Política de Protección de Datos Personales

Declaración de intención

Permoda Ltda., desarrolla la presente política para el tratamiento de datos personales de todas sus contrapartes, en concordancia con la obligación establecida en la Constitución Política, artículos 15, 16 y 20; la Ley Estatutaria 1581 de 2012; el Decreto Único Reglamentario 1074 de 2015 (que compila el Decreto 1377 de 2013); la Circular Externa 002 de 2024 de la Superintendencia de Industria y Comercio, sobre lineamientos para el tratamiento de datos personales en sistemas de inteligencia artificial; la Circular Externa 003 de 2024 de la Superintendencia de Industria y Comercio, sobre instrucciones para los administradores societarios en relación con el tratamiento de datos personales; y las demás normas que las adicionen o modifiquen.

Esta política es aplicable a todos los datos personales registrados en bases de datos que. son objeto de tratamiento por parte de PERMODA LTDA.

Alcance

La presente política está dirigida a:

• Todas las personas naturales que con objeto de la relación comercial o contractual con Permoda, entregan sus datos personales para que estos sean tratados para las finalidades descritas en el presente documento.

•Encargados o terceros a quienes se les realiza transmisión o transferencia de los datos personales para ser tratados.

•Colaboradores de Permoda, quienes realizan el tratamiento de los datos personales.

Objetivo

Establecer los principios y lineamientos por medio de los cuales Permoda, da cumplimiento al tratamiento de datos de todas las personas naturales de quienes tienen información y que integran sus bases de datos, garantizando en todo momento los derechos que como titulares puedan ejercer.

Glosario

Análisis de impacto de privacidad de los datos (PIA): Es un instrumento para identificar, analizar y evaluar los impactos en la privacidad y los riesgos relacionados con el procesamiento de datos e información de identificación personal.

Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

Aviso de privacidad. Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

Corresponsable:Se refiere a la responsabilidad compartida entre Permoda y sus administradores, frente al tratamiento de los datos personales.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas no sometidas a reserva.

Dato semi privado: Es semiprivado el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio, de actividad comercial o de servicios.

Dato Privado: Es cualquier información que se refiere a la vida privada de una persona como lo son sus datos personales, tales como, correo electrónico personal, teléfono, dirección de vivienda, datos laborales, nivel de escolaridad, sobre infracciones administrativas o penales, los datos administrados por algunas entidades como tributarias, financieras o de la seguridad social, fotografías, videos, y cualquier otro dato que referencien el estilo de vida de la persona.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a vida sexual, y los datos biométricos.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

Inteligencia artificial (IA):Campo que combina la informática y conjuntos de datos robustos para permitir la resolución de problemas. También engloba los subcampos del aprendizaje automático y el aprendizaje profundo.

Privacidad desde el diseño y por defecto: Son las medidas técnicas y organizativas necesarias que debe aplicar el responsable, desde el mismo momento en que se diseña un producto o servicio que implica el tratamiento de datos personales y también cuando se esté desarrollando.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Solicitante: Es el titular de la información, su apoderado, autorizado, causahabiente, representante legal y/o entidad administrativa o judicial. Los cuales están legitimados para ejercer los derechos a través de una consulta o reclamo.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

Oficial de cumplimiento (protección de datos personales): Es la persona encargada de promover, desarrollar y asegurar la ejecución de los procedimientos específicos de prevención, actualización y mitigación de los riesgos asociados al programa de protección de datos personales.

Responsables

El responsable del tratamiento de las bases de datos objeto de esta política es Permoda Ltda., NIT 860.516.806-5, cuyos datos de contacto son los siguientes:

• Dirección: Calle 17 A # 68D – 88 de Bogotá.

• Correo electrónico. [email protected].

• Teléfono: Bogotá 294 8999

Compromiso de la Junta de Socios de Permoda

La presente política se alinea con las responsabilidades que asume la Junta de Socios frente al programa de protección de datos personales, en concordancia con la Circular Externa 003 de 2024 de la Superintendencia de Industria y Comercio. Cada uno de los lineamientos establecidos en la presenta política y los documentos que lo desarrollan pretenden determinar las medidas apropiadas y eficientes que garanticen los derechos de los titulares y el debido tratamiento de sus datos. Para ello, la Junta de Socios se compromete a:

• Conocer y aprobar la política de tratamiento de datos personales y los documentos que la desarrollan.

