Política de Privacidad y Protección de Datos Personales

1. Objetivo

El objetivo de la presente Política de Privacidad y Protección de Datos Personales (en adelante “Política de Privacidad”) es dar cumplimiento a las normas vigentes en materia de Protección de Datos Personales y, en especial, garantizar el derecho de hábeas data de los titulares de datos personales.

2. Alcance

La presente Política de Privacidad es aplicable tanto a Palomma S.A.S. (en adelante “Palomma”), en calidad de responsable del tratamiento, a sus empleados directos e indirectos, como a todas aquellas terceras personas naturales o jurídicas a quienes transmita datos personales de los titulares que comprenden los grupos de interés del responsable del tratamiento, cuando estos realicen algún tratamiento sobre los mismos por encargo del responsable.

En los casos en los que Palomma actúe en calidad de encargado del tratamiento, aplicarán las políticas de privacidad de los responsables que le encomienden el tratamiento. El responsable del tratamiento que le encomiende la actividad será el directo responsable de obtener las autorizaciones necesarias.

3. Identificación del responsable del tratamiento

• Razón Social: Palomma S.A.S.
• Domicilio: Medellín
• Dirección: Carrera 23 # 10 B 120
• Correo electrónico: ayuda@palomma.com

4. Definiciones

Para los efectos de la presente Política de Privacidad, se entenderá por:

• Adolescente: personas entre 12 y 18 años de edad.
• Autorización: consentimiento previo, expreso e informado del titular de datos personales para llevar a cabo el tratamiento, recolectada de manera escrita, oral o mediante conductas inequívocas.
• Aviso de privacidad: documento físico, electrónico o en cualquier otro formato generado por el responsable del tratamiento, puesto a disposición del titular.
• Base de Datos: conjunto organizado de datos personales físico o electrónico que sea objeto de tratamiento manual o automatizado.
• Datos personales: cualquier información vinculada o asociable a personas naturales determinadas o determinables. Pueden ser pública, semiprivada, privada o sensible.
• Dato privado: dato que por su naturaleza íntima o reservada solo es relevante para el titular.
• Dato público: dato calificado como tal por la ley o la Constitución y aquel que no sea semiprivado, privado o sensible.
• Datos sensibles: aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación (origen racial, orientación política, convicciones religiosas, salud, vida sexual, datos biométricos, entre otros). A los datos de niños, niñas y adolescentes se aplican las mismas reglas.
• Datos semiprivados: aquellos que no son íntimos, reservados ni públicos y cuyo conocimiento puede interesar al titular o a un grupo (por ejemplo, comportamiento financiero y crediticio).
• Encargado del tratamiento: persona natural o jurídica que realice el tratamiento por cuenta del responsable.
• Niño o niña: personas entre 0 y 12 años.
• Oficial de protección de datos personales: persona o área responsable de atender las PQRSD en materia de protección de datos personales.
• Plataforma: sitio web, apps y cualquier otro canal implementado por Palomma. Los Términos y Condiciones forman parte integral de esta Política.
• PQRSD: Peticiones, quejas, consultas, sugerencias, reclamos y denuncias en materia de protección de datos personales.
• Protección de datos: medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros.
• Responsable del tratamiento: persona que decide sobre la base de datos y/o el tratamiento.
• Titular: persona natural cuyos datos personales sean objeto de tratamiento.
• Transferencia: envío de datos personales a un receptor que también es responsable del tratamiento, dentro o fuera del país.
• Transmisión: tratamiento de datos personales que implica su comunicación al encargado por cuenta del responsable.
• Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, actualización, uso, circulación, transferencia, transmisión o supresión).
• Usuario: personas que utilizan el sitio web, plataformas, apps o canales que disponga Palomma.

5. Principios rectores

Los siguientes principios rigen el tratamiento de datos personales por parte del responsable, sus empleados y terceros a quienes se transmita o transfiera información:

• Legalidad: el tratamiento es una actividad reglada que debe sujetarse a la Ley 1581 de 2012 y sus normas.
• Finalidad: debe obedecer a una finalidad legítima, informada al Titular.
• Libertad: solo puede ejercerse con el consentimiento previo, expreso e informado del Titular, salvo mandato legal o judicial. Quedan exceptuados los datos públicos.
• Veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
• Transparencia: el Titular puede obtener información sobre los datos que le conciernen.
• Acceso y circulación restringida: los datos personales no podrán estar disponibles en internet salvo acceso técnicamente controlado.
• Seguridad: deben adoptarse medidas técnicas, humanas y administrativas para proteger los registros.
• Confidencialidad: todas las personas que intervengan en el tratamiento están obligadas a la reserva, incluso después de finalizada su relación.
• Necesidad: solo se tratan datos estrictamente necesarios para las finalidades indicadas.

