---

RESOLUCIÓN No. 0551

(Octubre 22 de 2025)

"Por medio de la cual se adopta la Política Institucional de Uso, Tratamiento y Protección de Datos Personales de la Lotería de Boyacá."

 

EL GERENTE DE LA LOTERÍA DE BOYACÁ,

En uso de sus atribuciones legales y, en especial, las conferidas por los Decretos Ordenanzales No. 000722 de 1996 y 1366 de 2004, y,

 

CONSIDERANDO:

La Lotería de Boyacá es una Empresa Industrial y Comercial del Estado del orden departamental, con autonomía administrativa y financiera, cuya misión es la administración, operación y comercialización de juegos de suerte y azar, destinando sus utilidades a la financiación del sistema de salud del Departamento, en cumplimiento de lo dispuesto en el artículo 336 de la Constitución Política de Colombia¹.

 

En desarrollo de sus funciones misionales, contractuales y administrativas, la Entidad recolecta, almacena, utiliza, circula y suprime información personal correspondiente a clientes, ganadores, contratistas, proveedores, distribuidores, funcionarios y ciudadanos, por lo cual está sujeta al cumplimiento de la normatividad vigente en materia de protección y uso de datos personales.

 

Que el artículo 15 de la Constitución Política reconoce el derecho fundamental al hábeas data, mediante el cual toda persona puede conocer, actualizar y rectificar la información que sobre ella se haya recogido en bases de datos o archivos, y dispone que el tratamiento de dicha información debe realizarse con respeto a los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso restringido y seguridad.

Que la Ley Estatutaria 1581 de 2012 desarrolla este derecho constitucional, estableciendo los principios y disposiciones generales aplicables al tratamiento de datos personales, e imponiendo a los responsables y encargados del tratamiento, el deber de garantizar la seguridad, confidencialidad y licitud de la información bajo su custodia.

Que el Decreto 1377 de 2013 reglamenta parcialmente la Ley 1581 de 2012 y define las condiciones operativas y procedimentales que deben observarse en materia de autorización, uso, circulación y supresión de datos personales.

Que la Ley 2300 de 2023 establece disposiciones para el uso responsable de datos personales en el envío de información comercial, publicitaria o de cobranza, delimitando horarios, medios de contacto y derechos de los titulares frente a los responsables del tratamiento.

Que la Superintendencia de Industria y Comercio (SIC), mediante la Circular Externa No. 03 de 2023, impartió instrucciones sobre la gestión y reporte de incidentes de seguridad relacionados con datos personales, así como sobre la adopción de políticas internas que promuevan la cultura de protección y la gobernanza de la información.

Que, en cumplimiento de los principios de planeación, responsabilidad, transparencia y control interno, la Lotería de Boyacá considera necesario adoptar una Política Institucional de Uso y Protección de Datos Personales, como instrumento de gestión que garantice el tratamiento legítimo, seguro, controlado y transparente de la información de los titulares.

Que dicha política fue revisada y avalada por el Comité Institucional de Gestión y Desempeño, y cuenta con el visto bueno de la Gerencia General para su adopción formal.

 

RESUELVE:

CAPÍTULO I

DISPOSICIONES GENERALES

 

Artículo 1. Objeto. En cumplimiento de su función social de administración, operación y comercialización de juegos de suerte y azar la Lotería de Boyacá establece los lineamientos y responsabilidades que debe observar para garantizar el tratamiento legítimo, seguro, controlado y transparente de los datos personales.

Artículo 2. Alcance. Esta política aplica a todos los procesos, funcionarios, contratistas, proveedores, distribuidores, clientes, ganadores y demás personas naturales cuyos datos personales sean tratados por la Lotería de Boyacá.

