Política de Tratamiento y Protección de Datos Personales - CasaToro Colombia
Logo CasaToro
Versión: 002
Código: GLG-PO-0002

POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES

IDENTIFICACIÓN DEL RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES
EMPRESACASATORO S.A BIC en adelante “La Empresa”
NIT830.004.993-8
DIRECCIÓNCarrera 72 No. 170-97
CORREO ELECTRÓNICOseguridaddedatos@casatoro.com
TELÉFONO(+57) 601 7460010
ÁREA RESPONSABLEÁrea de cumplimiento / Oficial de Protección de Datos Personales

La Empresa es una sociedad cuya actividad económica principal comprende la importación, comercialización y distribución de vehículos automotores y sus autopartes, así como la prestación de servicios de reparación, mantenimiento y demás servicios asociados a dichos vehículos.

En desarrollo de su objeto social y de las actividades propias de su operación comercial, La Empresa realiza el tratamiento de datos personales de clientes, proveedores, empleados, razón por la cual adopta la presente Política de Tratamiento de Datos Personales, en cumplimiento de lo dispuesto en la Ley 1581 de 2012, el Decreto 1377 de 2013, compilado en el Decreto 1074 de 2015, y las instrucciones impartidas en el Título V de la Circular Única de la Superintendencia de Industria y Comercio, así como las demás normas que las modifiquen, adicionen o sustituyan.

En este sentido, La Empresa actúa como Responsable del Tratamiento de los datos personales, en los términos de la normativa vigente, y reconoce la importancia de garantizar el derecho fundamental de hábeas data, asegurando que el tratamiento de la información personal se realice conforme a los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad, así como a las disposiciones y lineamientos establecidos por la Superintendencia de Industria y Comercio.

Marco normativo

La presente política de tratamiento de datos personales de la compañía, se encuentra amparada por los artículos 15 y 20 de la Constitución Política de Colombia, alineadas con lo dispuesto en la Ley 1581 de 2012, el Decreto 1074 de 2015 (Capítulos 25 y 26), la Ley 1266 de 2008, Ley 2300 de 2023, Ley 2439 de 2024 y las demás normas que las modifiquen, sustituyas y/o adicionen, aplicadas a la recolección, manejo, uso, gestión y disposición final de los datos personales.

Definiciones aplicables

Para efectos de la presente Política de Tratamiento de Datos Personales, se adoptan las siguientes definiciones, de conformidad con la normatividad vigente:

Autorización:
Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales.

Base de Datos:
Conjunto organizado de Datos Personales que sea objeto de Tratamiento, ya sea en medios electrónicos o físicos, cualquiera que sea la modalidad de su formación, almacenamiento, organización y acceso.

Dato Personal:
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Público:
Es el dato personal calificado así según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, su profesión u oficio, su calidad de comerciante o de servidor público, y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, así como en sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato Sensible:
Dato personal que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas, filosóficas o morales, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de partidos políticos o garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del Tratamiento:
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.

Autorizado:
Persona natural o jurídica que, por virtud de la Autorización otorgada por el Titular o por mandato legal, tenga legitimidad para realizar el Tratamiento de Datos Personales.

Habilitación:
Legitimación otorgada por el Responsable del Tratamiento a terceros, mediante contrato o documento que haga sus veces, para realizar el Tratamiento de Datos Personales en calidad de Encargados, conforme a la ley y a las presentes Políticas.

Responsable del Tratamiento:
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los Datos Personales.

Titular:
Persona natural a quien se refieren los Datos Personales que reposan en una Base de Datos y quien es el sujeto del derecho fundamental de hábeas data.

Transferencia:
Tiene lugar cuando el responsable del Tratamiento y/o Encargado del Tratamiento envía los Datos Personales a un receptor que, a su vez, es Responsable del Tratamiento, y se encuentra dentro o fuera del territorio de la República de Colombia.

