|| POLÍTICA INTEGRAL DE PRIVACIDAD, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES ||
CAPÍTULO I. DISPOSICIONES GENERALES
ARTÍCULO 1. INTRODUCCIÓN Y MARCO NORMATIVO: En virtud de lo dispuesto en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013, el Decreto 886 de 2014, el Decreto Único Reglamentario 1074 de 2015, la Sentencia C-748 de 2011 de la Corte Constitucional y demás normas que las complementen, adicionen o modifiquen, SÁNCHEZ DE CALDERÓN S.A.S. (en adelante "La Compañía" o "SDC") propende por la protección, tratamiento y seguridad de la información personal de todos los Titulares de Datos Personales con los cuales tenga o haya tenido relación, sea como Responsable o Encargado de su tratamiento. La presente Política contiene los lineamientos, estándares y prácticas que sigue La Compañía durante el tratamiento de los datos personales, garantizando el respeto de la privacidad, los derechos fundamentales y la autonomía del Titular. Esta política se integra con los Términos y Condiciones Generales y la Política de Envíos, Cambios y Reembolsos de SDC.
ARTÍCULO 2. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
· Razón Social: SÁNCHEZ DE CALDERÓN S.A.S.
· NIT: 901.902.871-8
· Domicilio Principal: Cr 11 No. 140 52 To 2 Ap 701, Bogotá D.C., Colombia
· Correo Electrónico de Contacto para ejercicio de derechos: infosanchezdecalderon@gmail.com
· Teléfono de Contacto: 3229829399
· Encargado del Área de Protección de Datos: El Representante Legal o quien este designe. Toda comunicación formal relacionada con esta política debe dirigirse a este canal.
ARTÍCULO 3. OBJETO Y ÁMBITO DE APLICACIÓN: Esta Política tiene como finalidad informar a los diferentes grupos de interés sobre el Tratamiento de los Datos Personales que realiza La Compañía, así como establecer los lineamientos para su adecuada protección. La aplicación de esta Política abarca todos los Datos Personales que La Compañía trata en desarrollo de su objeto social, incluyendo, pero sin limitarse a, la contratación de personal, la vinculación de proveedores, aliados comerciales, y la gestión de clientes a través de nuestro e-commerce.
La política aplica a toda la información personal obtenida a través de nuestros canales de venta digital (sitio web, perfiles en redes sociales, email, WhatsApp, entre otros) y cualquier otra interacción en la que La Compañía actúe como Responsable o Encargado del Tratamiento, tanto en Colombia como en cualquier otra jurisdicción donde se recolecten o traten datos personales de Titulares colombianos. Es vinculante para todos los empleados, contratistas y terceros que accedan a datos personales bajo custodia de SDC.
ARTÍCULO 4. DEFINICIONES: Para una correcta interpretación de esta política, se aplicarán las siguientes definiciones, según el Régimen General de Protección de Datos Personales (RGPD) colombiano:
· Aviso de Privacidad: Comunicación escrita o verbal generada por La Compañía dirigida al Titular, donde se le informa de manera concisa y clara sobre la existencia de esta Política de Tratamiento de Información, la forma de acceder a la misma y las finalidades del tratamiento de sus datos personales. Este aviso se presenta en puntos de recolección de datos (formularios web, físicos, etc.).
· Autorización: Consentimiento previo, expreso, informado e inequívoco del Titular para que La Compañía lleve a cabo el Tratamiento de sus Datos Personales. La aceptación de los Términos y Condiciones implica la autorización para el tratamiento con las finalidades allí y aquí descritas.
· Base de Datos: Conjunto organizado de Datos Personales que es objeto de tratamiento por La Compañía, ya sea en formato físico o digital.
· Dato Biométrico: Datos relativos a características físicas o fisiológicas de una persona que permiten o confirman la identificación unívoca de dicha persona, como la huella dactilar, el reconocimiento facial o el escaneo de retina. SDC no recolecta este tipo de datos de manera habitual.
· Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Incluye, pero no se limita a: nombre, identificación, dirección, correo electrónico, teléfono, datos de navegación, preferencias de compra, historial de transacciones.
· Dato Privado: Dato que por su naturaleza íntima o reservada solo es relevante para el Titular y no es de acceso público.
· Dato Público: Dato que no es semiprivado, privado o sensible, como los datos relativos al estado civil, profesión u oficio de las personas, su calidad de comerciante o servidor público. Su tratamiento no requiere autorización expresa.
· Dato Sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, como los datos relativos a la salud, origen racial o étnico, convicciones religiosas, políticas, filosóficas, datos biométricos, o datos sobre vida sexual. Su tratamiento por parte de SDC está expresamente prohibido, salvo las excepciones legales taxativas.
· Encargado del Tratamiento: Persona natural o jurídica (ej: operadores logísticos, plataformas de pago, agencias de marketing) que realiza el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento, bajo sus instrucciones y con estrictos acuerdos de confidencialidad.
· Responsable del Tratamiento: SÁNCHEZ DE CALDERÓN S.A.S., quien decide sobre la Base de Datos y/o el Tratamiento de los datos.
· Titular: Persona natural cuyos datos personales son objeto de Tratamiento (clientes, empleados, proveedores, visitantes).
· Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, como la recolección, almacenamiento, uso, circulación, supresión, compartimiento, transmisión, transferencia o exportación.
|| CAPÍTULO II. PRINCIPIOS, BASES LEGALES Y FINALIDADES DEL TRATAMIENTO ||
ARTÍCULO 5. PRINCIPIOS RECTORES DEL TRATAMIENTO: En el tratamiento de los datos personales, La Compañía aplicará de manera integral y estricta los principios rectores establecidos en la ley colombiana, a saber:
· Legalidad: El tratamiento de datos es una actividad reglada que se sujeta a lo establecido en la ley y demás disposiciones que la complementen. SDC solo tratará datos cuando exista una base legal que lo legitime.
· Finalidad: Los datos se recopilan para fines legítimos, específicos y explícitos, los cuales son previamente informados al titular mediante el Aviso de Privacidad. La Compañía se compromete a no utilizar los datos para fines distintos a los autorizados.
· Libertad: El tratamiento solo se lleva a cabo con el consentimiento libre, previo, expreso e informado del titular. La no autorización para fines no necesarios para la relación contractual (ej: marketing) no podrá ser causa de perjuicio para el Titular.
· Veracidad o Calidad: La información debe ser completa, exacta, actualizada y comprensible. La Compañía tomará las medidas razonables para mantener la calidad de la información, de acuerdo con los datos suministrados por el Titular, quien es el principal responsable de su veracidad.
· Transparencia: Se garantizará al titular el derecho a obtener en cualquier momento y sin restricciones, información sobre la existencia de datos que le conciernan, a través de los canales establecidos.
· Acceso y Circulación Restringida: Los datos no podrán estar disponibles en internet u otros medios de divulgación masiva, salvo que el acceso sea técnicamente controlable para un conocimiento restringido solo a los Titulares o terceros autorizados. La Compañía garantiza la limitación del acceso a los datos personales solo al personal que los requiera para el cumplimiento de sus funciones, bajo el principio de mínimo privilegio.
· Seguridad: La Compañía implementará medidas técnicas, humanas y administrativas necesarias para proteger la información contra el acceso o uso no autorizado, la pérdida, alteración, destrucción o divulgación indebida.
· Confidencialidad: Todas las personas que intervienen en el tratamiento de datos (empleados, contratistas, encargados) están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con La Compañía, obligación que se establece contractualmente.
ARTÍCULO 5-A. BASES LEGALES PARA EL TRATAMIENTO: SDC trata los datos personales basándose en una o varias de las siguientes bases legales:
1. Consentimiento Previo y Explícito: Para fines de marketing, envío de newsletters, y el tratamiento de datos sensibles (cuando aplicable y autorizado).