6. Tratamientos y finalidades

Palomma podrá recolectar, almacenar, usar, circular, actualizar, suprimir o realizar cualquier otro tipo de tratamiento sobre datos personales de sus grupos de interés. Podrá tratar datos de usuarios pagadores, clientes finales de las ERP, comercios o ERP vinculadas a la plataforma, destinatarios de pagos, visitantes del sitio web y usuarios de herramientas de IA.

Finalidades principales:

• Cumplimiento del objeto social de Palomma.
• Gestión, administración y uso de la información necesaria para cumplir obligaciones legales, contractuales, tributarias, comerciales, corporativas y contables.
• Identificación de los titulares.
• Transmisión y transferencia nacional e internacional, almacenamiento y custodia de información y datos personales en archivos físicos o servidores propios o de terceros.
• Implementación de medidas de seguridad y restricción de acceso a las bases de datos.
• Conservación de la información con fines históricos, científicos y estadísticos.
• Garantizar el ejercicio de cualquier derecho de los titulares.
• Registro y control de entrada y salida de documentos.
• Administración de sistemas de información, gestión de claves y usuarios.
• Planeación, control, medición y seguimiento del impacto de decisiones.
• Diseño e implementación de estrategias para optimizar recursos.
• Envío de comunicaciones por teléfono, correo, SMS, MMS, chats, RCS, notificaciones push u otros medios.
• Convocatoria y ejecución de programas, reuniones, capacitaciones y eventos, incluyendo registros documentales.
• Marketing y remarketing.
• Ofrecimiento de bienes y servicios del responsable y de sus aliados.
• Actualización de datos del titular, su empleador o contratante.
• Implementación de controles, estadísticas e históricos de las relaciones.
• Soporte en auditorías internas y externas, revisorías fiscales y consultorías.
• Control y prevención de fraude, lavado de activos y financiación del terrorismo.
• Reportes y atención de requerimientos de autoridades administrativas y judiciales.
• Elaboración y presentación de demandas, denuncias y defensa en procesos administrativos o judiciales.
• Cumplimiento de contratos suscritos entre el responsable y los titulares.
• Gestión administrativa, financiera y contable, creación de terceros y registro en bases de datos.
• Elaboración y control de información financiera y contable, indicadores, presupuestos y flujo de caja.
• Gestión fiscal y generación de información tributaria.
• Atención de PQRSD.
• Contratación de pólizas de seguros y de servicios financieros.
• Análisis de comportamiento, perfiles y segmentación del mercado, predicción, clasificación, minería de datos, identificación de navegador, logs, información de dispositivos (IP, sistema operativo, operador, tiempo de permanencia, fecha, país y ciudad).
• Gestión de registro como usuario de los servicios.
• Gestión y procesamiento de transacciones de recaudo y pago, incluyendo validación de identidad, autenticación, confirmación y conciliación.
• Transferencia de datos a aliados, clientes, proveedores, empresas de pagos, entidades financieras y aseguradoras.
• Acreditación de identidad y verificación de información proporcionada a través de la Plataforma.
• Evaluación, monitoreo y registro de la actividad y uso de la Plataforma.
• Facilitación de transferencias de recursos entre usuarios, ERP, clientes y terceros destinatarios.
• Gestión del historial de transacciones, conciliaciones, reportes financieros y analítica de pagos.
• Gestión de facturación y cobranza.
• Actividades para promover, mantener y mejorar los servicios de Palomma o sus aliados.
• Evaluación del nivel de satisfacción respecto a productos y servicios.
• Gestión de reclamaciones por garantía.
• Transmisión y transferencia de datos a encargados, filiales, controladoras, subsidiarias, contratistas, proveedores y aliados estratégicos.
• Fidelización de los titulares y reconocimiento de beneficios y servicio postventa.
• Uso de herramientas de inteligencia artificial para gestionar interacciones automatizadas (atención de consultas, envío de información, automatización de procesos de recaudo y servicio al cliente).
• Análisis de interacciones con sistemas de IA para mejorar la calidad del servicio, entrenar modelos y optimizar la experiencia, con anonimización o seudonimización cuando aplique.
• Interoperabilidad entre la plataforma Palomma, ERP, entidades financieras, pasarelas de pago, proveedores tecnológicos y aliados.
• Demás finalidades indicadas en la presente Política, en la autorización del titular y en los avisos de privacidad y Términos y Condiciones aplicables.