Artículo 3. Marco normativo. La presente política se fundamenta en:

NORMA	ALCANCE
Constitución Política de Colombia - Artículos 15 y 20	Establece los derechos fundamentales a la intimidad personal y familiar, y al buen nombre, así como la obligación del Estado y de los particulares de respetarlos y garantizarlos. Es el marco superior para la protección de los datos personales.
Ley 1581 de 2012	Desarrolla el derecho constitucional de las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos. Establece los principios, derechos y procedimientos para el tratamiento de datos personales.
Decreto 1377 de 2013	Reglamenta parcialmente la Ley 1581 de 2012. Define aspectos operativos del manejo de datos personales, los mecanismos de autorización para el tratamiento y las políticas de privacidad
Ley 2300 de 2023	Regula los límites y condiciones en que las entidades públicas y privadas pueden contactar a los titulares de datos personales, estableciendo horarios, medios autorizados y derechos de los ciudadanos frente a la información comercial o de cobranza.
Circular Externa 03 de 2023 - Superintendencia de Industria y Comercio (SIC)	Impartió instrucciones sobre la gestión y reporte de incidentes de seguridad relacionados con datos personales, las buenas prácticas en el tratamiento de la información y las obligaciones de las organizaciones en materia de protección de datos.

 

Artículo 4. Definiciones. 

TÉRMINO	DEFINICIÓN
Autorización	Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
Aviso de Privacidad	Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
Base de Datos	Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
Dato personal	Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato sensible	Información que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, como datos sobre origen racial, orientación política, salud, vida sexual, creencias religiosas o biometría.
Titular	Persona natural cuyos datos personales son objeto de tratamiento.
Responsable del tratamiento	Persona natural o jurídica, pública o privada, que decide sobre la base de datos y/o el tratamiento de los datos.
Reclamo	Solicitud del Titular del dato o de las personas autorizadas por éste o por la Ley para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la Ley.
Encargado del tratamiento	Persona natural o jurídica, pública o privada, que realiza el tratamiento de datos personales por cuenta del responsable.
Términos y Condiciones	Marco general en el cual se establecen las condiciones para los participantes de actividades promocionales o afines.
Transmisión	Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
Tratamiento	Cualquier operación o conjunto de operaciones sobre datos personales, como recolección, almacenamiento, uso, circulación o supresión.

(Nota: La definición de "Autorización" aparece dos veces en el documento original)

CAPÍTULO II

 APLICACIÓN Y LIMITACIÓN DE LOS PRINCIPIOS DE PROTECCIÓN Y USO DE DATOS PERSONALES Y FINALIDADES DEL TRATAMIENTO

Artículo 6. Finalidades del tratamiento. La Lotería de Boyacá tratará los datos personales para el cumplimiento de sus funciones legales, contractuales y administrativas, incluyendo la gestión de clientes, distribuidores, proveedores, empleados, atención al ciudadano, promoción y control interno.

Artículo 7. Principio de legalidad.

El tratamiento y uso de datos personales por parte de la Lotería de Boyacá se realizará exclusivamente en el marco de las competencias legales y contractuales conferidas a la Entidad.

•  7.1 Aplicación: Ningún funcionario o contratista podrá recolectar, usar o divulgar información personal sin una base jurídica o autorización previa del titular.

•  7.2 Limitación: Todo procedimiento que involucre datos personales deberá estar respaldado por un formato, acto administrativo, contrato o documento con fundamento normativo (Ley 1581 de 2012, Decreto 1377 de 2013). 

   

Artículo 8. Principio de finalidad.

Los datos personales serán utilizados únicamente para los fines legítimos, explícitos y previamente informados al titular.

•  8.1 Funcionarios y contratistas: Solo podrán usar los datos para fines relacionados con el cargo. El contrato, el cual autoriza e uso de datos personales al aceptar el contrato en la plataforma SECOP II.

•  8.2 Compradores, distribuidores y ciudadanos: Sus datos se emplearán exclusivamente para la ejecución de operaciones de venta, sorteos, pago de premios, atención al ciudadano o campañas institucionales previamente autorizadas.

•  8.3 Limitación: Está prohibido reutilizar los datos para fines distintos a los comunicados al titular, así como compartirlos con terceros no autorizados.

   

   

Artículo 9. Principio de libertad.

El tratamiento de los datos personales requiere consentimiento previo, expreso e informado del titular.

• 9.1 Funcionarios: La Entidad obtendrá autorización para el manejo de datos laborales, nómina, control disciplinario y bienestar, garantizando que la información no se utilice con fines distintos a los legales.

