Política de protección y tratamiento de datos personales

1. Presentación institucional y objetivo de la política 

1.1 Naturaleza jurídica y principios educativos 

Genuine School es una institución educativa de la sociedad Genuine Lab Inc., identificada con EIN 30-1284629, domiciliada en Estados Unidos y con operaciones internacionales. Atendemos a estudiantes entre los 7 y 18 años, distribuidos en los niveles Elementary, Middle y High School, mediante un modelo académico digital, con enfoque en el emprendimiento, la innovación y la tecnología, global, seguro y respetuoso de los derechos de los menores y sus familias. 

Como institución comprometida con la formación integral, la innovación pedagógica y el uso ético de la tecnología, reconocemos que la protección de los datos personales es un pilar esencial de nuestra relación con estudiantes, familias, colaboradores, proveedores y terceros. 

1.2 Compromiso con la protección de datos personales 

Genuine School declara su compromiso institucional con el respeto, la protección y la correcta gestión de los datos personales de todos los titulares vinculados con nuestra actividad educativa. Este compromiso se refleja en la adopción de medidas técnicas, organizacionales y jurídicas, adecuadas para garantizar los principios de legalidad, transparencia, seguridad, confidencialidad, minimización y responsabilidad proactiva en el tratamiento de la información. 

1.3 Objetivo general de esta política 

El objetivo de esta política es establecer las directrices, principios, obligaciones y derechos que rigen el tratamiento de datos personales en Genuine School, de conformidad con las leyes nacionales e internacionales vigentes en materia de protección de datos personales, incluyendo el Reglamento General de Protección de Datos (GDPR – Unión Europea), la Ley 1581 de 2012 (Colombia), la Ley General de Protección de Datos Personales (LGPD – Brasil), la Children’s Online Privacy Protection Act (COPPA – EE.UU.), la Family Educational Rights and Privacy Act (FERPA – EE.UU.) y las mejores prácticas observadas en políticas de privacidad de instituciones educativas de referencia internacional. 

1.4 Alcance material, personal y territorial 

Esta política aplica a: 

• Todos los datos personales recolectados, almacenados, procesados, transmitidos, transferidos, usados o eliminados en el marco de las actividades académicas, administrativas, contractuales o promocionales de Genuine School; 

• Todos los titulares de datos personales, incluyendo estudiantes, padres de familia, representantes legales, docentes, personal administrativo, contratistas, proveedores, candidatos y usuarios externos que interactúen con la institución; 

• Todos los tratamientos realizados por plataformas, herramientas o proveedores tecnológicos contratados por la institución (como Microsoft, Amazon, BUK o META), independientemente de su ubicación geográfica; 

• Y en general, a todo tratamiento que se realice en el contexto de la operación educativa de Genuine School, sin importar el país desde donde se acceda o reciba el servicio. 

2. Marco normativo aplicable 

2.1 Normas internacionales y nacionales de referencia 

Genuine School, a pesar de estar legalmente domiciliada en Estados Unidos, ha adoptado como marco principal y rector de su sistema de protección de datos personales el Reglamento General de Protección de Datos Europeo (GDPR – Reglamento UE 2016/679), en virtud de su enfoque garantista, su aplicabilidad extraterritorial y su alineación con estándares internacionales de derechos fundamentales. 

Adicionalmente, esta política incorpora las siguientes normas, que resultan aplicables en función del tipo de titular, su país de residencia o la naturaleza específica del tratamiento: 

• Children’s Online Privacy Protection Act – COPPA (EE.UU.):
  Regula el tratamiento de datos personales de menores de 13 años, en particular cuando se utilizan plataformas digitales alojadas o procesadas en servidores estadounidenses. 

• Family Educational Rights and Privacy Act – FERPA (EE.UU.):
  Aplica a los registros educativos y derechos de acceso de estudiantes o representantes cuando estén vinculados a servicios educativos alojados o contratados desde EE.UU. 

• Ley 1581 de 2012 y Decreto 1377 de 2013 (Colombia):
  Aplicable cuando se trate de ciudadanos colombianos, operaciones de contratación local o cumplimiento de normas nacionales. 

• Ley General de Protección de Datos Personales – LGPD (Brasil, Ley 13.709/2018):
  Aplica a tratamientos relacionados con titulares en Brasil o a operaciones allí ejecutadas. 

2.2 Prevalencia y compatibilidad jurídica 

Para efectos interpretativos y operativos, el GDPR o Reglamento UE 2016/679 se entiende como norma base, mientras que las demás normas se consideran incorporadas complementariamente y serán aplicadas cuando: 

• Existan requisitos específicos más estrictos o detallados en una jurisdicción, 

• El titular se encuentre domiciliado en un país determinado, 

• El tipo de datos o plataforma tecnológica exija su aplicación. 

2.3 Principios rectores del tratamiento 

Genuine School adopta como principios obligatorios y transversales los siguientes: 

• Licitud, lealtad y transparencia 

• Limitación de la finalidad 

• Minimización de datos 

• Exactitud y actualización 

• Limitación del plazo de conservación 

• Integridad y confidencialidad 

• Responsabilidad proactiva (accountability) 

Estos principios, derivados principalmente del GDPR (art. 5) y reflejados en el resto de las normativas analizadas, constituyen la base ética y jurídica del tratamiento de datos en todas las actividades institucionales. 

3. Definiciones  

A efectos de la presente política, y en concordancia con el Artículo 4 del Reglamento General de Protección de Datos (GDPR – Reglamento UE 2016/679), la Ley 1581 de 2012 (Colombia, Art. 3), la LGPD de Brasil (Ley 13.709/2018, Art. 5) y demás normas aplicables, se adoptan las siguientes definiciones: 

• Dato personal: Toda información que permite identificar directa o indirectamente a una persona natural. Ejemplos: nombres, documentos de identidad, dirección IP, correos electrónicos, imágenes, identificadores en plataformas educativas, voz, entre otros. (Art. 4.1 GDPR / Art. 3.c Ley 1581 / Art. 5, I LGPD) 

• Dato personal sensible:  Información que afecta la intimidad del titular o cuyo uso indebido podría generar discriminación, como datos de salud, orientación sexual, creencias religiosas, biometría, etnia o afiliación política. (Art. 9 GDPR / Art. 3.d Ley 1581 / Art. 5, II y XI LGPD). 