7. Derechos de los titulares

1. Conocer, actualizar y rectificar sus datos personales frente a los responsables o encargados del tratamiento.
2. Solicitar prueba de la autorización otorgada al responsable del tratamiento, salvo excepciones legales.
3. Ser informado por el responsable o el encargado, previa solicitud, respecto al uso dado a sus datos personales.
4. Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a las normas vigentes.
5. Revocar la autorización y/o solicitar la supresión del dato cuando no se respeten los principios, derechos y garantías legales.
6. Acceder en forma gratuita a los datos personales que hayan sido objeto de tratamiento.

La solicitud de supresión y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

8. Deberes del responsable del tratamiento

1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar copia de la autorización otorgada por el titular.
3. Informar al titular sobre la finalidad de la recolección y los derechos que le asisten.
4. Conservar la información bajo condiciones de seguridad necesarias.
5. Garantizar que la información suministrada al encargado sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando novedades al encargado.
7. Rectificar la información incorrecta y comunicarlo al encargado.
8. Suministrar al encargado únicamente datos cuyo tratamiento esté previamente autorizado.
9. Exigir al encargado el respeto a las condiciones de seguridad y privacidad de la información.
10. Tramitar las PQRSD en los términos legales.
11. Adoptar un manual interno de políticas y procedimientos para la atención de PQRSD.
12. Informar al encargado cuando información se encuentre en discusión por el titular.
13. Informar a solicitud del titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos sobre violaciones a los códigos de seguridad.
15. Cumplir las instrucciones y requerimientos de las autoridades competentes.

9. Deberes de los encargados del tratamiento

1. Cumplir con la Política de privacidad y demás procedimientos del responsable.
2. Adoptar medidas técnicas, humanas y administrativas para la seguridad de los registros.
3. Implementar una política de protección de datos personales conforme a la ley.
4. Dar tratamiento conforme a las instrucciones del responsable, sin usar los datos para fines distintos.
5. Abstenerse de suministrar, ceder o comercializar los datos personales con terceros, salvo causas legales.
6. Guardar estricta confidencialidad respecto a los datos a los que tuvieran acceso, incluso después de terminada la relación.
7. Acceder a la información únicamente cuando sea estrictamente necesario.
8. Reportar al responsable de manera inmediata cualquier incidente o amenaza de incidente.
9. Garantizar en todo tiempo el pleno ejercicio del derecho de hábeas data y el debido proceso en PQRSD.
10. Realizar oportunamente la actualización, rectificación o supresión de los datos.
11. Actualizar la información reportada por el responsable dentro de los cinco (5) días hábiles siguientes.
12. Adoptar un manual interno de políticas y procedimientos.
13. Abstenerse de circular información controvertida por el titular cuyo bloqueo haya sido ordenado.
14. Permitir el acceso solo a las personas autorizadas.
15. Cumplir las instrucciones de la autoridad competente.
16. Cuando recolecte datos por cuenta del responsable, requerir la autorización de los titulares.

10. Oficial de protección de datos personales

El área que ejerce las funciones de oficial de protección de datos personales es el área de atención al cliente, que velará por la adecuada garantía de los derechos de los titulares y la atención de PQRSD.

11. Procedimiento para ejercer derechos

Las PQRSD podrán presentarse a través del siguiente canal:

• Correo electrónico: ayuda@palomma.com

Personas facultadas para presentar PQRSD:

• El titular, quien deberá acreditar su identidad.
• Los causahabientes del titular, acreditando tal calidad.
• El representante y/o apoderado del titular, previa acreditación.
• Por estipulación a favor de otro o para otro, con aceptación del titular.

Los derechos de niños, niñas y adolescentes se ejercerán por las personas facultadas para representarlos. Las PQRSD deberán contener al menos: (i) nombre y medio de contacto; (ii) documentos que acrediten identidad o representación legal; (iii) descripción clara de los datos personales sobre los que se ejerce el derecho; (iv) en su caso, manifestación expresa para revocar el consentimiento; y (v) cualquier otro elemento que facilite la localización de los datos.

Las peticiones, quejas, reclamos y denuncias se resolverán dentro de los quince (15) días hábiles siguientes a su presentación. Las consultas se resolverán dentro de los diez (10) días hábiles siguientes.

12. Vigencia

La presente Política de Privacidad y Protección de Datos Personales rige a partir del 07 de marzo de 2026. Las bases de datos sujetas a tratamiento estarán vigentes mientras subsistan las finalidades para las cuales se recolectaron los datos y/o el término que establezca la ley.

El responsable del tratamiento se reserva el derecho de modificar en cualquier momento esta política. En caso de cambios sustanciales que afecten la identificación del responsable o la finalidad del tratamiento, se comunicará al titular antes de o al momento de implementar las nuevas políticas y se requerirá una nueva autorización cuando el cambio se refiera a la finalidad del tratamiento.