•  9.2 Ciudadanía y compradores: Toda recolección de datos en formularios, plataformas o sorteos deberá incluir aviso de privacidad y autorización expresa. 

• 9.3 Menores de edad: El tratamiento de datos de menores solo se realizará con autorización de sus representantes legales y cuando persiga fines legítimos y de protección de derechos fundamentales.

•  9.4 Limitación: No se podrá condicionar la participación en actividades comerciales o promocionales al suministro obligatorio de datos sensibles o innecesarios.

Artículo 10. Principio de veracidad o calidad.

La información recolectada debe ser veraz, completa, exacta, actualizada y comprobable.

•  10.1 Aplicación: Los responsables del tratamiento deben verificar la autenticidad de los datos mediante documentos oficiales o validaciones tecnológicas.

•  10.2 Limitación: Se prohíbe conservar información desactualizada, duplicada o inexacta que afecte al titular. El área que detecte inconsistencias está obligada a corregirlas en un plazo no superior a diez (10) días hábiles. 

Artículo 11. Principio de transparencia.

El titular podrá conocer en todo momento el uso y tratamiento de sus datos personales.

•  11.1 Aplicación: La Lotería garantizará canales visibles y accesibles para consultas, reclamos y solicitudes de actualización o supresión.

•  11.2 Limitación: La negativa a suministrar información al titular solo será procedente cuando se trate de datos reservados por mandato legal o judicial.

Artículo 12. Principio de seguridad.

La Lotería de Boyacá implementará medidas técnicas, humanas y administrativas que aseguren la confidencialidad y protección contra pérdida, acceso no autorizado, alteración o uso indebido.

•  12.1 Funcionarios y contratistas: Están obligados a mantener reserva sobre la información a la que accedan, incluso después de terminado su vínculo laboral o contractual.

•  12.2 Aplicación tecnológica: Toda base de datos deberá contar con controles de acceso, cifrado, respaldo y monitoreo de incidentes conforme a la Circular Externa 03 de 2023 de la SIC.

•  12.3 Limitación: Cualquier filtración o uso indebido de información personal será considerado falta disciplinaria o causal de terminación contractual.

   

   

Artículo 13. Principio de confidencialidad.

La información personal bajo custodia de la Entidad se considera de carácter reservado.

•  13.1 Funcionarios y contratistas: Tienen deber permanente de confidencialidad y prohibición de divulgar o transferir datos sin autorización del titular o fundamento legal.

•  13.2 Aplicación institucional: Las dependencias deberán clasificar la información según su nivel de reserva y mantener registros de acceso controlado.

•  13.3 Limitación: Se exceptúan de esta reserva los casos en los que medie requerimiento judicial o de autoridad competente conforme al artículo 15 de la Constitución y la Ley 1712 de 2014.

Artículo 14. Principio de proporcionalidad y necesidad.

Solo se recolectará la información estrictamente necesaria para el cumplimiento de las funciones institucionales.

•  14.1 Aplicación: Los formularios, contratos y sistemas deberán diseñarse bajo el criterio de "mínimo necesario", evitando la recolección de datos irrelevantes o sensibles.

•  14.2 Limitación: No podrá exigirse información que no guarde relación directa con el objeto contractual, laboral o comercial del vínculo con la Entidad.

   

Artículo 15. Tratamiento de datos de menores de edad.

La Lotería de Boyacá reconoce la especial protección constitucional de los menores de edad (artículo 44 de la Constitución Política) y se compromete a:

1. Tratar sus datos únicamente cuando sea necesario para la ejecución propia de las actividades comerciales, educativas y de la que por su condición especial pudiese llegar a tener contacto con menores de edad.

2. Obtener autorización expresa de los padres, tutores o representantes legales.

3. Garantizar que el uso de sus datos no comprometa su integridad física, psicológica o moral.

4. Evitar la divulgación pública o el almacenamiento en plataformas digitales sin mecanismos de anonimización.

    

    

Artículo 16. Principio de acceso y circulación restringida.

El acceso a los datos personales solo se concederá a personas autorizadas y para los fines previstos.

•  16.1 Aplicación: Las bases de datos institucionales estarán sujetas a control de perfiles y trazabilidad de acceso.