Transmisión:
Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando dicha comunicación tenga por objeto la realización de un Tratamiento por parte del Encargado, por cuenta del responsable.

Tratamiento de Datos Personales:
Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación, supresión, transmisión o transferencia.

Formato de Hábeas Data:
Documento físico, electrónico o en cualquier otro formato, mediante el cual el Responsable del Tratamiento informa al Titular sobre la existencia de la presente Política, la finalidad del Tratamiento de los Datos Personales, los derechos que le asisten y los mecanismos para ejercerlos, y a través del cual se obtiene, cuando sea necesario, la Autorización correspondiente.

Principios aplicables al tratamiento de datos personales

En el desarrollo de sus actividades, La Empresa realizará el Tratamiento de Datos Personales conforme a los principios consagrados en la Constitución Política, la ley y las instrucciones impartidas por la Superintendencia de Industria y Comercio, en especial los siguientes:

Principio de legalidad en materia de tratamiento de datos personales:
El Tratamiento de Datos Personales es una actividad reglada que debe sujetarse a lo dispuesto en la Constitución Política, la ley, la Circular Única de la Superintendencia de Industria y Comercio en su Título V y las demás disposiciones que desarrollen el régimen de protección de datos personales, así como a las instrucciones impartidas por la Superintendencia de Industria y Comercio.

Principio de finalidad:
El Tratamiento de Datos Personales debe obedecer a una finalidad legítima, específica y acorde con la Constitución y la ley, la cual será informada previamente al Titular de manera clara, suficiente y comprensible.

Principio de libertad:
El Tratamiento de Datos Personales sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos, utilizados o divulgados sin autorización previa, salvo en los casos expresamente autorizados por la ley o por mandato judicial o administrativo.

Principio de veracidad o calidad:
La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia:
En el Tratamiento de Datos Personales se garantizará al Titular el derecho a obtener del Responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones indebidas, información acerca de la existencia de datos personales que le conciernan, así como sobre su tratamiento.

Principio de acceso y circulación restringida:
El Tratamiento de Datos Personales se sujetará a los límites que se derivan de la naturaleza de los datos, de la ley y de la Constitución. En consecuencia, el acceso y circulación de los datos personales sólo podrá realizarse por personas autorizadas por el Titular o por quienes estén legalmente facultados.

Los datos personales, salvo la información de naturaleza pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable y se garantice un conocimiento restringido exclusivamente a los Titulares o a terceros debidamente autorizados.

Principio de seguridad:
La información sujeta a Tratamiento deberá ser manejada con las medidas técnicas, humanas y administrativas razonables y necesarias para garantizar su seguridad, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, de conformidad con los estándares exigidos por la ley y las instrucciones de la Superintendencia de Industria y Comercio.

Principio de confidencialidad:
Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos estarán obligadas a garantizar la reserva y confidencialidad de la información, incluso después de finalizada su relación con las labores que comprendan el Tratamiento. Los datos personales sólo podrán ser suministrados o comunicados cuando ello corresponda al desarrollo de actividades autorizadas por la ley y en los términos de la misma.

Finalidades del tratamiento de datos personales

En desarrollo de su objeto social y dentro del giro ordinario de sus actividades, La Empresa tiene relaciones comerciales y/o jurídicas con clientes, proveedores, aliados comerciales, vinculados y demás terceros autorizados, en virtud de las cuales recolecta, almacena, usa, actualiza, transmite y transfiere datos personales.

En este sentido, La Empresa informa a los Titulares que, mediante la autorización otorgada, la compañía se encuentra facultada para recolectar, almacenar, usar, circular, transmitir y transferir, a nivel nacional e internacional, los datos personales, comerciales y financieros suministrados por medios físicos, electrónicos o digitales, para las finalidades que se indican a continuación, las cuales serán desarrolladas de conformidad con la ley, las presentes políticas y las instrucciones de la Superintendencia de Industria y Comercio:

Finalidades aplicables a clientes:
Los datos personales de los clientes, entendidos como personas naturales o jurídicas que mantienen o buscan mantener una relación comercial o contractual con La Empresa serán tratados para las siguientes finalidades:

Finalidades comerciales, contractuales y de prestación del servicio:

• Proveer servicios y productos.