• Dato personal de menor de edad: Información personal relativa a un niño, niña o adolescente. Se aplican protecciones reforzadas para menores de 18 años, y especialmente para los menores de 13 años en contextos virtuales, en cumplimiento de la normativa COPPA (EE.UU.) y los Art. 8 GDPR / COPPA Sec. 1302 y 1303 / FERPA Sec. 1232g / Art. 7 Ley 1581. 

• Titular de los datos: Persona natural a quien se refieren los datos personales objeto de tratamiento. En el caso de menores, la representación legal corresponde a sus padres o tutores. (Art. 4.1 GDPR / Art. 3.e Ley 1581 / Art. 5, V LGPD). 

• Responsable del tratamiento: Persona jurídica (en este caso, Genuine Lab Inc.) que decide sobre la finalidad y los medios del tratamiento de datos personales. (Art. 4.7 GDPR / Art. 3.f Ley 1581 / Art. 5, VI LGPD). 

• Encargado del tratamiento: Persona natural o jurídica que trata datos personales por cuenta del responsable. Ej.: plataformas contratadas, proveedores tecnológicos, operadores de CRM. (Art. 4.8 GDPR / Art. 3.g Ley 1581 / Art. 5, VII LGPD) 

• Consentimiento: Manifestación libre, específica, informada e inequívoca del titular mediante la cual acepta el tratamiento de sus datos personales. En el caso de menores, debe ser prestado por el representante legal y verificable técnicamente. (Art. 4.11 y 7 GDPR / Art. 7 Ley 1581 / Art. 5, XII y Art. 8 LGPD / COPPA Sec. 1303) 

• Tratamiento de datos: Cualquier operación o conjunto de operaciones sobre datos personales: recolección, almacenamiento, uso, transmisión, eliminación, etc. (Art. 4.2 GDPR / Art. 3.g Ley 1581 / Art. 5, X LGPD) 

• Violación de la seguridad de los datos personales: Toda brecha de seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso indebido a los datos personales. (Art. 4.12 GDPR / Art. 33 y 34 GDPR / Art. 48 LGPD). 

4. Responsables del tratamiento y gobernanza institucional de los datos 

Genuine School establece una estructura clara y proactiva para garantizar la protección de los datos personales que trata, integrando roles, funciones y mecanismos de supervisión, en cumplimiento del principio de responsabilidad proactiva establecido en el Reglamento General de Protección de Datos (GDPR – Art. 5.2 y 24). 

4.1 Responsable del tratamiento 

El tratamiento de los datos personales recolectados en el marco de las actividades académicas, administrativas o contractuales de Genuine School es responsabilidad de: 

Genuine Lab Inc.
Domicilio legal: Estados Unidos
Representante legal: Marcello Friedemann  

De acuerdo con el Artículo 4.7 del GDPR, Genuine Lab Inc. determina la finalidad y los medios del tratamiento, asumiendo el compromiso de garantizar la legalidad, seguridad, transparencia y respeto de los derechos de los titulares. 

4.2 Delegado de Protección de Datos (DPO) 

Genuine School ha designado formalmente un delegado de Protección de Datos conforme al Art. 37 del GDPR, responsable de: 

• Supervisar la aplicación de esta política y el cumplimiento normativo. 

• Atender consultas, reclamos y solicitudes de los titulares o sus representantes. 

• Ser punto de contacto con autoridades de control nacionales e internacionales. 

• Acompañar procesos de evaluación de impacto (DPIA) y revisiones internas. 

DPO designado:
Nombre: Natalia Arce Archbold
Identificación: C.C. 53.123.390
Correo: legal@genuinelab.us 

4.3 Comité de Seguridad de la Información 

Genuine School cuenta con un Comité de Seguridad de la Información, responsable de: 

• Evaluar y responder ante incidentes relacionados con la seguridad de la información. 

• Coordinar revisiones institucionales y acciones de mejora continua. 

• Validar estrategias preventivas y aprobar, cuando corresponda, evaluaciones de impacto. 

Este comité está conformado por representantes de las áreas académica, tecnológica, administrativa y de protección de datos. 

4.4 Encargados y terceros autorizados 

Toda plataforma, proveedor o aliado estratégico que trate datos personales por cuenta de Genuine School deberá: 

• Estar formalmente vinculado mediante acuerdos o cláusulas de confidencialidad y seguridad. 

• Cumplir con los estándares de protección aplicables en la jurisdicción correspondiente. 

• Cooperar con la institución en caso de incidentes o auditorías. 

4.5 Revisión, actualización y control de versiones 

La presente política será objeto de revisión periódica, como mínimo una (1) vez al año, y de manera extraordinaria cuando se presenten cualquiera de las siguientes circunstancias: 

• Modificaciones en la normatividad aplicable en materia de protección de datos personales, seguridad de la información o privacidad. 

• Implementación, modificación o adopción de nuevas tecnologías, plataformas, proveedores o tratamientos de datos personales que impacten el alcance de esta política. 

• Ocurrencia de incidentes de seguridad de la información, violaciones de datos personales o eventos relevantes que así lo ameriten. 

• Emisión de hallazgos, observaciones o recomendaciones derivadas de auditorías internas, externas o revisiones regulatorias. 

Todas las revisiones y actualizaciones de esta política serán coordinadas por el Delegado de Protección de Datos (DPO), en articulación con el Comité de Seguridad de la Información, garantizando su alineación con el Sistema de Gestión de Seguridad de la Información (SGSI), la normativa vigente y los principios de mejora continua. 

