1. Objetivo
El objetivo de la presente Política de Privacidad y Protección de Datos Personales, (en adelante “Política de Privacidad”), es dar cumplimiento a las normas vigentes en materia de Protección de Datos Personales.
2. Alcance
La presente Política de Privacidad es aplicable tanto a Palomma S.A.S. (en adelante “Palomma”), en calidad de responsable del tratamiento, a sus empleados directos e indirectos, como a todas aquellas terceras personas naturales o jurídicas a quienes transmitan datos personales de los titulares que comprenden los grupos de interés del responsable del tratamiento, cuando estos realicen algún tratamiento sobre los mismos por encargo del responsable del tratamiento.
3. Identificación del responsable del tratamiento
Razón Social:
Palomma S.A.S.
Domicilio:
Medellín
Dirección:
Carrera 23 # 10 B 120
Correo electrónico:
info@palomma.com
4. Definiciones
Para los efectos de la presente Política de Privacidad, se entenderá por “Adolescente” significa personas entre 12 y 18 años de edad.
“Autorización” significa el consentimiento previo, expreso e informado del titular de datos personales para llevar a cabo el tratamiento de sus datos personales, la cual puede ser recolectada de manera (i) escrita, (ii) oral o (iii) mediante conductas inequívocas, que permitan concluir de manera razonable que este otorgó la autorización.
"Aviso de privacidad" significa el documento físico, electrónico o en cualquier otro formato generado por el responsable del tratamiento, que se pone a disposición del titular para el tratamiento de sus datos personales. En el aviso de privacidad se comunica al titular la siguiente información: i) Nombre o razón social y datos de contacto del responsable del tratamiento; ii) el Tratamiento al cual serán sometidos los datos y la finalidad del mismo; iii) los derechos que le asisten al titular; y iv) los mecanismos dispuestos por el responsable para que el titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente.
“Base de Datos” significa el conjunto organizado de datos personales físico o electrónico (digital) que sea objeto de tratamiento manual o automatizado, establecidos en una o varias ubicaciones.
“Datos personales” significa cualquier información vinculada o que pueda asociarse a una o varias personas naturales o físicas determinadas o determinables. La naturaleza de los datos personales puede ser pública, semiprivada, privada o sensible. Los datos podrán ser recolectados por parte del responsable del tratamiento directamente del titular, por terceros que se la remitan y/o por fuentes de acceso público (incluyendo, pero sin limitarse a: redes sociales, páginas web y/o plataformas de entidades públicas o privadas), garantizando en todo momento los derechos que le asisten a los titulares.Los datos personales que podrán ser recolectados y tratados, son entre otros, la identificación, datos personales de contacto, datos personales de ubicación, datos académicos, datos personales laborales, datos personales fiscales, datos personales financieros y/o patrimoniales.
“Dato privado” significa el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.
“Dato público” significa el dato calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible.
“Datos sensibles” significan aquellos que afectan la intimidad del titular de datos personales o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos (huella dactilar, el iris del ojo, voz, forma de caminar, palma de la mano o los rasgos del rostro, fotografías, videos, entre otros). A los datos personales de niños, niñas y/o adolescentes, se les aplicarán las mismas normas y procedimientos que a los datos sensibles, y no se le dará tratamiento alguno que pueda vulnerar o amenazar su desarrollo físico, mental y emocional.
“Datos semiprivados” significan aquellos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a la sociedad en general. Se entiende por dato semiprivado, entre otros, la información relacionada con seguridad social y con el comportamiento financiero y crediticio.
“Encargado del tratamiento” significa cualquier persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
“Niño o niña” significan las personas entre los 0 y 12 años de edad.
“Oficial de protección de datos personales” es la persona o área responsable de velar porque se atiendan las PQRSD que se presenten en materia de protección de datos personales y de velar porque se cumplan las políticas, directrices y procedimientos que conforman el Programa de Protección de Datos Personales.
“Plataforma” significa el sitio web implementado por Palomma para la adquisición de los servicios ofrecidos por esta, así como apps y/o cualquier otro canal que en el futuro implemente el responsable del tratamiento. Los Términos y Condiciones de la Plataforma vigentes, forman parte integral de la presente Política de Privacidad.
“PQRSD” significan las Peticiones, quejas, consultas, sugerencias, reclamos y denuncias en materia de protección de datos personales.
“Protección de datos” son todas las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
“Responsable del tratamiento” significa la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
“Titular” significa la persona natural o física cuyos datos personales sean objeto de tratamiento.