• Mejorar la experiencia de los clientes.

• Dar información sobre nuevos productos o servicios, cambios en los mismos, promociones, información comercial y eventos.

• Implementar programas de Fidelización de clientes.

• Analizar perfiles.

• Realizar encuestas de opinión y satisfacción.

• Adelantar procesos de prospección comercial.

• Segmentar mercados.

• Gestionar procesos administrativos, comerciales, operativos y de logística asociados a los productos y servicios que comercializa La Empresa.

• Realizar procesos de gestión de facturación, consulta a centrales de riesgo, recaudo, pagos, devoluciones y demás obligaciones económicas derivadas de la relación comercial.

Finalidades de seguridad y autenticación:

• Realizar el tratamiento de datos sensibles, tales como huellas dactilares o cálculos derivados de éstas, fotografías, imágenes de video, datos de ubicación, información de dispositivos, direcciones IP, VPN, correos electrónicos y números telefónicos, exclusivamente para:

• Procesos de autenticación, identificación y verificación de identidad.

• Implementación de firma electrónica o digital, en los términos de la Ley 527 de 1999 y las demás que la modifiquen o subroguen, para la firma de documentos y el envío de mensajes de datos.

• Verificación de la autenticidad de la autorización otorgada.

• Brindar una capa adicional de seguridad para la protección del Titular y de la información.

• El Titular no está obligado a autorizar el tratamiento de datos sensibles, salvo cuando sea estrictamente necesario para el cumplimiento de las finalidades descritas o cuando exista un deber legal.

Finalidades de transferencia, transmisión y cumplimiento normativo:

• Suministrar, transmitir o transferir datos personales, comerciales y financieros a:

• Entidades bancarias o financieras.

• Aliados comerciales.

• Proveedores tecnológicos, logísticos u operativos.

• Sociedades matrices, filiales, accionistas o vinculados económicos de la compañía.

• Realizar actividades de control, prevención y detección del fraude.

• Dar cumplimiento a obligaciones legales y regulatorias, incluyendo la prevención y control de actividades ilícitas como lavado de activos, financiación del terrorismo, soborno transnacional y demás delitos asociados a la corrupción.

• En todo caso, cuando La Empresa transmita los datos a uno o varios encargados ubicados en Colombia o en el exterior, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará el alcance del tratamiento, las actividades que realizará el encargado por cuenta del responsable y las obligaciones del encargado con respecto del tratamiento y los titulares de la información así como del responsable.

• En caso de transferencia, La Empresa cumplirá con las obligaciones estipuladas en la Ley 1581 de 2012 y el Decreto 1074 de 2015.

Finalidades aplicables a proveedores:
Los datos personales de los proveedores, contratistas y aliados estratégicos serán tratados para las siguientes finalidades:

Finalidades contractuales y operativas:

• Solicitar consultorías, auditorías, asesorías y servicios relacionados.

• Gestionar procesos de selección, vinculación, contratación y evaluación de proveedores.

• Administrar consultorías, auditorías, asesorías y servicios relacionados con el objeto social de la compañía.

• Realizar la gestión administrativa, operativa y contractual de la relación con proveedores.

• Gestionar la facturación, cuentas por pagar, cobros, pagos y demás obligaciones económicas y contables.

• Llevar a cabo la gestión económica, financiera y contable correspondiente.

Finalidades de seguridad y autenticación:

Realizar el tratamiento de datos sensibles, tales como huellas dactilares o cálculos derivados de estas, fotografías, imágenes de video, datos de ubicación, información de dispositivos, direcciones IP, VPN, correos electrónicos y números telefónicos, exclusivamente para:

• Procesos de autenticación, identificación y verificación de identidad.

