POLÍTICA DE PRIVACIDAD, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES

Introducción

 

Con el objetivo de dar cumplimiento a la legislación vigente en materia de protección de datos, en especial las disposiciones contenidas en el literal k) del artículo 17 de la Ley 1581 de 2012 y a los Decretos 1377 de 2013 y el Decreto Único 1074 de 2015 así como las demás normas complementarias y las diversas decisiones proferidas por la Superintendencia de Industria y Comercio sobre el tema, la sociedad KIDS S.A.S (En adelante ”La Compañía”), identificada con NIT. 830056225-2 ha decidido adoptar de forma voluntaria el presente Manual, el cual establece las políticas y procedimientos aplicables a la la recolección y uso de datos personales a los cuales tenga acceso, en desarrollo de su objeto social e institucional, de clientes, empleados y proveedores, en virtud de la autorización otorgada por los Titulares de los datos para adelantar dicho tratamiento, así como también el manejo de los mismos.

 

La Compañía es respetuosa de los datos personales e información que le suministran sus empleados, proveedores y clientes actuales, pasados y potenciales, (en adelante, los Titulares). En la presente Política de Privacidad se establecen las finalidades, medidas y procedimientos de nuestras bases de datos, así como los mecanismos con que los Titulares cuentan para conocer, actualizar, rectificar, suprimir los datos suministrados o revocar la autorización que se otorga con la aceptación de la presente política.

Conforme a lo previsto en el artículo 15 de la Constitución Política de Colombia y la legislación aplicable, tenemos una clara política de privacidad y protección de sus datos personales. No obtenemos información personal de terceros que tengan una relación comercial o jurídica con La Compañía, incluyéndolo a usted, a los Clientes, Empleados o Proveedores, a menos que estos la hayan suministrado voluntariamente mediante su consentimiento previo, expreso y calificado.

 

 

CAPÍTULO I.- DISPOSICIONES GENERALES

 

Artículo Primero.- Legislación Aplicable: Esta Política fue diseñada, en atención a las disposiciones contenidas la Constitución Política (artículos 15 y 20), la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 886 de 2014 y el Decreto Único 1074 de 2015. A esta Política le sarán aplicables todas las demás normas que complementen o sustituyan las anteriores.

 

Artículo Segundo.- Ámbito de Aplicación: Esta Política le será aplicable al tratamiento de los datos de carácter personal que sean recolectados, almacenados y tratados por La Compañía.

 

Artículo Tercero.- Finalidad: Por medio del presente documento se regulan los procedimientos de recolección, manejo y tratamiento de los datos de carácter personal que realiza la Compañía, a fin de garantizar y proteger los derechos que tienen los Titulares en el marco de lo establecido en la ley 1581 de 2012 y sus Decretos reglamentarios.

 

Artículo Cuarto.- Definiciones: Para la interpretación de esta Política y, en atención a lo dispuesto en el artículo 3° de la Ley 1581 de 2012, es necesario tener en cuenta las siguientes definiciones:

 

  1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

 

  1. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

 

  1. Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

 

  1. Cliente: Toda persona para quien la Compañía preste un servicio o con quien sostiene una relación contractual/obligacional.

 

  1. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

 

  1. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

 

  1. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el

 

  1. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

 

  1. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

 

  1. Empleado/Contratista: Persona natural o jurídica que cuente con un contrato de trabajo directo con el Responsable o que preste servicios temporales o en misión por interpuesta persona a favor del Responsable.

 

  1. Política de Tratamiento: Se refiere al presente documento, como política de tratamiento de datos personales aplicada por la Compañía de conformidad con los lineamientos de la legislación vigente en la materia.

 

  1. Proveedor: Toda persona natural o jurídica que preste algún servicio a la Compañía en virtud de una relación contractual/obligacional.

 

  1. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

 

  1. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

 

  1. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

 

  1. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

 

  1. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.

 

Para el entendimiento de los términos que no se encuentran incluidos dentro del listado anterior, usted deberá remitirse a la legislación vigente, en especial a la Ley 1266 de 2008, Ley 1581 de 2012 y al Decreto 1377 de 2013, dando el sentido utilizado en dicha norma a los términos de cuya definición exista duda alguna.

 

Artículo Quinto.- Principios: En atención a los principios establecidos en la Ley, el manejo y tratamiento de datos personales, sensibles y de menores, al interior de La Compañía está enmarcado bajo los siguientes principios:

 

  1. a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento de Datos Personales es una actividad reglamentada que se rige por la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demás normatividad que las complementen, modifiquen o deroguen.