“Transferencia” La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
“Transmisión” corresponde al tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del país de domicilio del responsable del tratamiento, cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
“Tratamiento” significa cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, actualización, uso, circulación, transferencia, transmisión o supresión.
“Usuario” significan las personas que utilizan el Sitio Web, Apps o los canales que disponga Palomma.
5. Principios Rectores
Los siguientes, son los principios rectores en materia de protección de datos personales, y aplicarán al tratamiento que realicen el responsable de tratamiento, sus empleados y todas aquellas terceras personas naturales o jurídicas a quienes transmita o transfiera datos personales de los titulares que comprenden sus grupos de interés, cuando estos realicen algún tratamiento sobre los mismos.
Principio de legalidad en el tratamiento de datos personales: El tratamiento de datos personales a que se refiere la Ley Estatutaria 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
Principio de finalidad: El tratamiento de los datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al Titular.
Principio de libertad: El tratamiento de los datos personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. El tratamiento sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Quedan exceptuados de este principio los datos públicos, los cuales podrán ser objeto de tratamiento sin que se requiera autorización del titular, conforme con lo dispuesto por las normas vigentes.
Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.
Principio de seguridad: La información sujeta a tratamiento, se deberá proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
6. Tratamientos a los cuales serán sometidos los datos personales y sus finalidades
Para los efectos de la presente Política de Privacidad, el responsable del tratamiento directamente o a través de encargados del tratamiento, podrá recolectar, almacenar, usar, circular, actualizar, suprimir o realizar cualquier otro tipo de tratamiento sobre los datos personales de sus grupos de interés, ajustándose en todo momento a lo dispuesto por las normas vigentes y para las finalidades que se describen a continuación.
1. Finalidades generales para el tratamiento de datos personales de diferentes grupos de interés
Cumplir el objeto social de Palomma.
Gestionar, administrar y usar toda la información necesaria para el cumplimiento de las obligaciones legales y contractuales de Palomma, así como las obligaciones tributarias, comerciales, corporativas y contables.
Identificación de los titulares.
Transmisión y transferencia nacional e internacional y almacenamiento y custodia de información y/o datos personales en archivos físicos o servidores propios y/o de terceros, ubicados dentro o fuera del país, en países seguros en materia de protección de datos o aquellos que no lo sean, siempre que se requiera para el desarrollo de las actividades propias de la organización y las relaciones con el titular, su empleador o contratante.
Implementación de medidas de seguridad y restricción de acceso a las bases de datos y de información en general.
Conservación de la información con fines históricos, científicos y estadísticos.
Garantizar el ejercicio de cualquier derecho de los titulares, sus empleadores o contratantes.
Registro y control de entrada y salida de documentos.
Administración de sistemas de información, gestión de claves, administración de usuarios, etc.
Planeación, control, medición y seguimiento del impacto de las decisiones tomadas al interior de la organización y análisis de impacto de factores externos.
Diseño, elaboración e implementación de estrategias y metas para optimizar recursos económicos, tecnológicos y humanos.
Envío de comunicaciones relacionadas con las finalidades contenidas en la presente política de privacidad, las actividades propias del responsable del tratamiento, a través de los datos de contacto profesionales, empresariales y/o personales de los titulares, incluyendo, pero sin limitarse a teléfono fijo y/o móvil, correo físico y/o electrónico, mensajes de texto sms y/o mms, chats, RCS, notificaciones push, medios electrónicos y/o cualquier otro medio de comunicación.
Convocatoria y ejecución de programas, reuniones, capacitaciones y eventos, así como la conservación de registros documentales de los mismos, tales como listas de asistencia, fotografías, grabaciones de voz y/o videos.
Marketing y remarketing.
Ofrecimiento de bienes y/o servicios del responsable del tratamiento y/o de sus aliados estratégicos.
Campañas de actualización de datos del titular, su empleador o contratante.
Controles, estadísticas e históricos de las relaciones mantenidas con los titulares de los diferentes grupos de interés.
Soporte en procesos de auditorías internas y/o externas, revisorías fiscales, consultorías e implementación de planes de mejora.
Control y prevención del fraude, control y prevención de lavado de activos/dinero y financiación del terrorismo.
Reportes ante autoridades administrativas y judiciales competentes.
Atención de requerimientos realizados por autoridades administrativas y judiciales competentes.