•  16.2 Limitación: Se prohíbe la circulación libre o pública de información personal en medios impresos, digitales o electrónicos.

   

Artículo 17. Control y seguimiento.

El cumplimiento de los principios aquí descritos será objeto de verificación permanente por el Comité Institucional de Gestión y Desempeño, el cual deberá incluir en sus informes anuales un apartado específico sobre el estado de cumplimiento de la política de uso y protección de datos personales.

 

CAPÍTULO III

DERECHOS Y DEBERES

 

Artículo 18. Derechos de los titulares de los datos personales.

Los titulares de los datos personales tratados por la Lotería de Boyacá gozarán de los derechos consagrados en la Constitución Política, la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013, la Ley 2300 de 2023, y las disposiciones complementarias de la Superintendencia de Industria y Comercio (SIC).

En particular, tendrán derecho a:

1. Conocer, acceder y obtener información sobre los datos personales que reposen en las bases de datos de la Entidad a su nombre.

2. Solicitar actualización, corrección o rectificación de los datos inexactos, parciales, incompletos o que conduzcan a error.

3. Solicitar la supresión o eliminación de sus datos cuando considere que no están siendo tratados conforme a los principios y garantías constitucionales o legales, salvo cuando exista deber legal o contractual que impida su eliminación.

4. Revocar la autorización otorgada para el tratamiento de sus datos personales, siempre que no exista obligación legal o contractual que lo impida.

5. Ser informado del uso que se le ha dado a sus datos personales, previa solicitud escrita o electrónica.  

6. Presentar quejas o reclamos ante a la Subgerencia Financiera y Administrativa por infracciones al régimen de protección de datos personales. 

7. Ejercer su derecho al olvido, conforme a las disposiciones vigentes, cuando el tratamiento pierda su finalidad o relevancia para el interés público.

   Parágrafo 1. Cuando el titular sea menor de edad, los derechos aquí previstos podrán ser ejercidos por sus padres, tutores o representantes legales, en los términos del artículo 44 de la Constitución Política y la Ley 1098 de 2006 (Código de Infancia y Adolescencia).

Artículo 19. Deberes de la Lotería de Boyacá como responsable y encargada del tratamiento.

La Lotería de Boyacá, en su calidad de responsable del tratamiento de datos personales, deberá:

1. Garantizar al titular el pleno y efectivo ejercicio de sus derechos en todo momento.

2. Solicitar y conservar la autorización previa, expresa e informada otorgada por el titular para el tratamiento de sus datos. 

3. Informar claramente la finalidad del tratamiento de los datos personales, especificando los usos autorizados.

4. Conservar la información bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta o acceso no autorizado.

5. Adoptar medidas administrativas, técnicas y humanas que garanticen la seguridad de las bases de datos y reduzcan los riesgos de incidentes de información.

6. Capacitar y sensibilizar al personal sobre el manejo ético y seguro de los datos personales.

7. Implementar mecanismos de trazabilidad que permitan auditar el acceso, modificación o eliminación de datos.

8. Atender en los plazos legales las consultas, peticiones o reclamos de los titulares (10 días hábiles para consultas y 15 días hábiles para reclamos, prorrogables según la Ley 1581 de 2012). 

9. Reportar incidentes de seguridad relacionados con el tratamiento de datos personales a la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes a su detección. 

10. Abstenerse de circular información personal que no cuente con autorización o no corresponda a la finalidad previamente informada.

11. Implementar un registro interno de tratamiento de datos personales que documente las operaciones realizadas por cada dependencia.

12. Promover la cultura de privacidad institucional, articulada con la Política de Seguridad de la Información y la Política Antifraude de la Entidad.

    Parágrafo. La Lotería será solidariamente responsable con los encargados del tratamiento que contrate, quienes deberán suscribir cláusulas contractuales de confidencialidad y seguridad conforme al régimen legal.

 

CAPÍTULO IV

GESTIÓN DE INCIDENTES Y SEGURIDAD DE LA INFORMACIÓN 

 

Artículo 20. La Lotería de Boyacá implementará controles tecnológicos, físicos y administrativos orientados a prevenir, detectar y mitigar los riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de los datos personales.