 

  1. b) Principio de finalidad: El Tratamiento de datos personales que La Compañía realiza, obedece a la finalidad legítima, informada, al Titular. La finalidad en el tratamiento de datos personales por parte de La Compañía corresponde al cumplimiento de sus funciones, previstas en sus estatutos, al desarrollo de los ejes estratégicos previstos en su plan de acción y al cumplimiento de las obligaciones adquiridas con terceros a través de contratos o convenios.

 

  1. c) Principio de libertad: El Tratamiento que realiza La Compañía de los datos personales de nuestros clientes, empleados y proveedores, sólo podrá ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales que nos sean suministrados no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;

 

  1. d) Principio de veracidad o calidad: La Compañía garantiza que la información contenida en las bases de datos diferentes será veraz, completa, exacta, actualizada, comprobable y comprensible. La veracidad y calidad de los datos personales estarán sujetas a lo informado por cada uno de los Titulares de la misma, quedando eximida de cualquier tipo de responsabilidad La Compañía frente a su calidad.
  2. e) Principio de transparencia: La Compañía garantiza a los titulares de datos personales, que podrán obtener en cualquier momento, de forma gratuita y sin restricciones, información acerca de la existencia de datos que le conciernan y que estén almacenados en nuestras bases de datos, bajo los parámetros establecidos en el artículo 21 del Decreto Reglamentario 1377 de 2013.
  3. f) Principio de acceso y circulación restringida: El tratamiento dado por La Compañía a los datos suministrados por sus clientes, empleados y proveedores, se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones del presente Manual, de la Ley, y de la Constitución Política de Colombia. En tal sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas por ley.

 

Los datos operados por La Compañía en el cumplimiento de sus funciones están destinados a cumplir una función constitucional, por lo tanto, se garantizará su acceso, de conformidad con lo establecido en la Ley. Sobre datos provenientes de otras fuentes, el acceso y circulación será restringido acorde con la naturaleza del dato y con las autorizaciones dadas por el Titular o demás personas previstas en la Ley.

 

Los datos personales, excepto aquellos de naturaleza pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido a los Titulares o terceros autorizados. Para estos propósitos, la obligación de La Compañía será de medio y no de resultado.

 

  1. Principio de seguridad: La Compañía ha adoptado todas las medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  2. i) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.

La Compañía garantiza la confidencialidad de los datos dependiendo de la naturaleza del mismo y, en tal sentido, a no revelar a terceros, la información personal, contable, técnica, comercial o de cualquier otro tipo suministrada en la ejecución y ejercicio de las funciones propias, salvo autorización suministrada para tal efecto.

 

PARÁGRAFO PRIMERO: En el evento que se recolecten datos personales sensibles, el Titular podrá negarse a autorizar su Tratamiento.

 

CAPÍTULO II. USO Y FINALIDAD DEL TRATAMIENTO

 

Artículo Sexto.- Finalidad: La base de datos tiene como finalidades principales la comunicación con los Titulares para efectos comerciales, de mercadeo, laborales, contractuales, desarrollo de proyectos, concursos, socialización de políticas, programas, resultados, cambios organizacionales, la realización de análisis estadísticos, estratégicos, financieros, contables, legales, sociales y la implementación de estrategias comerciales, laborales, organizacionales y de mercadeo.

 

En virtud de la relación que se establezca entre el Titular y la Compañía, esta última recolecta, almacena, usa y podrá transmitir, ceder o transferir datos personales, a empresas localizadas dentro y fuera de Colombia, según fuere el caso.

 

Artículo Séptimo.- Uso: La Compañía recolectará, almacenará, procesará y/o circulará los datos personales y otra información de los Titulares para las finalidades descritas y para los tratamientos autorizados en esta Política de Privacidad o en las leyes vigentes.