Cada actualización deberá quedar debidamente documentada mediante una tabla de control de versiones, que permita asegurar la trazabilidad, integridad y vigencia del documento, incluyendo como mínimo la siguiente información: 

 5. Categorías de datos tratados 

5.1 Por tipo de titular de los datos 

Genuine School recolecta, almacena y trata datos personales de diversos grupos de titulares, incluyendo tanto personas actualmente vinculadas con la institución como aquellas que participan en procesos preliminares (admisión, selección o contacto). Estas categorías incluyen: 

• Estudiantes y potenciales estudiantes: Menores de edad entre 7 y 18 años, inscritos o en proceso de admisión; estudiantes mayores de edad inscritos en Genuine. Se recolecta información académica, familiar, de salud, trazabilidad en plataformas, participación institucional y aspectos de desarrollo integral. 

• Padres, madres, representantes legales o tutores (y potenciales): Personas con responsabilidad legal o de acompañamiento frente a estudiantes actuales o aspirantes. Se recolectan datos identificativos, de contacto, firma electrónica, relación parental, dirección de residencia y declaraciones de consentimiento verificable. 

• Colaboradores, docentes, personal administrativo y contratistas: Personas vinculadas contractualmente con la institución, incluyendo docentes temporales, evaluadores y otros roles operativos. Se trata información contractual, de desempeño, cumplimiento y bienestar. 

• Proveedores, aliados estratégicos y externos: Personas naturales o jurídicas que prestan servicios a la institución, incluyendo operadores tecnológicos, asesores legales o empresas de bienestar. Se recolectan datos contractuales, de cumplimiento normativo y de contacto. 

• Candidatos en procesos de selección (docentes, administrativos, pasantes): Postulantes a vacantes institucionales, cuyos datos son recolectados en fases como preselección, pruebas, entrevistas, evaluaciones médicas o verificación de antecedentes. 

• Visitantes del sitio web, usuarios de formularios, eventos virtuales o campañas:
  Personas que interactúan digitalmente con Genuine School por canales web, ferias académicas, formularios de contacto, redes sociales, encuestas o campañas promocionales. Se recolectan datos de navegación, identificación, ubicación, formularios diligenciados y preferencias educativas. 

Adicionalmente, Genuine School podrá recibir datos personales de potenciales estudiantes y sus familias a través de aliados estratégicos, asesores educativos o instituciones aliadas, quienes garantizaran haber obtenido el consentimiento previo, informado y verificable de los titulares para la transferencia de dicha información. 

5.2 Por tipo de dato recolectado 

De acuerdo con el Artículo 4.1 y 9 del GDPR, el Artículo 3 de la Ley 1581, la LGPD (Art. 5, II y XIII), y el análisis funcional realizado en el SGSI, los tipos de datos tratados por Genuine School incluyen, entre otros, los siguientes: 

 5.3 Por nivel de sensibilidad (clasificación institucional SGSI) 

En coherencia con el Anexo 1 – Niveles de sensibilidad funcional y con base en el principio de minimización (Art. 5.1.c GDPR), Genuine School clasifica internamente los datos personales tratados en tres niveles de sensibilidad: 

Esta clasificación orienta las medidas técnicas y organizativas adoptadas para proteger los datos, conforme al principio de proporcionalidad y riesgo. 

6. Finalidades del tratamiento 

6.1 Finalidades académicas, administrativas, contractuales, tecnológicas y promocionales 

Genuine School recolecta y trata datos personales únicamente con finalidades legítimas, explícitas y determinadas, de acuerdo con los principios de limitación de la finalidad y minimización del tratamiento, establecidos en el artículo 5, numeral 1, literales b) y c) del Reglamento General de Protección de Datos de la Unión Europea (GDPR), y en el artículo 4 de la Ley 1581 de 2012 (Colombia). 

Las principales finalidades institucionales son: 

A. Finalidades académicas y formativas 

a. Gestionar integralmente el proceso de admisión, homologación y matrícula de estudiantes nacionales e internacionales, desde la recepción de solicitudes y verificación de requisitos, hasta la formalización de la inscripción y asignación de cursos. 

b. Administrar el progreso académico, incluyendo asistencia, evaluaciones, nivelaciones y reportes de desempeño, para garantizar un seguimiento continuo del aprendizaje. 

c. Diseñar y adaptar estrategias pedagógicas conforme a las necesidades, capacidades y contexto individual de cada estudiante, aplicando principios de atención personalizada y apoyo diferenciado. 

d. Registrar y documentar procesos de bienestar estudiantil, orientación escolar y acompañamiento psicosocial, con el fin de apoyar el desarrollo integral del alumno. 

e. Emitir, validar y custodiar certificados, constancias y títulos académicos, asegurando su autenticidad y trazabilidad. 

f. Facilitar el acceso, la navegación y el registro de actividad en plataformas educativas digitales (LMS), con el fin de medir la interacción, progreso y uso de recursos virtuales. 

En el marco de su misión educativa y en observancia del principio del interés superior del menor, Genuine School trata datos personales para desarrollar sus funciones académicas y de acompañamiento, conforme al artículo 6.1.e del Reglamento General de Protección de Datos de la Unión Europea (GDPR), a la Ley 1581 de 2012 (Colombia), a la Ley LGPD (Brasil) y a los principios educativos aplicables en cada jurisdicción. 