• Promover una cultura de cumplimiento al interior de la compañía.

• Asegurar que, durante su gestión, no se adopten decisiones que vulneren los derechos de los titulares o contravengan los principios establecidos en la Ley 1581 de 2012.

• Verificar que en toda la compañía se implementen los lineamientos definidos en el programa de protección de datos personales.

Principios del Tratamiento de Datos

Permoda, recolecta, almacena, usa, circula, transmite, transfiere y suprime los datos correspondientes a personas naturales con quienes tiene o ha tenido relaciones comerciales o contractuales. En cada una de las etapas del tratamiento se establecen los siguientes lineamientos:

• Principio de legalidad: Permoda, implementa y da cumplimiento a todas las disposiciones normativas vigentes y aplicables, que en materia de tratamiento de datos personales se han establecido.

• Principio de finalidad: Este principio se desarrolla por medio de la definición de una finalidad legítima para cada uno de los datos que son tratados por la compañía, las cuales son informadas al titular en el presente documento.

• Principio de libertad: En este principio se establece que la compañía solo realiza el tratamiento de datos con el consentimiento previo, expreso e informado del titular. Adicionalmente, Permoda no obtiene o divulga datos personales sin la previa autorización, o en ausencia de mandato legal, estatutario, o judicial.

• Principio de veracidad o calidad: Permoda, propende que toda la información sujeta a tratamiento de datos sea veraz, completa, exacta, actualizada, comprobable y comprensible. Sin embargo, la compañía no será responsable frente al titular cuando sean objeto de tratamiento datos o información parcial, incompleta o fraccionada o que induzca a error, que haya sido entregada por el titular, sin que exista la forma de validar la veracidad o calidad de esta por parte de la compañía o la misma hubiere sido entregada o divulgada por el titular declarando o garantizando de cualquier forma, su veracidad o calidad.

• Principio de transparencia: La compañía garantiza que los titulares tendrán acceso a sus datos en el momento en que quieran ejercer sus derechos, sin ningún tipo de restricción, salvo aquellas establecidas por la ley.

• Principio de acceso y circulación restringida: En Permoda, el acceso a los datos objeto de tratamiento lo tendrán: Los titulares de dicho dato, las personas autorizadas por el titular o las personas que por mandato legal u orden judicial sean autorizadas para tener conocimiento de los datos del titular. Adicionalmente los datos personales no están disponibles en internet ni en otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a la compañía.

• Principio de seguridad: La compañía ha desarrollado diversas medidas técnicas, humanas y administrativas, con el fin de mantener la seguridad de los datos en repositorios físicos o electrónicos, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Estos mecanismos de seguridad han sido implementados y puestos en conocimiento de todos aquellos autorizados por el titular para realizar tratamiento.

• Principio de confidencialidad: Permoda, implementa mecanismos que le permitan mantener la reserva de la información; es por ello que todos los colaboradores de la compañía firman un acuerdo de confidencialidad en el que se comprometen a no revelar a ningún tercero información a la que puedan tener acceso como consecuencia del desarrollo de su trabajo; adicionalmente las contrapartes que tienen el rol de encargado, firman el contrato de transmisión de datos en el que se estipula la responsabilidad que tienen en relación a la no divulgación de la información de los titulares.

Clasificación de los datos

Tratamientos y Finalidades

Tratamientos

Permoda, recolecta, almacena, usa, circula, transmite, transfiere y suprime los datos correspondientes a personas naturales con quienes tiene o ha tenido relaciones comerciales o contractuales. En cada una de las etapas del tratamiento se establecen los siguientes lineamientos:

Recolección

• Permoda no recolecta datos personales sin la previa solicitud de las autorizaciones de los titulares.

• Solamente se recolectan datos personales necesarios (para el desarrollo de las operaciones, el objeto social y las obligaciones legales) y pertinentes (guardan relación con las finalidades previstas).