2. Ejecución de un Contrato: Para gestionar la relación comercial con clientes (procesar pedidos, enviar productos, gestionar pagos, facturación, soporte al cliente) y con proveedores/empleados.
3. Cumplimiento de una Obligación Legal: Para cumplir con obligaciones fiscales, contables, comerciales y regulatorias ante autoridades como la DIAN, Superintendencia de Industria y Comercio, etc.
4. Interés Legítimo: Para fines de seguridad (cámaras de vigilancia), prevención del fraude, mejora de productos y servicios, y defensa de reclamaciones legales. El interés legítimo de SDC siempre será ponderado frente a los derechos y libertades del Titular.
ARTÍCULO 6. FINALIDADES ESPECÍFICAS DEL TRATAMIENTO: El tratamiento de las bases de datos de Sánchez de Calderón S.A.S. tiene las siguientes finalidades detalladas, las cuales son esenciales para la operación y el cumplimiento de los compromisos de SDC:
6.1. En relación con la base de datos de clientes, proveedores y aliados comerciales:
· El cumplimiento del objeto social de Sánchez de Calderón S.A.S., incluyendo el desarrollo y ejecución de actividades comerciales de venta de sus líneas de productos (café, diseño, arte, licores, prendas, accesorios, artesanías).
· El desarrollo, ejecución y cumplimiento de la relación contractual o comercial que el titular tenga con La Compañía, incluyendo la gestión de pagos, facturación, envíos, cambios y reembolsos, y soporte post-venta.
· La realización de análisis estadísticos, comerciales, estratégicos, financieros, sociales y técnicos para la mejora de nuestros productos y servicios, y el desarrollo de nuevos productos acordes a los gustos de nuestros clientes.
· La comunicación con los titulares para efectos contractuales, informativos y comerciales, incluyendo el envío de información sobre ofertas, promociones, noticias, actualizaciones relevantes y contenidos de valor relacionadas con las líneas de producto de SDC, siempre que el titular no se oponga.
· La personalización de la experiencia del usuario en nuestro sitio web y redes sociales, mediante el uso de cookies y tecnologías similares, para mostrar contenido y publicidad relevante.
· El cumplimiento de deberes legales, contables, comerciales y regulatorios, como la conservación de documentos y la emisión de reportes a entidades gubernamentales.
· Prevenir, detectar e investigar fraudes, actividades ilegales o incumplimientos a los Términos y Condiciones, para lo cual se podrán consultar distintas bases de datos y fuentes públicas, como bases de datos de la Policía Nacional, Contraloría, Interpol, listas internacionales como la "Lista Clinton" (SDNT list), y otras listas de control y prevención del lavado de activos y financiación del terrorismo, así como centrales de riesgo crediticio.
· Comprobación y verificación de la identidad y antecedentes financieros y crediticios de los titulares, en el marco de una debida diligencia para transacciones de alto valor o que presenten un riesgo percibido.
· Transmisión, transferencia y suministro de la información a Encargados del Tratamiento (socios logísticos, plataformas de pago, agencias de marketing, proveedores de TI) para que presten servicios necesarios para la operación de SDC.
· Transmisión, transferencia y suministro de la información a subsidiarias, filiales, aliados comerciales o a otras sociedades para que estos contacten a los titulares para ofrecerles productos, información o servicios que puedan ser de su interés, solo con autorización previa del titular.
· Transmisión, transferencia y suministro de información en procesos de fusión, integración, escisión, liquidación, reorganización y/o enajenación de activos, garantizando la continuidad del tratamiento de los datos y el respeto a esta política.
6.2. En relación con la base de datos de empleados, contratistas y aspirantes a empleados:
· Conservar y administrar la información de la relación laboral o comercial con los Titulares, incluyendo el pago de nómina, prestaciones sociales, otros beneficios y la evaluación del desempeño.