Elaboración y presentación de demandas y denuncios ante las autoridades competentes, así como ejercer el derecho de defensa en cualquier proceso administrativo y/o judicial.
Cumplimiento a las obligaciones derivadas de los contratos suscritos entre el responsable del tratamiento y los titulares, o con los contratantes o empleadores de estos, o por mandato legal o judicial.
Gestión administrativa, financiera y contable, creación de terceros, y registro en las bases de datos del responsable del tratamiento.
Elaboración, registro y control de información financiera y contable, estados financieros, indicadores de gestión, sistema de costos, presupuestos y flujo de caja, entre otros.
Gestión fiscal y generación de información tributaria.
Atención de PQRSD.
Contratación de pólizas de seguros y solicitud de amparos.
Solicitud de créditos o servicios financieros.
Demás finalidades indicadas en la presente Política de Privacidad, en la autorización otorgada por el titular y/o en los avisos de privacidad.
2. Finalidades generales para el tratamiento de datos personales de Usuarios y Comercios.
Análisis de comportamiento, hábitos de consumo, perfiles y segmentación del mercado.
Marketing y remarketing.
Ofrecimiento de bienes y/o servicios del responsable del tratamiento y/o de sus aliados estratégicos.
Gestión de registro como usuario de nuestros servicios.
Transferencia de Datos Personales a los comercios y demás proveedores, empresas de pagos, entidades financieras, aseguradoras, subsidiarias, controladoras y filiales, entre otros, que requieran conocer dicha información para proporcionar los servicios de forma efectiva o tomar decisiones.
Acreditar la identidad y verificar la información proporcionada a través de la Plataforma.
Gestionar la solicitud y búsqueda de los servicios solicitados.
Contacto con el fin de realizar aclaraciones y seguimiento sobre el uso de la Plataforma, tales como quejas o comentarios sobre la misma.
Realizar las actividades necesarias para la prestación de los servicios.
Evaluar, monitorear y registrar la actividad y uso de la Plataforma y de los servicios de Palomma o sus aliados.
Prevenir fraudes o posibles conductas ilícitas.
Gestionar pagos a través de los diversos medios de pago permitidos por la Plataforma de Palomma.
Llevar a cabo actividades de facturación y cobranza.
Gestionar actividades encaminadas a promover, mantener y mejorar los servicios de Palomma o sus aliados.
Evaluar el nivel de satisfacción respecto a los productos y servicios.
Gestión de reclamaciones por garantía de los productos o servicios.
Transmisión y transferencia de datos de contacto a los encargados del tratamiento, cualesquiera de sus filiales, controladoras o subsidiarias, contratistas y proveedores y/o aliados estratégicos, para que traten los datos personales del titular, para los fines indicados en la presente política de privacidad.
Fidelización de Usuarios y reconocimiento de beneficios y servicio postventa.
7. Derechos de los titulares
Son derechos de los titulares de datos personales:
1. Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento.
3. Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto al uso que le ha dado a sus datos personales.
4. Presentar quejas por infracciones a lo dispuesto en las normas vigentes ante la Superintendencia de Industria y Comercio.
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
6. Acceder en forma gratuita a los datos personales que hayan sido objeto de tratamiento.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
8. Deberes del responsable del tratamiento
Es deber del responsable del tratamiento
1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar por cualquier medio y en las condiciones previstas en las normas vigentes, copia de la respectiva autorización otorgada por el titular.
3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
8. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en las normas vigentes.
9. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
10. Tramitar las PQRSD formulados en los términos señalados en las normas vigentes.
11. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las normas vigentes y en especial, para la atención de PQRSD.
12. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
15. Cumplir las instrucciones y requerimientos que impartan las autoridades competentes en la materia.
9. Deberes de los encargados del tratamiento
Es deber del encargado del tratamiento
1. Cumplir en el desarrollo de las actividades contratadas, con la Política de privacidad y protección de datos personales, así como con todos aquellos procedimientos, guías y/o directrices que imparta el responsable del tratamiento en materia de protección de datos personales.
2. Adoptar, según instrucciones del responsable del tratamiento, todas las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Implementar una política de protección de datos personales que se ajuste a lo dispuesto por las normas que regulan la materia.
4. Dar tratamiento a los datos personales conforme a las instrucciones que reciba expresamente del responsable del tratamiento, absteniéndose de usarlos para fines distintos a los contratados.