 

En adición a lo mencionado en otros artículos, el Titular expresamente autoriza a la Compañía para la recolección, uso y circulación de sus datos personales y otra información para los siguientes propósitos y en las siguientes circunstancias: i) Establecer comunicación entre la Compañía y los Titulares, mediante el envío y/o recepción de comunicaciones para cualquier propósito relacionado con las finalidades que se establecen en la presente Política, ya sea mediante llamadas telefónicas, mensajes de texto, correos electrónicos y/o físicos con fines comerciales, publicitarios, de seguimiento y/o atención al cliente. ii) Proveer e informar sobre sus actuales, nuevos o fututos servicios y productos y/o sobre cambios en los mismos y/o  efectuar o implementar la adquisición u oferta de productos o servicios y/o promociones por parte de la Compañía.   iii) Ejecutar la relación contractual existente con sus clientes, proveedores y trabajadores, incluida el pago de obligaciones contractuales. iv) Auditar, estudiar, analizar y utilizar la información de la Base de Datos para diseñar estrategias comerciales y aumentar y/o mejorar los Productos y Servicios que ofrece la Compañía, implementar y/o desarrollar, programas, proyectos y eventos o diseñar estrategias de abastecimientos.  v) Combinar los datos personales con la información que se obtenga de otros aliados o compañías o enviarla a los mismos para implementar estrategias comerciales conjuntas. vi) Desarrollar el proceso de selección, evaluación, y vinculación laboral, comercial o contractual y al igual que registrar la información en las bases de datos de La Compañía vii) Auditar, estudiar, analizar y utilizar la información de la Base de Datos para la socialización de políticas, proyectos, programas, resultados y cambios organizacionales,, viii) Suministrar, compartir, enviar o entregar la información y datos personales de los Titulares a las sociedades subsidiarias, filiales, vinculadas, subordinadas o afiliadas a la Compañía, aliados estratégicos o a otras sociedades o personas ubicadas en Colombia o cualquier otro país  que requieran la información y/o que la Compañía encargue para realizar el procesamiento de la información y cumplir con las finalidades descritas en la presente Política. ix) Suministrar la información  y datos personales de los Titulares a aliados estratégicos para que estos contacten a los Titulares para ofrecerles bienes y servicios de su interés, recibir ofertas de los titulares, invitar a la participación en programas, proyectos eventos, socializar políticas, proyectos, programas, resultados y cambios organizacionales. x) Realizar trámites jurídicos, comerciales, de seguridad y/o prevención de fraudes y/o contables referentes al pago y/o cobro de las obligaciones contractuales y/o Soportar procesos de auditoría interna o externa. xi)  Cuando la información deba ser revelada para cumplir con leyes, regulaciones o procesos legales, para asegurar el cumplimiento de los términos y condiciones, para detener o prevenir fraudes, ataques a la seguridad de la Compañía o de otros, prevenir problemas técnicos o proteger los derechos de otros como lo requieran los términos y condiciones o la ley.  xii) Registro de la información de los Titulares en la base de datos de la Compañía y creación o generación de bases de datos. xii) Consultar, almacenar y usar la información financiera obtenida que terceros administradores de bases de datos, previa autorización del Titular para dicha consulta. xii) Registro de la información de los Titulares en la base de datos de la Compañía y creación o generación de bases de datos. xiii) Evaluar la calidad de nuestros productos, mercancías y/o servicios al igual que realizar estudios sobre hábitos de consumo, preferencias de consumo, interés de compra, prueba de productos, mercancía y/o servicios, grado de satisfacción y evaluar la calidad del servicio. Xiv) Realizar, a través de cualquier medio, en forma directa o indirecta mediante terceros, actividades de mercadeo, promoción y/o publicidad propia o de terceros, venta, gestiones de cobranza, inteligencia de mercado, mejoramiento del servicio y/o satisfacción de clientes, verificaciones, consultas, control así como cualquier otra relacionada con nuestros productos y/o servicios actuales y futuros para el cumplimiento de nuestras obligaciones contractuales y de nuestro objeto social. Xv) Contacto con Clientes, Empleados y/o Proveedores para el envío de información correspondiente y/o relacionada con la el vínculo contractual, comercial y/u obligacional que tenga lugar entre estos y la Compañía. Xvi) Recolección de datos para el cumplimiento de los deberes que como Responsable de la información y datos personales, le corresponde a la Compañía.

 

Parágrafo Primero: Respecto de los datos recolectados directamente en los puntos de seguridad,  y/o tomados de los documentos que suministran las personas al personal de seguridad u obtenidos de las videograbaciones que se realizan dentro o fuera de las instalaciones de La Compañía, éstos se utilizarán para fines de seguridad de las personas, los bienes e instalaciones de La Compañía y podrán ser utilizados como prueba en cualquier tipo de proceso

 

Parágrafo Segundo: Si el Titular proporciona Datos Personales, ésta información será utilizada sólo para los propósitos aquí señalados, y no procederemos a vender, licenciar, transmitir o divulgar la misma fuera de la Compañía salvo que: (i) El Titular nos autorice expresamente a hacerlo, (ii) sea necesario para permitir a nuestros contratistas o agentes Encargados prestar los servicios que les hemos encomendado, (iii) con el fin de proporcionarle al Titular nuestros productos o servicios, (iv) sea divulgada a las entidades que prestan servicios de publicidad, tecnología, marketing, call center  en nuestro nombre o conjunto, (v) tenga relación con una fusión, consolidación, adquisición, desinversión u otro proceso de restructuración, o (vi) según sea requerido o permitido por la ley.