B. Finalidades administrativas y legales 

g. Gestionar relaciones contractuales con docentes, proveedores, colaboradores y terceros, desde su vinculación hasta la terminación del vínculo. 

h. Realizar procesos de selección y vinculación laboral o por prestación de servicios, incluyendo verificación de antecedentes judiciales, disciplinarios, académicos y laborales, así como la realización de exámenes médicos ocupacionales cuando lo requiera la ley. 

i. Cumplir con obligaciones legales y regulatorias derivadas de normativas educativas, laborales, tributarias, fiscales o de protección de datos, en cada jurisdicción donde Genuine School desarrolle actividades o utilice plataformas. 

j. Mantener la trazabilidad de operaciones internas y procesos de toma de decisiones, como medida de control institucional y rendición de cuentas. 

k. Responder a requerimientos formales de autoridades judiciales, administrativas o de control, entregando la información que sea legalmente exigida, previa verificación de procedencia. 

C. Finalidades tecnológicas, de seguridad y gestión de riesgos 

l. Controlar y registrar accesos a plataformas, sistemas, instalaciones y recursos digitales para prevenir intrusiones y accesos no autorizados. 

m. Implementar sistemas de monitoreo y detección de incidentes de ciberseguridad, realizando respaldos periódicos de información crítica y aplicando planes de respuesta ante brechas de seguridad. 

n. Desarrollar e implementar medidas de seguridad física y ocupacional, tales como control de ingreso a sedes, planes de evacuación, protocolos de salud y prevención de riesgos laborales. 

o. Analizar métricas de uso, rendimiento y disponibilidad de las plataformas institucionales, con el fin de optimizar la calidad del servicio educativo y la infraestructura tecnológica. 

D. Finalidades de atención y ejercicio de derechos de titulares 

p. Atender y gestionar solicitudes, quejas, reclamos, sugerencias y consultas formuladas por titulares de datos personales o sus representantes. 

q. Tramitar solicitudes de ejercicio de derechos ARCO (acceso, rectificación, cancelación, oposición) o de portabilidad de datos, garantizando su respuesta en los plazos y condiciones que establece la normativa aplicable. 

E. Finalidades de archivo, conservación y fines estadísticos 

r. Conservar datos y documentos por los plazos exigidos por la ley, los contratos o las políticas internas, para cumplir obligaciones académicas, administrativas, fiscales, laborales o judiciales. 

s. Mantener archivos históricos, estadísticos o de investigación educativa, aplicando, cuando corresponda, técnicas de anonimización o seudonimización para proteger la identidad de los titulares. 

F. Finalidades de formación y desarrollo del personal 

t. Gestionar programas de capacitación, actualización y desarrollo profesional de docentes, personal administrativo y contratistas. 

u. Evaluar desempeño, competencias y resultados del personal para garantizar la calidad académica y la mejora continua en los procesos institucionales. 

G. Finalidades de control de calidad y auditoría 

v. Realizar auditorías internas y externas en áreas académicas, administrativas y tecnológicas, para verificar el cumplimiento de requisitos normativos, contractuales y de estándares de calidad. 

w. Aplicar encuestas, entrevistas y otros instrumentos de retroalimentación para evaluar la satisfacción de estudiantes, familias, personal y otros grupos de interés. 

H. Finalidades promocionales y comunicacionales 

x. Contactar y dar seguimiento a potenciales estudiantes y familias interesadas en la propuesta educativa, brindando información sobre programas, actividades y requisitos. 

y. Diseñar y ejecutar campañas informativas, encuestas, ferias virtuales, eventos y publicaciones con fines institucionales, educativos o de difusión de actividades relevantes. 

z. Utilizar imágenes, testimonios y otros contenidos con fines pedagógicos, institucionales o promocionales, previa autorización libre, informada y expresa de los titulares o sus representantes legales. 

I. Finalidades de uso de imagen, voz y producciones intelectuales 

aa. Captar, grabar, reproducir, editar y difundir imágenes, voz, producciones audiovisuales y obras intelectuales en las que participen estudiantes, personal o terceros autorizados, con fines educativos, institucionales, promocionales o comerciales. 

bb. Publicar dicho material en redes sociales, sitios web, medios impresos o digitales, plataformas de terceros, eventos académicos y actividades institucionales, respetando los alcances y limitaciones establecidos en las autorizaciones correspondientes. 

cc. Gestionar la cesión de derechos patrimoniales y conexos, de manera gratuita o remunerada, cuando así lo dispongan los contratos o autorizaciones, conforme a la legislación aplicable en materia de propiedad intelectual y derechos de imagen. 

6.2 Correspondencia entre datos recolectados y finalidades autorizadas 

Genuine School se compromete a recolectar únicamente los datos necesarios y proporcionales a las finalidades declaradas, conforme al principio de minimización del tratamiento (artículo 5, numeral 1, literal c) del Reglamento General de Protección de Datos). 

Cualquier uso posterior o adicional de los datos requerirá un consentimiento explícito, informado y verificable del titular o de su representante legal. 

6.3 Reutilización, limitación y compatibilidad de finalidades 

Los datos recolectados no serán utilizados con finalidades distintas a las informadas inicialmente, salvo cuando: 

• El nuevo tratamiento sea compatible con la finalidad original (artículo 6, numeral 4 del Reglamento General de Protección de Datos), 

• Exista una obligación legal expresa, o 

• Se obtenga un nuevo consentimiento informado y verificable. 

7. Bases legales para el tratamiento 

Genuine School garantizará que todo tratamiento de datos personales se basa en un fundamento jurídico válido, documentado y verificable, conforme a lo establecido en el artículo 6 del Reglamento General de Protección de Datos (GDPR – Unión Europea), el artículo 5 de la Ley 1581 de 2012 (Colombia), el artículo 7 de la Ley General de Protección de Datos Personales (LGPD – Brasil) y otras normativas complementarias como la COPPA y FERPA (Estados Unidos). 

7.1 Consentimiento informado, libre y verificable 

Genuine School obtiene el consentimiento de manera libre, informada, específica y demostrable, conforme al artículo 6.1.a del GDPR, al artículo 7 de la Ley 1581 y al artículo 8 del GDPR cuando se trata de menores. 