• Implementación de firma electrónica o digital en los términos de la Ley 527 de 1999, para la firma de documentos y el envío de mensajes de datos.

• Verificación de la autenticidad de la autorización otorgada.

• Brindar una capa adicional de seguridad para la protección del Titular y de la información.

• El Titular no está obligado a autorizar el tratamiento de datos sensibles, salvo cuando sea estrictamente necesario para el cumplimiento de las finalidades descritas o cuando exista un deber legal.

Finalidades de transferencia, transmisión y cumplimiento normativo:

• Suministrar, transmitir o transferir datos personales, comerciales y financieros a:

• Entidades bancarias o financieras.

• Aliados comerciales.

• Proveedores tecnológicos, logísticos u operativos.

• Sociedades matrices, filiales, accionistas o vinculados económicos de la compañía.

Lo anterior, exclusivamente para el cumplimiento de las finalidades aquí descritas, bajo los estándares legales de protección de datos.

• Realizar actividades de control, prevención y detección del fraude.

• Dar cumplimiento a obligaciones legales y regulatorias, incluyendo la prevención y control de actividades ilícitas como lavado de activos, financiación del terrorismo, soborno transnacional y demás delitos asociados a la corrupción.

Finalidades aplicables a empleados:

Finalidades contractuales y operativas:

• Gestionar sanciones, amonestaciones, llamados de atención y exclusiones.

• Solicitar consultorías, auditorías, asesorías y servicios relacionados.

• Gestionar procesos de selección, vinculación, contratación y evaluación de empleados. Revisión de procedimientos judiciales, formación de personal, gestión de nómina, prevención de riesgos laborales, investigación epidemiológica y actividades análogas, programas de promoción y prevención de enfermedades y gestión de pensiones, subsidios y otras prestaciones económicas de tipo laboral.

• Realizar la gestión administrativa, operativa y contractual de la relación con empleados.

• Gestionar la facturación, cuentas por pagar, cobros, pagos y demás obligaciones económicas y contables.

• Llevar a cabo la gestión económica, financiera y de nómina.

Finalidades de seguridad y autenticación:

• Realizar el tratamiento de datos sensibles, tales como historiales clínicos, huellas dactilares o cálculos derivados de estas, fotografías, imágenes de video, datos de ubicación, información de dispositivos, direcciones IP, VPN, correos electrónicos y números telefónicos, exclusivamente para:

• Procesos de autenticación, identificación y verificación de identidad.

• Implementación de firma electrónica o digital en los términos de la Ley 527 de 1999, para la firma de documentos y el envío de mensajes de datos.

• Verificación de la autenticidad de la autorización otorgada.

• Brindar una capa adicional de seguridad para la protección del Titular y de la información.

• El Titular no está obligado a autorizar el tratamiento de datos sensibles, salvo cuando sea estrictamente necesario para el cumplimiento de las finalidades descritas o cuando exista un deber legal.

Finalidades de transferencia, transmisión y cumplimiento normativo:

• Suministrar, transmitir o transferir datos personales, comerciales y financieros a:

• Entidades bancarias o financieras.

• Aliados comerciales.

• Proveedores tecnológicos, logísticos u operativos.

• Sociedades matrices, filiales, accionistas o vinculados económicos de la compañía.

Lo anterior, exclusivamente para el cumplimiento de las finalidades aquí descritas, bajo los estándares legales de protección de datos.

• Realizar actividades de control, prevención y detección del fraude.

• Dar cumplimiento a obligaciones legales y regulatorias, incluyendo la prevención y control de actividades ilícitas como lavado de activos, financiación del terrorismo, soborno transnacional y demás delitos asociados a la corrupción.