 

Los Datos Personales suministrados podrán circular y transferirse a la totalidad de las áreas de La Compañía incluyendo a su fuerza comercial, red de distribución o servicios, equipos de telemercadeo y proveedores de servicios y/o procesadores de datos que trabajen en nombre de La Compañía, incluyendo pero sin limitarse, contratistas, delegados, outsourcing, tercerización, red de oficinas o aliados, con el objeto de desarrollar servicios de alojamiento de sistemas, de mantenimiento, servicios de análisis, servicios de mensajería por e-mail o correo físico, servicios de entrega, gestión de transacciones de pago, cobranza, entre otros. En consecuencia, el titular entenderá y aceptará que mediante la autorización que otorgue para el tratamiento de sus datos, concede a esos terceros, autorización para acceder a sus Datos Personales en la medida en que así lo requieran para la prestación de los servicios para los cuales fueron contratados por la Compañía.

 

Consecuencia de lo anterior, advertimos a dichos terceros sobre la necesidad de proteger dicha información personal con medidas de seguridad apropiadas, les prohibimos el uso de su información personal para fines propios y les impedimos que divulguen su información personal a otros.

 

Parágrafo Tercero: Tratamiento de datos sensibles: La Compañía solo trata datos personales sensibles para lo estrictamente necesario y previa autorización o consentimiento expreso a los titulares de los datos. Dichas autorizaciones podrán ser conferidas de forma directa por los Titulares o bien a través de sus representantes legales, apoderados, causahabientes e informándoles igualmente, respecto de la finalidad para su tratamiento.

 

La Compañía utilizará y tratará los datos que hayan sido y/o se encuentren catalogados como sensibles, siempre y cuando: a) El tratamiento haya sido previa y expresamente autorizado por el Titular, salvo los casos que por Ley no se requiera el otorgamiento de dicha autorización. b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física y/o jurídicamente incapacitado; eventos en los cuales, serán los representantes legales quienes confieran la autorización. c) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. d) El Tratamiento tenga una finalidad histórica, estadística o científica o y e) procesos de mejoramiento; este último, siempre y cuando se adopten las medidas conducentes a la supresión de identidad de los Titulares o el dato este disociado, es decir, el dato sensible sea separado de la identidad del titular y no sea identificable o no se logre identificar a la persona Titular del dato o datos sensibles.

 

Parágrafo Cuarto: De igual forma, La Compañía podrá transferir, ceder o transmitir (según corresponda) sus datos personales a otras compañías nacionales o en el extranjero por razones de seguridad, eficiencia administrativa y mejor servicio, de conformidad con las autorizaciones de cada una de estas personas. La Compañía ha adoptado las medidas del caso para que esas personas implementen en su jurisdicción y de acuerdo a las leyes a ellas aplicables, estándares de seguridad y protección de datos personales siquiera similares a los previstos en este documento y en general en la política de la Compañía sobre la materia. En el caso de transmisión de datos personales, se suscribirá el contrato de transmisión a que haya lugar en los términos del Decreto 1377 de 2013.

 

Parágrafo Quinto: En virtud del tratamiento de los datos personales, la Compañía podrá compartir la información con (i) personas jurídicas o naturales que ostenten la calidad de proveedores, contratistas y/o terceros relacionados directa o indirectamente con la Compañía para adelantar gestiones de cobranza, recaudo, publicidad, mercadeo, promociones, ventas o cualesquier otra actividad derivada y/o relacionada con el objeto social de la Compañía y (ii) Filiales, subsidiarias y/o matrices de la Compañía.

 

Parágrafo Sexto: Una vez cese la necesidad de tratamiento de los datos del Titular, los mismos podrán ser eliminados de las bases de datos de la Compañía o archivados en términos seguros a efectos de que solamente sean divulgados cuando a ello hubiere lugar de acuerdo con la ley. Los datos personales incorporados en la Base de Datos estarán vigentes durante el plazo necesario para cumplir sus finalidades.