· El control y la preservación de la seguridad de las personas, bienes e información de La Compañía, mediante el uso de sistemas de vigilancia y control de acceso. Las zonas de video vigilancia están señalizadas.
· Proteger la salud de los empleados y contratistas, en cumplimiento de las normativas de seguridad y salud en el trabajo, lo que puede implicar el tratamiento de datos de salud de manera restringida y confidencial.
· Prevenir y constatar la comisión de delitos o conductas delictivas, para lo cual se podrán consultar distintas bases de datos y fuentes públicas como parte del proceso de selección y monitoreo de seguridad, en estricto cumplimiento de la ley.
· Selección de personal, administración de contrataciones y manejo de relaciones laborales, incluyendo la evaluación de habilidades, competencias y antecedentes.
· Transmitir, transferir y suministrar la información a terceros encargados de administrar el sistema de seguridad social en Colombia (EPS, AFP, ARL), así como a compañías aseguradoras, cajas de compensación familiar y demás entidades necesarias para el cumplimiento de la ley laboral.
· Transmitir, transferir y suministrar la información para dar referencias laborales y/o profesionales sobre los Titulares, siempre con la debida autorización expresa del empleado/ex empleado.
6.3. En relación con la base de datos de visitantes y otras fuentes:
· Comprobación y verificación de la identidad de los visitantes que ingresan a las instalaciones de La Compañía mediante el registro de nombre, número de documento y empresa.
· El control y la preservación de la seguridad de las personas, bienes e información de La Compañía, incluyendo el monitoreo de cámaras de seguridad. Las imágenes se almacenan por un tiempo limitado y proporcional.
|| CAPÍTULO III. RECOLECCIÓN, TRANSFERENCIA Y SEGURIDAD DE LA INFORMACIÓN ||
ARTÍCULO 7. DATOS PERSONALES RECOPILADOS Y FUENTES
La Compañía podrá recopilar datos personales de las siguientes formas:
1. Directamente del Titular: A través de formularios físicos o digitales (registro en sitio web, compras, suscripción a newsletter, contacto, postulación a empleos), interacciones por WhatsApp, email, redes sociales, o llamadas telefónicas.
2. De Forma Automática: Mediante tecnologías como cookies, logs, pixels tags y otras tecnologías de seguimiento en nuestro sitio web y correos electrónicos, que recopilan datos de navegación, dirección IP, tipo de dispositivo, sistema operativo, páginas visitadas, y hábitos de consumo.
3. De Fuentes Públicamente Accesibles: Para cumplir con obligaciones de debida diligencia y prevención de fraudes, podremos consultar información disponible en registros públicos o fuentes legítimas.Los datos recopilados incluyen, pero no se limitan a: nombre y apellidos, número y tipo de identificación, fecha y lugar de nacimiento, dirección de correspondencia y envío, teléfono de contacto (fijo y móvil), correo electrónico, firma, historial laboral, información financiera y bancaria (para pagos y reembolsos), datos de navegación (dirección IP, cookies, historial de búsqueda, etc.), y preferencias comerciales. La Compañía solo recopilará la información que sea estrictamente necesaria para las finalidades descritas.
ARTÍCULO 8. TRATAMIENTO DE DATOS SENSIBLES Y DE MENORES DE EDAD
Datos Sensibles: La Compañía, por regla general, NO recopila ni trata Datos Sensibles. En el caso excepcional de que fuera estrictamente necesario para los fines de la relación (ej: información de salud de un empleado para gestionar una incapacidad), se recabará una autorización expresa, previa e informada que señale de manera inequívoca cuáles datos sensibles serán tratados y para qué finalidad específica. El Titular podrá negarse a proporcionarlos sin que ello conlleve perjuicio alguno, salvo que sea un dato obligatorio por ley.