• En caso de que la compañía recolecte por alguno de sus canales información personal de un menor de edad, sin contar previamente con la autorización de su representante legal, se tomarán las medidas a las que haya lugar para eliminar dicha información. En todo caso, el tratamiento de datos de niños, niñas y adolescentes solo procederá cuando responda y respete su interés superior, de conformidad con el artículo 7 de la Ley 581 de 2012, y requerirá autorización expresa del representante legal del menor.

• Permoda otorga el carácter facultativo para la recolección de los datos sensibles y de menores de edad. Sin embargo, esta será tratada, siempre y cuando sea necesaria para dar cumplimiento a una obligación adquirida por la empresa, en la prestación de un servicio (post venta), en la entrega del producto o en el cumplimiento exegético de controles de la compañía. En caso de dar algún tratamiento adicional la compañía asegura, en todo momento, la implementación de medidas que aseguren la protección de la información y la preservación de los derechos del titular o del menor.

• En la autorización, se indica explícitamente los datos que son considerados sensibles, el objeto de su tratamiento y las finalidades específicas para las cuales serán utilizados.

• La página web de la compañía puede direccionarlo a otros sitios web, como, por ejemplo, el de la pasarela de pagos; estos sitios vinculados no están bajo el control de Permoda Ltda., y cada sitio tiene sus propias políticas de tratamiento de datos y por ende realizan su propia recolección.

Uso

• Los datos personales recolectados solo serán usados de acuerdo con las finalidades descritas en los formatos de autorización y avisos de privacidad, que están alineados con la presente política.

• Ante cambios o inclusión de finalidades, se notificará al titular y de ser necesario se solicitará nuevamente la autorización.

• La modificación de los datos personales, solo se realizará si el titular ejerce su derecho a la rectificación o actualización; velando por la integridad y exactitud de los datos.

• Cuando se identifique que los datos registrados son incorrectos o no corresponden al titular, se evitará hacer uso de estos.

Uso de datos a través de la IA

Con el fin de mejorar y hacer más efectiva la interacción de la compañía con los titulares, Permoda ha vinculado en algunos de sus procesos la inteligencia artificial; sin embargo, la compañía, consciente de las obligaciones, ha incorporado las siguientes acciones dentro del programa para garantizar el respeto por el uso de los datos de los titulares:

• Evaluación de la privacidad desde el diseño:
El responsable del proyecto, en conjunto con el área de riesgos y cumplimiento, realizará el análisis de la privacidad desde el diseño, bajo los términos del numeral 10 de la presente política.

• Ponderación de derechos:
Esta se realiza previo a la incursión de cualquier proyecto que involucre IA, atendiendo los criterios: (i) Idoneidad. (ii) Necesidad. (iii) Razonabilidad y (iv) Proporcionalidad, destinados a salvaguardar los principios establecidos en la Ley Estatutaria 1581 de 2012. Si el resultado de la ponderación no ofrece garantías frente a los potenciales daños que puede causar el tratamiento de los datos, PERMODA se abstendrá de realizar el tratamiento o, en su defecto, realizará una evaluación de riesgos que le permitirá adoptar las medidas preventivas para proteger los derechos de los titulares

• Análisis de riesgos:
En el tratamiento de datos personales a través de la IA, PERMODA analizará los riesgos asociados exclusivamente al tratamiento de esta información, con el objetivo de identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en una afectación a los datos personales tratados.

• Evaluación de impacto de privacidad (PIA):
Si como resultado de la evaluación de riesgos, se evidencia que el uso de la IA afecta los derechos y libertades de los titulares de la información, PERMODA efectuará y documentará un estudio de impacto de privacidad, que contendrá:

• Una descripción detallada de las operaciones del tratamiento.

• Una evaluación de los riesgos específicos para los derechos y libertades de los titulares.

• Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos, teniendo en cuenta los derechos e intereses legítimos de los titulares.

Almacenamiento

El almacenamiento se realiza teniendo en cuenta los siguientes criterios:

• El tipo de almacenamiento: físico y/o digital, sobre los cuales, se implementan controles de seguridad para mantener su disponibilidad, integridad y confidencialidad.