Todo evento que comprometa la seguridad de la información deberá ser reportado de inmediato al área de Planeación y a la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes a su detección, conforme a lo establecido en la Circular Externa No. 03 de 2023.

La Entidad adoptará medidas de seguridad basadas en los estándares internacionales ISO/IEC 27001 y en el Modelo de Seguridad y Privacidad de la Información (MSPI) del Ministerio TIC, garantizando trazabilidad, control de acceso, cifrado y respaldo periódico de la información.

 

CAPÍTULO V 

AUTORIZACIÓN

Artículo 21. Autorización para el tratamiento de datos personales. La Lotería de Boyacá solicitará autorización previa, expresa e informada a los titulares de los datos personales antes de realizar cualquier tratamiento.

Esta manifestación de voluntad podrá otorgarse mediante los siguientes mecanismos:

• Por escrito, diligenciando el formato de autorización de la Lotería de Boyacá (RGS-10).

• De forma oral, en conversaciones telefónicas o videoconferencias que queden debidamente registradas.

• Por conductas inequívocas, que permitan concluir que el titular otorgó su autorización, tales como la aceptación de términos y condiciones en plataformas digitales o formularios de participación.

  Parágrafo. En ningún caso la Lotería de Boyacá asimilará el silencio del titular a una conducta inequívoca de autorización.

 

CAPÍTULO VI

 TRATAMIENTO Y SEGURIDAD DE LOS DATOS PERSONALES

 Artículo 22. Tratamiento en canales digitales. El tratamiento de datos a través de medios digitales y redes sociales se realizará garantizando la protección de los titulares, en cumplimiento de la Circular Externa 03 de 2023 de la Superintendencia de Industria y Comercio.

Artículo 23. Medidas de seguridad. La Lotería de Boyacá implementará medidas técnicas, humanas y administrativas para proteger los datos personales contra pérdida, uso indebido o acceso no autorizado.

Artículo 24. Gobernanza y responsabilidades. El Comité Institucional de Gestión y Desempeño supervisará el cumplimiento de esta política¹¹⁴. El área de Planeación liderará su implementación y seguimiento, con apoyo de Gestión de Sistemas y Jurídica.

CAPÍTULO VII

ATENCIÓN AL TITULAR Y SEGUIMIENTO

 Artículo 27. Plan de implementación y seguimiento. El área de Planeación elaborará un plan de seguimiento con indicadores que se presentan a continuación, y presentará informes anuales al Comité Institucional de Gestión y Desempeño.

No	Indicador	Fórmula / Descripción	Periodicidad	Responsable	Meta sugerida
1	Cumplimiento de registro de bases de datos	(Bases registradas / Total de bases identificadas) × 100	Anual	Sistemas	100%
2	Cumplimiento de capacitación en protección de datos	(Funcionarios capacitados / Total de funcionarios) × 100	Anual	Talento Humano Sistemas	100%
3	Número de incidentes de seguridad atendidos dentro del plazo legal	(Incidentes atendidos en ≤15 días / Total de incidentes) × 100	Trimestral	Sistemas / Jurídica	100%
4	Tiempo promedio de respuesta a solicitudes de titulares	( días de atención / N.º de solicitudes)	Trimestral	Servicio al Ciudadano	≤ 15 días
5	Nivel de cumplimiento del plan de seguimiento de la política	(Actividades ejecutadas / Actividades programadas) × 100	Anual	Planeación	100%

 

CAPÍTULO VIII- DIVULGACIÓN, ACTUALIZACIÓN Y VIGENCIA

 Artículo 14. Divulgación y actualización. La política será divulgada en la página web institucional y revisada cada dos (2) años o cuando se presenten cambios normativos o tecnológicos.

Artículo 15. Vigencia. La presente política entra en vigencia a partir de la publicación de esta resolución y deroga disposiciones que le sean contrarias.

 

NOTIFIQUESE, COMUNÍQUESE Y CÚMPLASE

Dada en Tunja, a los veintidós 22 días del mes de Octubre de 2025.

DIEGO FABIÁN HERNÁNDEZ RUIZ 

Gerente General