 

CAPITULO III.- AUTORIZACIÓN

 

Artículo Octavo.- Autorización: La recolección, almacenamiento, uso / tratamiento, circulación y supresión de datos personales por parte de la Compañía requiere del consentimiento libre, previo, expreso e informado de los Titulares de los mismos. La Compañía, en su condición de Responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los Titulares de los datos, a más tardar en el momento de la recolección de sus datos, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

 

 

La Compañía podrá solicitar autorización de los Titulares para la recolección, almacenamiento, uso y/o tratamiento o circulación de sus datos o información para propósitos diferentes a los expresados en la presente Política, para lo cual la descripción de la finalidad y el tratamiento de los datos será informada mediante el mismo documento específico o adjunto, garantizando en todo caso al Titular de los datos (i) el tratamiento al que serán sometidos sus datos personales y la finalidad específica del mismo tratamiento, (ii) el tiempo por el cual serán tratados sus datos personales, (iii) Los derechos que le asisten como titular y (iv) los canales de comunicación por medio de los cuales podrá formular consultas y/o reclamos ante el Responsable o Encargado del tratamiento.

 

No se requerirá la autorización del titular en los siguientes eventos: a) La Información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. b) Se trate de datos de naturaleza pública. c) Se trate de casos de urgencia médica o sanitaria.

  1. d) El tratamiento de datos personales esté autorizado por la ley para fines históricos, estadísticos o científicos. e) Se trate de datos relacionados con el registro civil de las personas.

 

Artículo Noveno.- Forma y Mecanismos para Otorgar la Autorización. La autorización emanada del Titular de los datos podrá constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo mediante el cual se pueda concluir de manera inequívoca, que de no haberse surtido una conducta del Titular, los datos nunca hubieren sido recolectados y almacenados en la base de datos del Responsable.

 

La Compañía solicitará expresamente a los Titulares la autorización para el tratamiento y, en tal sentido, cumplir la finalidad de la Base de Datos. Los datos a solicitarse son -entre otros- su nombres y apellidos, razón social, tipo de documento de identificación, número de identificación, fecha de nacimiento, dirección de correspondencia, teléfono de contacto, correo electrónico, nombre del punto de venta en el cual fue atendido, de sus establecimientos de comercio, experiencia, antecedentes comerciales, judiciales, relaciones comerciales y familiares con otras compañías o con entidades públicas, lugar de trabajo, referencias e historia laboral, necesidades e intereses. Los datos podrán ser suministrados explícitamente a la Compañía mediante formatos elaborados por ésta y serán puestos a disposición del Titular previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2102 y demás normas concordantes.

 

La Compañía no recopilará datos considerados como Datos Sensibles según lo dispuesto en la Ley 1581 de 2012, como por ejemplo, datos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, datos relacionados con la salud, vida sexual o datos biométricos.

 

Parágrafo Primero: La Compañía adoptará las medidas necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo la autorización por parte de los titulares de datos personales para el tratamiento de los mismos.

 

Parágrafo Segundo: En cuanto a la revocatoria de la autorización, es necesario informar que los Titulares de los datos personales pueden revocar el consentimiento otorgado para el tratamiento de sus datos en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para efectos de lo anterior, ha de tenerse en cuenta que la revocación del consentimiento puede darse sobre la totalidad de las finalidades consentidas o sobre parte de los tratamientos consentidos.

 

Por lo anterior, será necesario que el Titular al momento de elevar la solicitud de revocatoria, indique en ésta si la revocación que pretende realizar es total o parcial.

 

Artículo Décimo.- Aviso de Privacidad: La Compañía implementará un Aviso de Privacidad, el cual corresponde a un documento físico, electrónico o en cualquier otro formato, que es puesto a disposición del Titular para el tratamiento de sus datos personales a más tardar al momento de recolección de los datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.

 

El Aviso de Privacidad, como mínimo, deberá contener la siguiente información: (i) identidad, (ii) domicilio, (iii) datos de contacto del Responsable del Tratamiento, (iv) tipo de tratamiento al cual serán sometidos los datos, (v) la finalidad del tratamiento, (vi) los derechos que le asisten al Titular, (vii) los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de tratamiento de información y (viii) Cuando se recolecten datos personales sensibles, el aviso de privacidad señalará expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

 

 

CAPÍTULO III.- DERECHOS LOS TITULARES Y DEBERES DE LOS RESPONSABLES

 

Artículo Décimo Primero.- Derechos de los Titulares: De conformidad con el artículo 6 de la Ley 1266 de 2008, el artículo 8 de la Ley 1581 de 2012 y los artículos 21 y 22 del Decreto 1377 de 2013, los derechos que le asisten al Titular, en relación con sus datos personales son: a) Conocer, actualizar y rectificar sus datos personales frente a la Compañía como Responsable y/o Encargado del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado; b) Solicitar prueba de la autorización otorgada a la Compañía como Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento; c) Ser informado por la Compañía, como Responsable del Tratamiento o por el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales; d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen; e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales; f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento; g) Acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia; h) Acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley.