Finalidades para uso de Inteligencia Artificial (IA):
Autorizo expresamente a la empresa para que utilice herramientas tecnológicas que incluyan inteligencia artificial (IA) en el tratamiento, análisis y segmentación de mis datos personales, comerciales y financieros. Esta tecnología podrá emplearse para: (i) mejorar mi experiencia en canales digitales; (ii) personalizar contenidos y recomendaciones; (iii) optimizar tiempos de respuesta y atención; (iv) detectar patrones de comportamiento que contribuyan a la prevención del fraude y otros riesgos operacionales; (v) comunicarse conmigo mediante voz o texto a través de los canales autorizados por la compañía. Entiendo que el uso de IA no implica decisiones automatizadas sin intervención humana, y que siempre podré ejercer mis derechos de acceso, corrección, supresión, oposición y revocatoria del consentimiento conforme a la normatividad vigente.

Tratamiento de datos financieros, crediticios y comerciales aplicables a los titulares:
De conformidad con lo dispuesto en la Ley 1266 de 2008, el Título V de la Circular Única de la Superintendencia de Industria y Comercio y demás normas concordantes, La Empresa CASATORO identificada con NIT 830.004.993.-8 en su calidad de responsable del Tratamiento, informa al Titular que el tratamiento de sus datos personales de naturaleza financiera, crediticia, comercial y de servicios se realizará únicamente cuando exista autorización previa, expresa e informada, o cuando la ley así lo permita.

En este sentido, el Titular autorizará a la empresa para que, en los términos de la Ley 1266 de 2008, realice el tratamiento de los datos financieros, crediticios, comerciales y de servicios, para las siguientes finalidades:

Finalidades del tratamiento de datos financieros

• Procesar, consultar, reportar y actualizar la información del titular de los datos personales ante centrales de información financiera, crediticia y comercial, entidades financieras, entidades del sector real y demás operadores o usuarios de información legalmente autorizados, en Colombia o en el exterior, que administren bases de datos relacionadas con su historial crediticio.

• Solicitar, consultar y analizar, con fines estadísticos, de control, supervisión, información comercial y evaluación del riesgo, la información financiera, crediticia y comercial, en especial aquella relacionada con el cumplimiento o incumplimiento de obligaciones, estados de mora, acuerdos de pago y demás comportamientos relevantes para el análisis de riesgo.

• Verificar y validar la información suministrada a La Empresa, incluyendo referencias comerciales, personales, contractuales y financieras, con el fin de evaluar la viabilidad de establecer, mantener o finalizar una relación comercial o contractual.

• Gestionar procesos contractuales, precontractuales y post contractuales, incluyendo análisis de solvencia, capacidad de pago, administración de cartera, recuperación de obligaciones, conciliaciones, acuerdos de pago y cumplimiento de obligaciones legales.

• Dar cumplimiento a obligaciones legales y regulatorias, requerimientos de autoridades administrativas o judiciales y deberes de información previstos en la normativa vigente.

Responsable

En cumplimiento de lo dispuesto en la Constitución Política, la ley y las instrucciones impartidas por la Superintendencia de Industria y Comercio, CASATORO identificada con NIT 830.004.993-8 con domicilio principal en la ciudad de Bogotá D.C., en la Carrera 72 No. 170-97 en su condición de responsable del Tratamiento de Datos Personales, informa de manera previa, expresa y suficiente a los Titulares lo siguiente:

Que los datos personales suministrados son recolectados, almacenados, usados, transmitidos y/o transferidos en estricto cumplimiento de las disposiciones constitucionales y legales vigentes, así como de las instrucciones impartidas por las autoridades competentes en materia de protección de datos personales, en especial la Superintendencia de Industria y Comercio.

Que La Empresa es la Responsable del Tratamiento de los datos personales, y como tal decide sobre la finalidad, contenido y uso de las bases de datos bajo su administración, de conformidad con su objeto social y las finalidades previamente informadas al Titular.