En los casos en que el tratamiento no se encuentra amparado por una obligación legal o contractual, Genuine solicitará el consentimiento previo del titular o de su representante legal. Este consentimiento se recabará a través de formularios institucionales estructurados, que incluirán cláusulas de autorización y mecanismos de verificación. 

En el tratamiento de datos personales de menores de edad, el consentimiento es solicitado a los padres, madres o tutores, y su validez se respalda mediante controles de trazabilidad, registros electrónicos y archivos de respaldo institucional. 

El consentimiento podrá ser retirado en cualquier momento por el titular o su representante, sin que ello afecte la licitud del tratamiento previo a su retiro (art. 7.3 GDPR). 

En el caso de categorías especiales de datos (como salud, datos biométricos, convicciones religiosas), se aplicarán adicionalmente las condiciones previstas en el artículo 9.2 del GDPR, el artículo 11 de la LGPD y el artículo 6 de la Ley 1581. 

Este consentimiento aplica, para los tratamientos declarados y en particular para los siguientes: 

• Participación en formularios de admisión, contacto o encuestas voluntarias. 

• Uso de imágenes, audios, grabaciones o testimonios con fines promocionales o institucionales. 

• Inscripción en eventos, campañas, clubes o actividades extracurriculares. 

7.2 Ejecución de un contrato o medidas precontractuales 

Genuine School trata datos personales cuando resulta necesario celebrar, ejecutar o gestionar contratos suscritos con estudiantes, representantes, colaboradores o proveedores, en cumplimiento del artículo 6.1.b del GDPR y el artículo 5 de la Ley 1581. 

Esto incluye, para los tratamientos declarados y entre otras finalidades las siguientes: 

• Formalización del proceso de matrícula y homologación académica. 

• Cumplimiento de obligaciones contractuales con docentes, contratistas o proveedores. 

• Gestión de plataformas, contenidos y recursos digitales asociados al servicio educativo contratado. 

• Procesamiento de solicitudes previas a la contratación (admisión, cotizaciones, asesorías). 

• Gestión de cobros, facturación, pagos y conciliaciones financieras derivadas del contrato. 

7.3 Cumplimiento de una obligación legal 

Genuine School realiza tratamientos de datos cuando son requeridos por disposiciones legales nacionales o internacionales, conforme al artículo 6.1.c del GDPR y normas locales (como la Ley 1581 de Colombia). 

Algunos tratamientos sustentados en esta base legal son: 

• Reportes a autoridades educativas, fiscales o administrativas. 

• Verificación de identidad para fines legales o de certificación. 

• Conservación de registros académicos exigidos por normativa sectorial. 

• Respuesta a requerimientos formales de autoridades administrativas o judiciales. 

• Cumplimiento de tratados internacionales ratificados por los países donde opera, relacionados con reconocimiento académico, homologación o cooperación educativa. 

7.4 Protección de intereses vitales 

Cuando sea estrictamente necesario para salvaguardar la vida o integridad física de un estudiante, colaborador u otra persona vinculada, Genuine School tratará los datos pertinentes sin requerir consentimiento previo, conforme al artículo 6.1.d del GDPR. 

Este criterio podrá aplicarse, por ejemplo, en situaciones de emergencia médica, alertas relacionadas con la salud mental o riesgos psicosociales identificados por el equipo de bienestar institucional. Asimismo, será procedente su aplicación para preservar la seguridad digital o frente a amenazas graves, tales como casos de ciberacoso, amenazas de violencia o la ocurrencia de incidentes críticos que pongan en riesgo la integridad física, emocional o digital de los miembros de la comunidad. 

7.5 Cumplimiento de una misión en interés público 

En tanto institución educativa legalmente constituida y orientada al interés superior del menor, Genuine School puede tratar datos para cumplir con su función misional, de acuerdo con el artículo 6.1.e del GDPR y los principios educativos aplicables a cada jurisdicción. 

Esto incluye: 

• Seguimiento formativo, 

• Aplicación de evaluaciones, 

• Medidas de acompañamiento pedagógico y bienestar. 

• Participación en evaluaciones estandarizadas y pruebas oficiales requeridas por las autoridades educativas competentes. 

7.6 Interés legítimo del responsable del tratamiento 

Genuine School realiza ciertos tratamientos basados en su interés legítimo institucional, conforme al artículo 6.1.f del GDPR y al artículo 10 de la LGPD, siempre que: 

• No se vulneren los derechos fundamentales del titular, 

• Exista una finalidad clara y proporcional, 

• Y se pueda demostrar razonablemente el equilibrio entre los intereses institucionales y los derechos de los afectados. 

Esta base se aplica, por ejemplo: 

• Actividades de mejora de procesos educativos, 

• Evaluaciones internas de calidad, 

• Prevención de fraudes, 

• Análisis de desempeño institucional. 

• Protección de activos institucionales, defensa y ejercicio de derechos en procedimientos administrativos, judiciales o arbitrales, cuando sea necesario. 

En el caso de datos de menores de edad, el interés legítimo solo se aplica cuando se ha realizado previamente una evaluación de impacto en privacidad (DPIA) y se han implementado medidas de mitigación adecuadas. 

8. Consentimiento infantil y protección reforzada para menores 

Las disposiciones de este capítulo aplican a todo tratamiento de datos personales de menores de edad realizado por Genuine School, con independencia de la base legal que lo respalde, y constituyen medidas reforzadas de protección que complementan la política general de tratamiento de datos. 

8.1 Principio de protección prioritaria del menor 

Genuine School reconoce que los datos personales de menores de edad necesitan de una protección reforzada, de conformidad con el principio del interés superior del niño, reconocido por la Convención sobre los Derechos del Niño de las Naciones Unidas, tratados internacionales, el Artículo 8 del Reglamento General de Protección de Datos (GDPR), la Children’s Online Privacy Protection Act (COPPA) de los Estados Unidos, el Artículo 7 de la Ley 1581 de 2012 (Colombia) y el Artículo 14 de la Ley General de Protección de Datos (LGPD – Brasil). 