 

La Compañía mantendrá habilitados medios de contacto para que los Titulares de los datos puedan ejercer sus derechos y, en tal sentido, dar aplicación a los procedimientos previstos en la presente Política.

 

Artículo Décimo Segundo.- Deberes de los Responsables del Tratamiento: En atención a lo dispuesto en el artículo 17 de la Ley 1581 de 2012 y los artículos 21 y 22 del Decreto 1377 de 2013, la Compañía, en calidad de Responsable del Tratamiento, se compromete a cumplir con los siguientes deberes: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos, b) Conservar la información bajo las condiciones de seguridad necesarias que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, c) Informar debidamente al Titular sobre la finalidad de la recolección, d) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible, e) Realizar oportunamente, según lo previsto en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos; f) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; g) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; h) Informar a solicitud del Titular sobre el uso dado a sus datos; i) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley 1581 de 2012; j) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal; k) Insertar en la base de datos la leyenda “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles de recibido el reclamo completo. l) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio; m) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; n) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; ñ) Designar a un área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el Decreto 1377 de 2013. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

Parágrafo Primero.- Deberes de la Compañía cuando actúa como Encargado del tratamiento de datos personales. Si La Compañía realiza el tratamiento de datos personales por cuenta, riesgo y en nombre de otra entidad u organización responsable del tratamiento, la Compañía deberá cumplir los siguientes deberes: (i) Verificar que el Responsable del tratamiento se encuentre autorizado para suministrar a terceras personas, los datos personales que tratará la Compañía como Encargado, (ii) Garantizar al Titular de los datos, en todo momento, el pleno y efectivo ejercicio de sus derechos conforme a lo dispuesto en la Ley. (iii) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. (iv) Realizar oportunamente la actualización, rectificación o supresión de los datos, previa solicitud del Titular de los Datos o del Responsable del Tratamiento. (v) Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo o solicitud. (vi) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política y/o en la Ley. (vii) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. (ix) Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto. (x) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. (xi). Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

Parágrafo Segundo.- Deberes cuando realiza el tratamiento a través de un Encargado (i) Suministrar al Encargado del tratamiento únicamente los datos personales cuyo tratamiento esté previamente autorizado. Para efectos de la transmisión nacional o internacional de los datos se deberá suscribir un contrato de transmisión de datos personales o pactar cláusulas contractuales según lo establecido en el artículo 25 del decreto 1377 de 2013. (ii) Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. (iii) Comunicar de forma oportuna al Encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. (iv) Informar de manera oportuna al Encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes. (v) Exigir al Encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular. (vi) Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

 

 

CAPÍTULO IV.-  PROCEDIMIENTOS PARA EL EJERCICIO DE LOS DERECHOS

 

Artículo Décimo Tercero.- Procedimiento para el ejercicio de sus derechos como titular: Si se tienen consultas acerca de esta Política, o cualquier inquietud o reclamo respecto de la administración de la Política, o quiere ejercer sus derechos como Titular de los Datos, esto es, a conocer, actualizar, rectificar y suprimir sus datos y/o revocar su autorización como titular de la información, comuníquese con nuestra área de Servicio al Cliente a través de cualquiera de los siguientes medios:

 

  • Línea de Atención al Cliente: En Bogotá 6123112
  • Correo electrónico: mariavictoria.posada@gymboree.com.co

 

En el caso de ejercicio de queja, rectificación, actualización, consulta, o solicitud de acceso o de sustracción de datos, el Titular deberá remitirla al área de Servicio al Cliente de la Compañía, en la dirección Carrera 23 No. 120 – 53 de la ciudad de Bogotá D.C., o al Correo electrónico mariavictoria.posada@gymboree.com.co

 

Tenga en cuenta que una vez se ponga en conocimiento al área responsable al interior de La Compañía, se dará trámite a la consulta, solicitud o queja.