Que, para el cumplimiento de las finalidades del tratamiento, así como de obligaciones contractuales, legales y post contractuales, en determinados eventos puede ser necesario realizar transmisiones y/o transferencias nacionales o internacionales de datos personales, garantizando en todo caso el cumplimiento de los requisitos legales, la adopción de niveles adecuados de protección y las salvaguardas contractuales exigidas por la normativa vigente.

Que las respuestas a las preguntas que versen sobre datos personales sensibles son de carácter facultativo, por lo cual el Titular no se encuentra obligado a suministrarlos. En aquellos casos en que el Titular otorgue su autorización expresa para el tratamiento de este tipo de datos, dicho tratamiento se realizará exclusivamente para las finalidades legítimas, específicas y previamente informadas, y con observancia de los principios de seguridad, confidencialidad y protección reforzada previstos en la ley.

Que La Empresa tiene implementada la presente Política de Tratamiento de Datos Personales y su respectivo Aviso de Privacidad publicado en www.casatoro.com los cuales contienen la información relativa a los derechos que le asisten al Titular, las finalidades del tratamiento, los canales de atención y los procedimientos para la formulación de consultas y reclamos, documentos que se encuentran disponibles para su consulta permanente a través de los canales dispuestos por la compañía. Que el Titular podrá ejercer en cualquier momento sus derechos de acceso, actualización, rectificación, supresión de los datos y revocatoria de la autorización, en los términos previstos en la ley y conforme a los procedimientos establecidos en la presente Política.

Para efectos de notificaciones y ejercicio de derechos relacionados con el tratamiento de datos personales, la Empresa ha dispuesto el siguiente canal de contacto:

Correo electrónico: seguridaddedatos@casatoro.com

La Empresa cuenta con un Encargado de Protección de Datos Personales, en los términos del artículo 2.2.2.25.4.4 del Decreto 1074 de 2015, responsable de verificar periódicamente el cumplimiento de la presente Política, así como de los procedimientos internos asociados al Tratamiento de Datos Personales en los distintos procesos de la organización.

Área responsable: Área de cumplimiento, Oficial de Protección de Datos Personales.

Así mismo, como teléfono de contacto se establece el (+57) 601 7460010 en la ciudad de Bogotá.

Encargado

El encargado del tratamiento en los términos del artículo 18 de la Ley 1581 de 2012 y en el evento en que La Empresa actúe como encargado, deberá cumplir los siguientes deberes:

• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley y en la presente política;

• Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

• Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley y en la presente política;

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

• Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la ley;

• Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

• Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

• Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Derechos del titular de los datos personales

De conformidad con la Constitución Política y la normativa vigente en materia de protección de datos personales, los Titulares de la información tienen los siguientes derechos:

• Conocer, actualizar y rectificar sus datos personales frente al Responsable o Encargado del Tratamiento, especialmente cuando estos sean parciales, inexactos, incompletos, fraccionados, induzcan a error o su tratamiento esté prohibido o no haya sido autorizado.

• Solicitar prueba de la autorización otorgada para el Tratamiento de sus datos personales, salvo en los casos en que dicha autorización no sea requerida por la ley.

• Ser informado, previa solicitud, respecto del uso que se ha dado a sus datos personales.

• Presentar consultas y reclamos relacionados con el Tratamiento de sus datos personales, en los términos establecidos en la ley.

• Solicitar la supresión de los datos personales y/o revocar la autorización, cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, siempre que no exista un deber legal o contractual que impida su eliminación.

• Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

• Para el ejercicio de sus derechos, el Titular podrá presentar consultas o reclamos a través del siguiente canal dispuesto por la Empresa: Correo electrónico: seguridaddedatos@casatoro.com dirigido al Oficial de Datos Personales de la empresa.

Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización:

Las consultas o reclamos podrán realizarse por:

• El titular de la información, quien deberá acreditar su identidad de forma suficiente a través de los medios que disponga La Empresa.

