) 310 434 0088
Correo general    info@creame.com.co
Página web    www.creame.com.co

 

____________________________________________________________________________________________________________________________________________

[1] La Ley 1581 de 2012 tiene como objetivo: “[…] desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política […].

[2] Artículo 15 de la Constitución Política.

Síguenos

Recurso 9_4x.png
Recurso 10_4x.png
Recurso 11_4x.png
Recurso 12_4x.png
Recurso 13_4x.png
© 2026 CREAME · Todos los derechos reservados  | Política de Tratamiento de Datos

Contáctanos

Edificio Tecnoparque - Piso 11
Carrera 46 # 56 - 11
Medellín - Colombia

Suscríbete y recibe información sobre convocatorias, eventos y estudios especializados.
bottom of page