 

Artículo Décimo Cuarto.- Peticiones y Consultas Sobre Datos Personales: Cuando el Titular de los datos o sus causahabientes deseen consultar la información que reposa en la base de datos, en ejercicio de lo dispuesto en el artículo 14 de la Ley 1581 de 2012 y el artículo 21 del Decreto 1377 de 2013, la Compañía responderá la solicitud en plazo de máximo diez (10) días. En cumplimiento a lo dispuesto en la Ley 1581 de 2012, cuando no fuere posible atender la consulta dentro de dicho término, se informará al CLIENTE expresándole los motivos de la demora y se le señalará la fecha en que se atenderá su consulta, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

 

Artículo Décimo Quinto.- Derecho de Reclamo: De conformidad con lo establecido en el artículo 15 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, el Decreto 1377 de 2013 u cualquier otra norma aplicable, podrán presentar un reclamo ante el Responsable del Tratamiento, el cual será tramitado bajo las siguientes reglas:

 

  • La solicitud o petición en relación con los datos personales del Titular deberá ser atendida en un término máximo de quince (15) días hábiles desde el recibo de la solicitud o petición. Para la correcta y completa consideración de su petición, solicitud o reclamo, le solicitamos allegar la identidad del solicitante, su número de identificación, la dirección de notificaciones/respuestas y los documentos que quiere hacer valer.

 

  • Si la solicitud o petición efectuada por el Titular no tiene los datos (nombre(s), apellido(s) y documento de identificación) del titular y una breve pero concisa descripción de los hechos suficientes que permiten a la Compañía atenderla de forma correcta y completa, se le requerirá dentro de los cinco (5) días siguientes a la recepción de la solicitud, petición o reclamo para que subsane sus fallas. Después de transcurridos quince (15) días desde la fecha del requerimiento, si usted como solicitante no ha subsanado según lo requerido, la Compañía en calidad de receptora de la petición entiende que ha desistido de su solicitud.

 

  • Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “Reclamo en Trámite” y el motivo del mismo, la cual se mantendrá hasta tanto el reclamo no sea decidido y según lo dispuesto en el Artículo Décimo Primero del presente documento.

 

  • En el caso de consulta, peticiones, reclamos o quejas, específicamente en materia de información financiera, crediticia y comercial, el trámite y los términos pertinentes será el señalado en el artículo 16 de la Ley 1266 de 2008.

 

Artículo Décimo Sexto.- Revocación de autorización, retiro o supresión de la Base de Datos y reclamos Sobre Datos Personales: Cuando el titular de los datos o sus causahabientes consideren que la información contenida en las bases de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante la Compañía, el cual será tramitado bajo las siguientes reglas:

 

  1. El reclamo se formulará mediante solicitud dirigida al área de Servicio al Cliente de la Compañía con la identificación de los Titulares, la descripción de los hechos que dan lugar al reclamo, la dirección, y se anexarán los documentos que se quieran hacer valer. Si el reclamo resulta incompleto, La Compañía podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.

 

Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso que la Compañía no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al Titular, con lo cual quedará relevada de cualquier reclamación o responsabilidad por el uso, rectificación o supresión de los datos.

 

  1. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

 

  1. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al Titular los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

 

Es necesario aclarar, respecto del ejercicio del derecho de supresión de los datos, que éste implica la eliminación total o parcial de la información personal del Titular, contenida en los registros, archivos, bases de datos o tratamientos realizados por el Responsable o el Encargado.

 

La Compañía, en calidad de Responsable, podrá negarse a la supresión de los datos, cuando: (i) El Titular tenga un deber legal o contractual de permanecer en la base de datos. (ii) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas y (iii) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.

 

CAPITULO V SEGURIDAD DE LA INFORMACIÓN

 

Artículo Décimo Séptimo.- Medidas de Seguridad: Las medidas de seguridad con las que cuenta la Compañía buscan proteger los datos de los Titulares en aras de impedir su  adulteración, pérdida, usos y accesos no autorizados. Para ello, la Compañía de forma diligente implementa medidas de protección humanas, administrativas y técnicas que razonablemente están a su alcance. El Titular acepta expresamente esta forma de protección y declara que la considera conveniente y suficiente para todos los propósitos.

 

Artículo Décimo Octavo.- Protección de datos en los contratos: En los contratos laborales se deberán incluir cláusulas tendiente a obtener de forma expresa, previa y general la autorización para el tratamiento de datos personales relacionados con la ejecución del contrato laboral, lo que incluye la autorización de recolectar, modificar o corregir, en momentos futuros, datos personales del Titular, ser entregados o cedidos a terceros con los cuales La Compañía tenga algún tipo de vínculo legal y/o comercial para la realización de tareas tercerizadas o a ellos encomendadas.