Como institución educativa que atiende a estudiantes entre los 7 y 18 años, Genuine implementa medidas técnicas, jurídicas y organizacionales específicas para garantizar que el tratamiento de datos infantiles sea: 

• Legal, 

• Proporcional, 

• Limitado a la finalidad educativa, 

• Y respaldado por consentimiento parental verificable. 

Estas medidas incluyen controles de acceso restringido, formación continua del personal en protección infantil y revisiones periódicas de los tratamientos que involucren datos de menores. 

8.2 Consentimiento verificable otorgado por el representante legal 

Para cualquier tratamiento que no se derive de una obligación legal o contractual, Genuine School exige que el consentimiento sea otorgado por el padre, madre o representante legal del menor de edad, y que dicho consentimiento pueda ser verificado y auditado institucionalmente, garantizando su trazabilidad, integridad y autenticidad. 

Previo al envío de la solicitud de consentimiento mediante plataforma de firma electrónica certificada, la institución verificará la identidad y el rol del firmante a través de: 

• Registro previo validado en el expediente del estudiante, que incluya nombre completo, número y tipo de documento de identidad, parentesco con el menor y datos de contacto (correo y teléfono) ya confirmados contra documento oficial. 

• Confirmación de canal seguro para el envío del consentimiento, usando únicamente direcciones de correo y/o teléfonos previamente validados. 

• Documentación en expediente de la verificación de identidad, con copia digital de los documentos y evidencia del parentesco. 

La plataforma utilizada para la captación, validación y registro del consentimiento parental deberá: 

• Incorporar cláusulas de autorización específicas y personalizadas para cada finalidad. 

• Permitir la verificación de la identidad del firmante mediante mecanismos de autenticación seguros. 

• Registrar metadatos esenciales, tales como fecha y hora de la firma, dirección IP, huella digital (hash) del documento y código único de verificación. 

• Generar un certificado digital de finalización que respalde la validez de la autorización en entornos judiciales y administrativos. 

Cláusula de adaptabilidad tecnológica: Genuine School podrá implementar, sustituir o mejorar las herramientas y mecanismos utilizados para la captación y verificación de consentimientos, siempre que cumplan con los estándares de autenticidad, integridad, trazabilidad y validez jurídica establecidos en la legislación aplicable y en la presente política. 

Derecho de revocatoria: El representante legal podrá retirar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo a su retiro, mediante solicitud escrita enviada a legal@genuinelab.us. Genuine School procesará la revocatoria en un plazo máximo de cinco (5) días hábiles, dejando evidencia documental del cumplimiento. 

Cuando el menor alcance la edad legal que le permita otorgar consentimiento autónomo en su jurisdicción, y cuente con capacidad suficiente para comprender el alcance del tratamiento, la institución solicitará su ratificación o renovación del consentimiento directamente. 

8.3 Requisitos reforzados para el tratamiento de datos de menores 

Genuine School adopta las siguientes medidas específicas cuando el tratamiento involucra datos personales de estudiantes menores de edad: 

• Minimización del tratamiento: Solo se recolectan los datos estrictamente necesarios para cumplir con la finalidad educativa o institucional. 

• Evaluación de impacto previa: En actividades de alto riesgo (evaluaciones psicológicas, tecnologías experimentales, seguimiento personalizado), se elabora una evaluación de impacto de privacidad. 

• Consentimiento separado y granular: Las finalidades opcionales (como uso de imágenes o participación en eventos) se separan del consentimiento general y requieren aceptación independiente. 

• Proveedores con garantías reforzadas: Solo se autorizan plataformas tecnológicas que ofrezcan garantías equivalentes de protección infantil conforme al GDPR o COPPA, exigiendo la firma de contratos o adendas de protección de datos con cláusulas específicas para menores (Data Processing Agreement). 

• Derecho a revocatoria: Los representantes pueden en cualquier momento revocar el consentimiento otorgado, sin efectos retroactivos, a través del canal legal@genuinelab.us. 

• Revisión periódica de la vigencia de los consentimientos otorgados, para verificar que siguen siendo aplicables y que las finalidades no han cambiado. 

8.4 Registro de evidencia y trazabilidad institucional 

Todos los consentimientos otorgados para el tratamiento de datos de menores son registrados en los sistemas institucionales de gestión documental y/o en los entornos LMS (plataformas de gestión del aprendizaje), con conservación de: 

• Fecha de emisión, 

• Medio utilizado (formulario, correo, contrato), 

• Identidad del representante, 

• Finalidad autorizada. 

• Huella digital (hash) del documento firmado como medida de integridad. 

En caso de revocatoria, el consentimiento se conservará archivado como evidencia histórica, marcado como “revocado” y con la fecha de terminación de efectos, en cumplimiento del principio de responsabilidad proactiva (art. 5.2 del GDPR). 

9. Derechos de los titulares y ejercicio 

9.1 Reconocimiento integral de los derechos 

Genuine School reconoce a todos los titulares de datos personales —incluyendo estudiantes, padres o representantes, colaboradores, candidatos y terceros— los siguientes derechos fundamentales sobre sus datos, conforme al: 

• Artículo 15 a 22 del Reglamento General de Protección de Datos (GDPR – UE) 

• Artículo 8 de la Ley 1581 de 2012 (Colombia) 

• Artículos 17 a 20 de la Ley General de Protección de Datos Personales (LGPD – Brasil) 

• Sección 1303 de la COPPA y Sección 1232g de la FERPA (EE.UU.) 

9.2 Derechos garantizados 

9.3 Procedimiento para ejercer los derechos 

Los titulares de datos personales, o sus representantes legales en el caso de menores de edad o personas incapaces, podrán ejercer en cualquier momento sus derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento, revocatoria del consentimiento y demás reconocidos por la ley, a través de los siguientes canales oficiales: 

• Correo electrónico institucional exclusivo para protección de datos: legal@genuinelab.us 

• Solicitudes escritas firmadas, remitidas electrónicamente con copia del documento de identidad del titular o representante legal, al canal institucional indicado. 