• El tiempo de conservación: el cual es acorde con la ejecución de las finalidades previamente autorizadas por el titular de los datos y demás normas que regulen a Permoda y/o hasta que el titular solicite la supresión de la información. Esto siempre y cuando no exista una disposición diferente establecida por la ley o cuando sea necesario para activar una acción judicial o investigativa.

Circulación

La circulación de los datos personales se realiza únicamente a colaboradores que tienen dentro del alcance de sus funciones la ejecución de algunas de las finalidades autorizadas por el titular.

Transmisión

Permoda podrá transmitir datos personales a proveedores o aliados con los que tenga vínculos comerciales o contractuales dentro o fuera del país, para que proceda como encargado y realice algunos de los tratamientos y finalidades autorizadas por el titular.
Lo anterior estará regulado en un contrato de transmisión de datos personales, que definirá las obligaciones de los encargados y limitará el tratamiento y las finalidades que pueden realizar, incluyendo los mecanismos de seguridad pertinentes, las cuales se desarrollan a través del anexo “Medidas de seguridad para los encargados de los datos personales” Permoda, compartirá o podrá compartir los datos personales de los titulares, en los siguientes casos:

• Con las empresas de transporte encargadas de hacer llegar los pedidos de los clientes, cuando el canal de compra sea diferente a la tienda física.

• Con las pasarelas de pago utilizadas para la compra por medios virtuales.

• Con empresas de marketing que complementen la gestión comercial realizada por la compañía.

• Con sus vinculados económicos o aliados estratégicos, con el fin de realizar servicios de asesoría, apoyo y soporte comercial y/o administrativo.

• En algunos casos y de ser necesario, se compartirán los datos personales con operadores, agentes o proveedores que sean contratistas, para la prestación de los servicios ofrecidos por la compañía o para llevar a cabo las finalidades o tratamientos establecidos.

• Cuando sea necesario para salvaguardar los derechos, bienes o la prestación de los servicios de la compañía, lo que incluye el adecuado funcionamiento de la página web y de los servicios informáticos que contribuyen a la adecuada prestación de los servicios de la compañía; esto incluye los ataques informáticos, intentos de fraude, entre otros.

Transferencia

Permoda, podrá transferir los datos personales a un tercero nacional o extranjero, que a su vez es responsable del tratamiento, para fines directamente relacionados con sus funciones legítimas. Este tratamiento está regulado por una cláusula dentro del contrato marco. Cuando la transferencia se realice a un país que no cuenta con niveles adecuados de protección de datos, solo procederá si se configura alguna de las excepciones previstas en el artículo 26 de la Ley 1581 de 2012 o, en su defecto, previa obtención de la declaración de conformidad expedida por la Superintendencia de Industria y Comercio. La transferencia que realice Permoda, se puede presentar en los siguientes casos:

• Para el desarrollo de alianzas estratégicas.

• Intercambio de información con otras empresas para adelantar una o varias finalidades autorizadas por el titular.

• En caso de presentarse un proceso legal, litigio y/o a solicitud de autoridades competentes, en cumplimiento de actividades de carácter obligatorio, o por cumplimiento de la ley u orden administrativa o judicial.

Supresión y/o bloqueo

Los datos personales almacenados de forma física o digital serán suprimidos de tal manera que no se permita su recuperación o re-identificación; la supresión procederá cuando se cumpla las siguientes condiciones:

• A solicitud o reclamo del titular y/o revocatoria de la autorización.

• Cuando se haya cumplido con las finalidades para los cuales fueron recolectados.

• Cuando no existe un deber legal o contractual de conservarlos o cuando sea necesario para activar una acción judicial o investigativa.

Si no es posible suprimir la información porque existe un deber legal o contractual, se realizará el bloqueo de esta para que no siga siendo tratada. El bloqueo también procederá cuando se identifique que el titular se ha inscrito en el registro de números excluidos -RNE.