• Por los causahabientes, quienes deberán acreditar su identidad y su relación (o parentesco) con el titular de la información.

• Por el representante legal y/o apoderado del titular de la información, quien deberá acreditar el otorgamiento del mandato o de la representación.

Procedimiento para atender consultas:
Cuando se trate de consulta de información personal del titular, La Empresa resolverá la consulta en los términos del artículo 14 de la Ley 1581 de 2012.

La consulta de información personal del titular deberá contener como mínimo:

• Nombres y apellidos del titular de la información y/o su representante legal y/o su apoderado y/o causahabiente.

• La información que se pretende consultar.

• Datos de contacto tales como dirección física, dirección y/o correo electrónico, teléfono de contacto del titular, y/o su representante legal y/o su apoderado y/o causahabiente; deberá adjuntarse la documentación que acredite la condición en la que actúa.

En el evento en que la consulta de información no reúna los requisitos anteriormente descritos, La Empresa podrá solicitar al peticionario que dentro de los dos (2) días hábiles siguientes al requerimiento, aporte los documentos necesarios para acreditar la condición en la que actúa y la identidad del titular así como del solicitante, y en caso de que sea necesario, una ampliación sobre el objeto de la consulta.

Las consultas de los titulares serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta, dentro de dicho término, se informará al interesado antes del vencimiento del plazo, indicando los motivos de la demora y la fecha en que será atendida, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término, conforme a lo dispuesto por la ley.

Procedimiento para atender reclamos:
Cuando la solicitud incluya la corrección, actualización o supresión de datos personales, la revocatoria de la autorización o la advertencia de incumplimiento de los deberes de La Empresa como responsable, la petición se entenderá como reclamo en los términos del artículo 15 de la Ley 1581 de 2012.

Los reclamos deberán contener como mínimo:

• Nombres y apellidos del titular de la información y/o su representante legal y/o su apoderado y/o causahabiente.

• Lo que se pretende con la solicitud: corrección, actualización o supresión de datos personales, la revocatoria de la autorización.

• Datos de contacto tales como dirección física, dirección y/o correo electrónico, teléfono de contacto del titular, y/o su representante legal y/o su apoderado y/o causahabiente; deberá adjuntarse la documentación que acredite la condición en la que actúa.

En el evento en que el reclamo no reúna los requisitos anteriormente descritos, La Empresa podrá solicitar al peticionario que dentro de los cinco (5) días hábiles siguientes al requerimiento, aporte los documentos necesarios para acreditar la condición en la que actúa y la identidad del titular así como del solicitante, y en caso de que sea necesario, una ampliación sobre el objeto del reclamo.

Los reclamos de los titulares serán atendidas en un término máximo de quince (15) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta, dentro de dicho término, se informará al interesado antes del vencimiento del plazo, indicando los motivos de la demora y la fecha en que será atendida, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término, conforme a lo dispuesto por la ley.

Procedimiento de supresión de datos personales:
En el caso de solicitud de supresión de datos personales, La Empresa deberá efectuar la supresión de tal forma que no sea posible su recuperación. No obstante, el Titular, y/o su representante legal y/o su apoderado y/o causahabiente, deberán tener en cuenta que en algunos casos hay cierta información que debe mantenerse por cumplimiento de deberes y obligaciones a cargo de La Empresa, por lo que la supresión deberá guardar relación con la solicitud.

Seguridad de la información

En cumplimiento del Principio de Responsabilidad Demostrada, previsto en el artículo 2.2.2.25.6.1 del Decreto 1074 de 2015, La Empresa adopta, implementa y mantiene medidas técnicas, humanas y administrativas razonables, proporcionales y verificables, orientadas a garantizar el adecuado tratamiento de los datos personales bajo su responsabilidad.