• Formularios web institucionales (cuando estén disponibles), que permitirán adjuntar la documentación de respaldo necesaria para acreditar la identidad y el derecho invocado. 

Toda solicitud deberá incluir la identificación completa del titular, la descripción clara y precisa del derecho que se desea ejercer, y la información o documentos que respalden la petición. Genuine School podrá requerir información adicional cuando sea necesario para verificar la identidad del solicitante. 

El plazo máximo de respuesta será de acuerdo con los plazos establecidos en el numeral 9.4 “Plazos de atención y condiciones.” 

9.4 Plazos de atención y condiciones 

Genuine School se compromete a: 

• Responder en un máximo de 30 días calendario, conforme al artículo 12.3 del GDPR. 

• Para solicitudes en Colombia, aplicar el plazo de 15 días hábiles según el Decreto 1377 de 2013. 

• Si la solicitud está incompleta o requiere subsanación, se notificará al solicitante en un máximo de 5 días hábiles. 

Todas las solicitudes serán tramitadas sin costo, salvo cuando se requieran copias físicas o certificadas, en cuyo caso se aplicará el costo de reproducción. 

10. Transferencias y transmisiones internacionales de datos 

10.1 Contexto institucional 

Genuine School desarrolla sus actividades como institución educativa con presencia internacional y opera con un ecosistema tecnológico que incluye múltiples plataformas y proveedores de servicios ubicados fuera del país de origen de los titulares de los datos, especialmente en los Estados Unidos. 

Por lo tanto, parte del tratamiento de los datos personales recolectados implica su transmisión o transferencia internacional en condiciones que garanticen un nivel adecuado de protección, en estricto cumplimiento de las normas aplicables y de los principios de legalidad, proporcionalidad y responsabilidad proactiva 

10.2 Definiciones aplicables 

• Transferencia internacional de datos: envío de datos a otro país, para que sean tratados por un responsable del tratamiento distinto (GDPR art. 44). 

• Transmisión internacional: envío a un encargado del tratamiento que actúa por cuenta del responsable, pero ubicado fuera del país (Ley 1581 de 2012). 

10.3 Reglas aplicadas por Genuine School 

Genuine School asegura que todas las transferencias y transmisiones internacionales de datos: 

• Se realizan únicamente cuando son necesarias, proporcionales y compatibles con las finalidades previamente autorizadas por el titular. 

• Se formalizan mediante contratos de transmisión o Cláusulas Contractuales Tipo (SCCs) que garanticen un nivel de protección equivalente al exigido por: 

• • Art. 46.2 del GDPR (cláusulas tipo de la Comisión Europea), 

• • Art. 33 de la Ley 1581 de Colombia, 

• • Art. 33–36 de la LGPD (Brasil). 

• Se restringen a países o proveedores que cuenten con decisiones de adecuación, certificaciones o garantías contractuales equivalentes, tales como las adoptadas por la Comisión Europea. 

• En el caso de Estados Unidos, Genuine School verifica que los proveedores estén: 

• • Sujetos a legislación sectorial aplicable, como la FERPA (Family Educational Rights and Privacy Act) en materia educativa y la COPPA (Children’s Online Privacy Protection Act) para protección de menores. 

• • Cubiertos por cláusulas contractuales estándar o por mecanismos internacionales de certificación, como el Data Privacy Framework adoptado en julio de 2023 por la Comisión Europea para las transferencias de datos UE–EE.UU. 

10.4 Plataformas utilizadas y países de destino 

Actualmente, Genuine School utiliza los siguientes servicios o plataformas que pueden implicar tratamiento internacional: 

10.5 Medidas de protección implementadas 

Para garantizar la seguridad y legalidad de estas transferencias y transmisiones internacionales, Genuine School: 

• Exige la suscripción de acuerdos de tratamiento de datos (Data Processing Agreements – DPA) con cada proveedor, incorporando cláusulas de confidencialidad y de cumplimiento normativo internacional. 

• Implementa medidas técnicas y organizativas adecuadas, tales como cifrado de datos en tránsito y en reposo, autenticación multifactor, segregación de entornos y control de accesos basado en roles. 

• Realiza auditorías y verificaciones periódicas sobre el cumplimiento de buenas prácticas, normas internacionales de seguridad y requisitos contractuales por parte de los encargados y responsables internacionales. 

• Mantiene un registro actualizado de todas las transferencias y transmisiones internacionales realizadas, incluyendo la base legal que las respalda, el país de destino, el proveedor, la finalidad y las garantías de protección implementadas. 

11. Seguridad y confidencialidad de la información 

Genuine School reconoce que la seguridad de la información constituye un componente esencial para la protección efectiva de los datos personales y el respeto de los derechos fundamentales de sus titulares. Por ello, ha adoptado un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con la norma internacional ISO/IEC 27001, integrando medidas técnicas, organizativas, de personas  y contractuales para garantizar el cumplimiento normativo y la mitigación de riesgos. 

11.1 Principios de seguridad aplicables 

Toda actividad de tratamiento de datos personales en Genuine School se encuentra sujeta a los siguientes principios operativos de seguridad: 

• Confidencialidad: Los datos solo son accesibles para personal debidamente autorizado, conforme a roles, perfiles y privilegios definidos en el modelo de control de accesos institucional. 

• Integridad: Se preserva la exactitud, completitud y consistencia de los datos durante todo su ciclo de vida, evitando alteraciones no autorizadas. 

• Disponibilidad: Los datos están disponibles para los usuarios autorizados cuando sean requeridos. 

• Trazabilidad: Toda acción sobre datos personales es registrada con fecha, usuario, tipo de acceso y justificación. 