Menores de Edad: Los servicios de SDC no están dirigidos a menores de edad. Solamente se tratarán datos personales de menores cuando sean estrictamente necesarios, previa autorización expresa de sus padres o representantes legales, y respetando en todo caso el interés superior del menor. Se verificará la autenticidad de la autorización en la medida de lo posible.
ARTÍCULO 9. AUTORIZACIÓN Y MECANISMOS PARA OBTENERLA: La Autorización podrá ser obtenida por medio de un documento físico, digital, mensaje de datos, sitio web, de manera verbal o telefónica o en cualquier otro formato que permita conservar prueba de su recolección. La aceptación expresa (check box) o inequívoca (realizar una compra, enviar un formulario) de los Términos y Condiciones y de esta Política de Privacidad implica la autorización del titular para los usos y otros tratamientos que aquí se describen, y la Compañía deberá conservar prueba de dicha autorización. El Aviso de Privacidad estará disponible en todo momento en el sitio web y se presentará en cada punto de recolección de datos.
ARTÍCULO 10. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS: La Compañía podrá transmitir, transferir y suministrar la información y datos personales de los Titulares a terceros Encargados del Tratamiento (ej: proveedores de hosting en el exterior, plataformas de email marketing, redes sociales, marketplaces internacionales), con el fin de que estos presten servicios necesarios para cumplir las finalidades descritas. Algunos de estos Encargados podrán estar ubicados en países que no proveen un nivel adecuado de protección de datos según estándares colombianos. En estos casos, SDC implementará cláusulas contractuales estándar, cláusulas de protección de datos o mecanismos legales idóneos para garantizar que dichos terceros cumplan con los mismos estándares de seguridad y confidencialidad que SDC aplica en sus propias operaciones, protegiendo los derechos de los Titulares. El Titular, al aceptar esta política, consiente de manera expresa dichas transferencias internacionales.
ARTÍCULO 11. MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN: La Compañía se compromete a realizar su mejor esfuerzo profesional para mantener altos estándares de calidad, protección y seguridad en el Tratamiento de los Datos Personales. Para ello, ha implementado un Sistema de Gestión de Seguridad de la Información que incluye, de manera enunciativa mas no limitativa:
· Medidas Técnicas: Uso de protocolos de seguridad SSL/TLS (https) en nuestro sitio web para cifrar la comunicación; sistemas de firewall y detección/prevención de intrusiones; almacenamiento de datos en servidores seguros con acceso restringido y autenticación robusta; copias de seguridad periódicas y cifradas; seudonimización y cifrado de datos sensibles; y actualizaciones periódicas de los sistemas.
· Medidas Administrativas: Políticas internas de confidencialidad y acceso a la información; contratos de confidencialidad con empleados y contratistas; procedimientos de clasificación de datos; designación de un responsable de protección de datos; y procesos de gestión de incidentes.
· Medidas Legales: Celebración de contratos de transmisión o transferencia de datos que obliguen a los Encargados del Tratamiento a proteger la información bajo los estándares de SDC y la ley colombiana.
· Capacitación: Programas regulares de capacitación y concienciación para todos los empleados y contratistas sobre la importancia de la protección de datos personales y las prácticas seguras. La prioridad es garantizar la disponibilidad, integridad, confidencialidad y resiliencia de los sistemas y servicios de tratamiento. Sin embargo, se advierte que ningún sistema de seguridad es infalible.
ARTÍCULO 11-A. PROCEDIMIENTO ANTE VULNERACIÓN DE DATOS: En caso de una violación de seguridad que comporte un riesgo para los derechos y libertades de los Titulares, SDC notificará dicho incidente a la Superintendencia de Industria y Comercio en un plazo máximo de 15 días hábiles siguientes a su identificación. Cuando el riesgo sea alto, se comunicará también a los Titulares afectados, de manera clara e inmediata, informando sobre la naturaleza del incidente, los datos comprometidos y las recomendaciones para mitigar posibles afectaciones.