 

En los contratos de prestación de servicios externos, cuando el contratista requiera de datos personales, La Compañía podrá suministrar dicha información, siempre y cuando, exista una autorización previa y expresa del Titular para la realización de dicha transferencia, quedando excluida de esta autorización, los datos personales de naturaleza pública definido en el numeral 2° del artículo 3° del Decreto Reglamentario 1377 de 2013 y los contenidos en los registros públicos. En este caso, teniendo en cuenta que los terceros autorizados ostentarán la calidad de Encargados del tratamiento, los respectivos sus contratos incluirán cláusulas que (i) sometan a dichos terceros a las Políticas de Tratamiento de Datos de la Compañía, es decir, que contengan los fines y los tratamientos autorizados por La Compañía en aras de delimitar el uso que los terceros le podrán realizar a los datos, (ii) exigir medidas de seguridad necesarias que garanticen en todo momento la confidencialidad, integridad y disponibilidad de la información de carácter personal encargada para su tratamiento.

 

Artículo Décimo Noveno.- Transferencia de datos personales a terceros países: En los casos en que La Compañía, en desarrollo de alguna de sus funciones, requiera realizar la transferencia de datos de carácter personal a terceros países, se deberán tener en cuenta los siguientes aspectos: a) La transferencia de datos personales a terceros países solamente se realizará cuando exista autorización previa y expresa del titular. B) Tramitar y obtener autorización previa de la Delegatura de Datos Personales de la Superintendencia de Industria y Comercio, salvo que dicha trasferencia internacional de datos se encuentre amparada en alguna de las excepciones previstas en la Ley, y c) Debe considerarse como transferencia internacional de Datos, cualquier tratamiento que suponga una transmisión de datos fuera del territorio colombiano, tanto si se realiza una cesión de datos, como si tuviera por objeto la prestación de un servicio al responsable fuera de Colombia.

 

 

CAPÍTULO VI.- DISPOSICIONES FINALES

 

Artículo Vigésimo.- Responsable del Tratamiento: El responsable del tratamiento de datos personales y otra información de los Titulares es la sociedad KIDS S.A.S., con número de identificación tributaria NIT. 830056225-2; domicilio y dirección en la Carrera 23 No. 120 – 53 de la ciudad de Bogotá D.C., República de Colombia; teléfono: 6123112, correo electrónico: mariavictoria.posada@gymboree.com.co

 

Artículo Vigésimo Primero.- Encargados del Tratamiento: Será encargado del tratamiento de datos personales, cualquier persona natural o jurídica, pública o privada, que realice el tratamiento de datos personales por cuenta del responsable del tratamiento de La Compañía y quienes deberán cumplir con los deberes que les imponga el Responsable (La Compañía) y la Ley.

 

Para efectos de lo anterior, La Compañía ha dividido a los Encargado del Tratamiento en dos (2) grandes grupos a saber:

 

Los Encargados internos corresponderán a las áreas, gerencias o direcciones administrativas, financieras, contables, de cartera, facturación, mercadeo y publicidad y servicio al cliente.

 

Los Encargados externos corresponderán a empresas de publicidad y/o mercadeo, Entidades reguladoras y gubernamentales.

 

Artículo Vigésimo Segundo.- Derechos de los Niños, Niñas y Adolescentes Menores de 18 Años: Si bien el tratamiento datos personales de niños, niñas y adolescentes menores de 18 años está prohibido, eventualmente la Compañía puede llegar a requerir Datos Personales de éstos, en desarrollo de su objeto social.

 

Para efectos de lo anterior, la Compañía sólo podrá tratar dicho datos cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos: (i) Que respondan y respeten el interés superior de los niños, niñas y adolescentes,  (ii)   Que se asegure el respeto de sus derechos fundamentales y (iii) El representante legal del menor no se haya visto obligado a suministrar dicha información.

 

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización.

 

Artículo Vigésimo Tercero.- Modificaciones: Esta política puede ser modificada en cualquier momento, razón por la cual le recomendamos revisar regular o periódicamente en nuestra página web www.gymboree.com.co, en la que se le avisará del cambio y se pondrá a su disposición la última versión de esta Política o los mecanismos para obtener una copia de la misma.

 

Artículo Vigésimo Cuarto.- Vigencia: La presente Política, rige a partir del 31 de octubre del año 2016 y, se encontrará vigente hasta tanto no se realice modificación alguna de la misma.