• Minimización de exposición: Se evita el tratamiento innecesario de datos, limitando su circulación interna y externa. 

• Seguridad adaptada al riesgo: Las medidas técnicas y organizacionales se ajustan al nivel de sensibilidad y criticidad del dato tratado. 

11.2 Clasificación de datos y niveles de control 

En complemento a la clasificación institucional por niveles de sensibilidad establecida en el numeral 5.3 y en el Anexo 1, Genuine School dispone que dicha clasificación es un criterio operativo vinculante para la aplicación de salvaguardas específicas. 

En particular: 

• Los manuales y procedimientos del SGSI detallan los controles técnicos, organizativos, físicos y contractuales aplicables a cada nivel, incrementando su exigencia desde el nivel Público hasta el nivel Reservado. 

• La gestión de accesos se asigna según el nivel de clasificación y la función del usuario, evitando accesos innecesarios o no autorizados. 

• La circulación, almacenamiento y transmisión de la información se ejecuta bajo mecanismos de protección coherentes con su clasificación, incluyendo cifrado, autenticación multifactor y segmentación de entornos cuando corresponda. 

• Se implementan mecanismos de trazabilidad y auditoría para registrar y supervisar cualquier acceso, modificación o transmisión de datos clasificados. 

• Las medidas se revisan y actualizan periódicamente, teniendo en cuenta cambios tecnológicos, actualizaciones normativas y resultados de evaluaciones de riesgo institucional. 

De esta forma, la clasificación de datos es un instrumento de gestión activa que orienta y condiciona las decisiones relacionadas con la seguridad y confidencialidad de la información en Genuine School. 

12. Violaciones de seguridad y notificación de incidentes 

Genuine School reconoce que la ocurrencia de incidentes de seguridad que afecten la confidencialidad, integridad o disponibilidad de los datos personales puede tener impactos significativos en los derechos de los titulares. Por ello, ha adoptado una política institucional de gestión de incidentes y notificación de brechas, alineada con la normativa internacional y con el principio de responsabilidad proactiva. 

12.1 ¿Qué se considera una violación de seguridad? 

Una violación de la seguridad de los datos personales es cualquier incidente que ocasione, de manera accidental o ilícita: 

• Acceso no autorizado a datos personales, 

• Pérdida, destrucción, alteración o divulgación no autorizada de datos, 

• Interrupción no planificada del acceso legítimo a datos protegidos. 

12.2 Medidas de respuesta institucional 

Ante cualquier indicio o confirmación de una violación de seguridad, Genuine School activará su Protocolo de Gestión de Incidentes del SGSI, que contempla: 

• Identificación y contención inmediata del incidente. 

• Evaluación del alcance, tipo de datos comprometidos y posibles afectados. 

• Documentación completa del evento, con fecha, origen, causa y evidencia técnica. 

• Notificación interna inmediata al Comité de Seguridad y al DPO. 

• Aplicación de medidas correctivas y preventivas para mitigar el daño y evitar recurrencia. 

12.3 Notificación a autoridades y titulares  

Conforme al artículo 33 del Reglamento General de Protección de Datos (GDPR), Genuine School se compromete a: 

• Notificar a la autoridad de control competente (SIC, ANPD, Supervisores UE, etc.) dentro de las 72 horas siguientes al conocimiento del incidente, si existe riesgo para los derechos de los titulares. 

La notificación incluirá: 

• Naturaleza del incidente y tipo de datos comprometidos. 

• Número estimado de titulares afectados. 

• Consecuencias potenciales del incidente. 

• Medidas adoptadas para mitigar los efectos. 

Si el incidente representa un alto riesgo para los derechos de los titulares, se realizará una comunicación directa, clara y oportuna a los afectados, conforme al artículo 34 del GDPR, por medio institucional trazable. 

12.4 Registro y trazabilidad de incidentes 

Todos los incidentes serán registrados en el Registro Interno de Incidentes de Seguridad, que incluirá: 

• Fecha y hora del hallazgo. 

• Canal de detección. 

• Datos comprometidos. 

• Evaluación del impacto. 

• Medidas adoptadas. 

• Responsable asignado. 

Este registro será conservado conforme a la política de conservación documental y será supervisado por el Delegado de Protección de Datos y el Comité de Seguridad de la Información. 

13. Evaluaciones de Impacto en la Privacidad (DPIA) 

Genuine School reconoce que determinados tratamientos de datos personales, que, por su naturaleza, alcance, contexto o fines, pueden generar riesgos elevados para los derechos y libertades de los titulares, especialmente cuando se trata de menores de edad, tecnologías emergentes (IA) o datos sensibles. Por ello, ha adoptado como medida preventiva y de cumplimiento la realización de Evaluaciones de Impacto en la Privacidad (DPIA – Data Protection Impact Assessments), conforme a los artículos 35 y 36 del Reglamento General de Protección de Datos (GDPR) y la norma internacional ISO/IEC 29134. 

14. Referencias cruzadas a módulos y avisos específicos 

En atención al principio de transparencia diferenciada y al deber institucional de proporcionar información clara, específica y accesible a cada grupo de titulares, Genuine School ha diseñado una serie de documentos complementarios (avisos de privacidad), dirigidos a los distintos perfiles que interactúan con la institución. 

Estos módulos permiten detallar, en un lenguaje adaptado y con enfoque contextualizado, los aspectos más relevantes del tratamiento de datos personales según el rol del titular, las finalidades específicas, los derechos aplicables y los mecanismos disponibles para su ejercicio. 

Los siguientes documentos forman parte integral de la presente política y estarán disponibles para su consulta a través de los canales oficiales de la institución: 

Nota: 

Cada módulo será revisado y actualizado con la misma periodicidad que esta política general, y deberá citar explícitamente la fecha de su última modificación y su vinculación con el Delegado de Protección de Datos (DPO) como punto de contacto institucional.