Finalidades

Las finalidades establecidas para el tratamiento de las bases de datos manejadas por Permoda, son las definidas a continuación:

Aspirantes

• Evaluar el perfil de los aspirantes para desarrollar el proceso de selección

• Verificar referencias laborales, personales, experiencia laboral y trayectoria profesional

• Contactarlos a través de mensajería instantánea, llamadas y/o correos electrónicos

• Validación y análisis relacionado con el sistema de autocontrol y gestión del riesgo integral de lavado de activos, financiación del terrorismo y financiamiento de la proliferación de armas de destrucción masiva., el programa de transparencia y ética
empresarial y todos aquellos que la normatividad colombiana disponga

• Conservar la información con el fin de evaluar su perfil, en el evento de presentarse nuevas vacantes a las que puedan optar

• Transmitir y/o transferir la información a las empresas aliadas o proveedores para el correcto desarrollo de las finalidades descritas o a entidades administrativas o judiciales.

• Transferir las hojas de vida a otras empresas que se encuentren en la búsqueda de un perfil acorde con la del aspirante.

• Crear un perfil del aspirante con la información recolectada para establecer conductas, identificar intereses, valores, fortalezas y cualidades que contribuyan a la toma decisiones durante el proceso de selección.

• Las anteriores finalidades son enunciativas y no taxativas.

Nota1. Algunas de estas finalidades pueden ser desarrolladas a través de la aplicación de inteligencia artificial – IA u otras tecnologías.

Colaboradores

• Realizar exámenes médicos ocupacionales, de admisión y retiro y gestión de incapacidades

• Gestión de nómina y novedades laborales

• Adjudicación de beneficios, actividades de bienestar y de desarrollo del trabajo y asociadas a su entorno, incluyendo el familiar.

• Evaluación de perfiles ante cambios de cargos.

• Generación de certificados laborales y de ascenso.

• Verificación de identidad para realizar el control de acceso (ingreso y salida) y de permanencia de los colaboradores en las instalaciones de Permoda, incluidas las tiendas.

• Validaciones del sistema de autocontrol y gestión del riesgo de lavado de activos y financiación del terrorismo y otros sistemas de cumplimiento, lo que incluye la actualización anual obligatoria de datos

• Realizar y actualizar estudios socioeconómicos

• Establecer contacto con los colaboradores en el marco de la relación contractual, así como con sus contactos de emergencia cuando sea necesario, a través de aplicaciones, mensajería instantánea, llamadas y/o correos electrónicos.

• Gestión de reportes internos y obligatorios

• Circulación de datos a otras áreas de la empresa, para realizar gestiones propias de la relación contractual

• Uso de imágenes fotográficas, videos y grabación de voz, con fines corporativos

• Procesos de auditoría y control interno y externo

• Transmisión y/o transferencia nacional o internacional de la información a entidades administrativas, judiciales o que regulen temas tributarios y a empresas aliadas o proveedores para la ejecución de algún tratamiento o el desarrollo de las finalidades
descritas.

• Crear un perfil del colaborador para establecer conductas e identificar intereses, valores, fortalezas y cualidades, y alinear los resultados con los programas desarrollados por la compañía.

• Realizar el monitoreo de la entrada, salida y tránsito de personas dentro de las instalaciones de la compañía, así como de la ejecución de los procesos operativos, con el fin de identificar incidentes, riesgos o vulneraciones de seguridad.

• Realizar la verificación de las imágenes y/o videos cuando se presenten incidentes y, si se considera necesario o a solicitud, transferirlos a las autoridades judiciales o administrativas competentes como soporte probatorio.

Finalidades para colaboradores en condición especial.

• Validar que el colaborador cumpla con los requisitos establecidos por la Secretaría de Desarrollo Económico para la contratación incluyente (esto incluye la verificación del estrato socioeconómico por medio del certificado del Sisbén, recibo de servicios públicos o lugar de votación, adicional a la información registrada en las planillas Integradas de liquidación de aportes (PILA) y el historial laboral).

• Segmentar a los colaboradores que cumplan con las categorías de contratación incluyente, definidas por la Secretaría de Desarrollo Económico, para que la información requerida por esa entidad para el proceso de aplicación al beneficio pueda ser transferida.