En desarrollo de este principio, la Compañía no solo cumple formalmente con las disposiciones legales en materia de protección de datos personales, sino que está en capacidad de demostrar ante los titulares y ante la Superintendencia de Industria y Comercio la existencia, ejecución y efectividad de dichas medidas, de acuerdo con la naturaleza de los datos tratados, el tipo de tratamiento realizado y los riesgos asociados.

En particular, La Empresa adopta mecanismos destinados a:

• Prevenir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales almacenados en sus bases de datos.

• Garantizar la confidencialidad, integridad y disponibilidad de la información.

• Evaluar periódicamente los riesgos asociados al tratamiento de datos personales y ajustar las medidas de control cuando resulte necesario.

• Capacitar y sensibilizar al personal autorizado en materia de protección de datos personales.

• Implementar procedimientos internos para la atención de incidentes de seguridad y, cuando sea aplicable, para su notificación a la autoridad competente.

El acceso a la información personal se encuentra estrictamente restringido, de conformidad con los principios de seguridad, confidencialidad y acceso y circulación restringida, exclusivamente a las siguientes personas o entidades:

• Los Titulares de los datos personales, sus causahabientes o representantes legales debidamente acreditados.

• Las autoridades públicas o administrativas, en ejercicio de sus funciones legales o por orden judicial debidamente emitida.

• Los terceros debidamente autorizados por el Titular o por la ley, en los términos previstos en la normativa vigente.

El objeto de estas medidas son la revisión y actualización periódica, con el fin de asegurar su alineación permanente con la normativa aplicable, las instrucciones de la Superintendencia de Industria y Comercio y las mejores prácticas en la materia.

Deberes de la compañía

En desarrollo de la presente Política, La Empresa se compromete a cumplir, entre otros, los siguientes deberes:

• Garantizar en todo momento al Titular el pleno y efectivo ejercicio del derecho fundamental de hábeas data.

• Solicitar y conservar copia de la autorización otorgada por el Titular, cuando esta sea requerida por la ley.

• Conservar la información bajo condiciones de seguridad adecuadas que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Actualizar, rectificar o suprimir los datos personales de conformidad con las solicitudes presentadas por los Titulares y lo dispuesto en la ley.

• Tramitar oportunamente las consultas y reclamos formulados por los Titulares, en los términos establecidos por la normativa vigente.

• Registrar las bases de datos en el Registro Nacional de Bases de Datos (RNBD), de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.

• Notificar a la Superintendencia de Industria y Comercio y a los Titulares, cuando a ello haya lugar, los incidentes de seguridad de la información que puedan comprometer datos personales, conforme a los lineamientos legales y administrativos aplicables.

Vigencia del dato

La Empresa recolectará, almacenará, usará y circulará los datos personales únicamente durante el tiempo razonable y necesario para cumplir con las finalidades que justificaron su Tratamiento, y mientras subsista una relación legal, contractual o administrativa con el Titular. Es decir que las bases de datos tendrán una vigencia igual al tiempo en que subsista la finalidad del tratamiento y las obligaciones legales o contractuales que justifiquen su conservación.

Una vez cumplidas las finalidades del Tratamiento, los datos personales serán suprimidos de las bases de datos de la Empresa, salvo que exista un deber legal, contractual, judicial o administrativo que exija su conservación por un período adicional, en atención a obligaciones contables, fiscales, jurídicas o históricas.

Fecha de entrada en vigencia

La presente reemplaza en su totalidad la política de protección de datos personales, cuya vigencia rige a partir del 1 de abril de 2026 y su publicación en los medios autorizados y definidos para conocimiento de los titulares de los datos.

Registro nacional de bases de datos (RNBD):

De conformidad con lo dispuesto en el artículo 25 de la Ley 1581 de 2012 y sus decretos reglamentarios, La Empresa registró sus bases de datos en el REGISTRO NACIONAL DE BASES DE DATOS (RNBD) así como la POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES, administrado por la Superintendencia de Industria y Comercio.