5. Abstenerse de suministrar, ceder o comercializar los datos personales con terceras personas naturales o jurídicas, públicas o privadas, salvo que la misma sea de naturaleza pública sin sujeción a reserva, o sea requerida por una autoridad competente en el ejercicio de sus funciones legales.
6. Guardar estricta confidencialidad respecto de los datos de carácter personal a que tuvieran acceso en ejercicio de las actividades contratadas, así como a cumplir diligentemente el deber de guardia y custodia sobre los mismos durante todo el término de vigencia del contrato y aún después de producida la terminación.
7. Acceder o consultar la información o datos personales que reposen en las bases de datos del responsable del tratamiento únicamente cuando sea estrictamente necesario para el ejercicio de las actividades contratadas.
8. Reportar al responsable del tratamiento de manera inmediata a su materialización o al momento en que llegaren a su conocimiento, por los conductos y medios establecidos por este, cualquier incidente o amenaza de incidente que afecte o pueda llegar a afectar directa o indirectamente la protección de datos personales.
9. Garantizar en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data de los titulares, así como el debido proceso en caso de presentarse PQRSD en materia de protección de datos personales.
10. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos establecidos en las normas vigentes.
11. Actualizar la información reportada por el responsable del tratamiento, dentro de los cinco (5) días hábiles contados a partir de su recibo.
12. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las normas vigentes y, en especial, para la atención de PQRSD por parte de los titulares.
13. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por una autoridad competente.
14. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
15. Cumplir las instrucciones y requerimientos que imparta una autoridad competente.
16. En caso de recolectar datos por cuenta del responsable de tratamiento, requerir la autorización de los titulares, en los casos en los que se requiera, conforme a lo dispuesto por las normas vigentes.
10. Oficial de protección de datos personales
El área o persona que ejercerá, las funciones de oficial de protección de datos personales será el área de atención al cliente quien, velará entre otras, por la adecuada garantía de los derechos de los titulares, en especial, la atención de PQRSD.
11. Procedimiento para que los titulares de la información puedan ejercer los derechos
Los titulares o aquellas personas que se encuentren legitimadas por normas vigentes pueden presentar PQRSD a través del siguiente canal:
Correo electrónico:
info@palomma.com
Las siguientes, son las personas facultadas para presentar PQRSD:
El titular, quien deberá acreditar su identidad en forma suficiente.
Los causahabientes del titular, quienes deberán acreditar tal calidad.
El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
Por estipulación a favor de otro o para otro, siempre que medie la aceptación por parte del titular, de lo cual, se deberá presentar constancia en la solicitud.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
Las PQRSD deberán contener como mínimo: i) nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud; ii) los documentos que acrediten su identidad (credencial para votar, pasaporte o cartilla militar) o, en su caso, la representación legal (además de los documentos que acrediten la identidad del titular, carta poder o poder especial y documentos que acrediten la identidad del representante); iv) la descripción clara y precisa de los datos personales respecto de los que se solicita ejercer alguno de los derechos; v) si es del caso, la manifestación expresa para revocar su consentimiento al tratamiento de sus datos personales y por tanto, para que no se usen; y vi) cualquier otro elemento que facilite la localización de los datos personales.
Las peticiones, quejas, reclamos y denuncias, serán resueltas dentro de los quince (15) días hábiles siguientes a su presentación por parte del titular o persona legitimada. Los términos aquí establecidos, empezarán a contar el día hábil siguiente a la presentación. Las consultas, deberán resolverse dentro de los diez (10) días hábiles siguientes a su presentación por parte del titular o persona legitimada. Los términos aquí establecidos, empezarán a contar el mismo día de presentación, salvo que se presente en días no hábiles. En este último caso, los términos comenzarán a regir el primer día hábil siguiente a la presentación.
12. Vigencia
La presente Política de Privacidad y Protección de Datos Personales, rige a partir del 1 de Febrero de 2023.Las bases de datos sujetas a tratamiento por parte del responsable del tratamiento estarán vigentes mientras subsistan las finalidades para las cuales se recolectaron los datos y/o el término que establezca la ley.El responsable del tratamiento se reserva el derecho de modificar en cualquier momento la presente política de privacidad. En caso de haber cambios sustanciales en el contenido de esta, en relación con la identificación del responsable del tratamiento y la finalidad del tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el responsable del tratamiento comunicará estos cambios al titular antes de o a más tardar al momento de implementar las nuevas políticas y requerirá una nueva autorización cuando el cambio se refiera a la finalidad del tratamiento.