• Las anteriores finalidades son enunciativas y no taxativas.

Nota1. Algunas de estas finalidades descritas pueden ser desarrolladas a través de la aplicación de inteligencia artificial – IA u otras tecnologías.

Proveedores

• Solicitud de ofertas y propuestas económicas para el análisis y viabilidad en la adquisición de productos y servicios

• Evaluación y seguimiento de los productos y servicios prestados

• Presentación de informes pertinentes a los diferentes entes de control o en procesos de auditoría interna o externa

• Revisión y verificación de referencias comerciales

• Gestiones pre-contractuales y contractuales

• Contactarlos a través de mensajería instantánea, llamadas y/o correos electrónicos

• Conservar los datos para contactarlo mientras se mantiene la relación contractual o cuando exista interés en la prestación de un servicio o producto.

• Validaciones y análisis relacionados con el Sistema de Administración y Gestión Integral del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, la prevención de la corrupción, el fraude, y el soborno nacional o transnacional a través del Programa
de Transparencia y Ética Empresarial

• Transmisión y/o transferencia nacional o internacional de la información a entidades administrativas, judiciales o que regulen temas tributarios y a empresas aliadas o proveedores para la ejecución de algún tratamiento o el desarrollo de las finalidades
descritas.

• Conservación de la información física

• Las anteriores finalidades son enunciativas y no taxativas.

Nota1. Algunas de estas finalidades pueden ser desarrolladas a través de la aplicación de inteligencia artificial – IA u otras tecnologías.

Clientes de e-commerce y/o de tienda física

• Realizar las actividades que permitan formalizar la relación comercial (facturación electrónica) y circularla para gestionar los aspectos administrativos, operativos o logísticos para tal fin.

• Enviar mensajes o establecer comunicación para informarle el estatus o novedades del pedido, así como para la confirmación de información en caso de ser necesario.

• Gestionar requerimientos del cliente, a través de la resolución de consultas, peticiones, quejas y/o reclamos, incluyendo las solicitudes de retracto o reembolso, gestión del servicio postventa, lo que implica cambio de talla, referencia y garantías.

• Validaciones del sistema de administración de riesgos, lavado de activos y financiación de terrorismo, cuando aplique

• Procesos de auditoría y control interno y externo

• Realizar análisis de datos, investigaciones y conocer las preferencias de los usuarios con respecto a los productos que se ofrecen, realizar encuestas, establecer tendencias y evaluar las tasas de conversión o efectividad de los canales de venta de
Permoda, así como estudios de viabilidad en cuanto a nuevos productos o servicios.

• Llevar un historial de datos demográficos, de geolocalización, de comportamiento (compras y suscripciones), actitudinales y de interacción con la marca, por cualquiera de sus canales de venta. Estos son usados para elaborar un perfil de usuario o cliente
para determinar preferencias y los productos que más se adecúan con su estilo y con base en ello hacer recomendaciones.

• Gestionar la suscripción a los programas e iniciativas que desarrolle la marca, incluyendo el envío de información personalizada acerca de nuestros productos a través de diferentes medios (como el correo electrónico, aplicaciones de mensajería,
notificaciones push o SMS), así como el reconocimiento propio de los beneficios que se hayan establecido.

• Realizar actividades de marketing tales como: promociones, descuentos, eventos, beneficios, campañas de marca, lanzamiento o mejoramiento de productos y/o servicios, encuestas, canales de comercialización, ubicación y apertura de tiendas.

• Enviar mensajes publicitarios personalizados, comerciales y de venta por medio de llamadas, mensajes de texto SMS y Push, mailing, mensajes a listas de difusión de WhatsApp o cualquier otra plataforma de comunicación. Esto incluye la publicidad en
internet que puede ser vista cuando navegue en sitios web o apps (incluidas las redes sociales); esta puede ser aleatoria o puede estar asociada al historial de compra, preferencias o navegación.

• Compartir los datos con plataformas digitales, como Meta o Google entre otros, con el fin de gestionar la personalización de anuncios o impactar a nuevos usuarios que quieran conocer la marca, mediante acciones de marketing digital.

• Transmisión y/o transferencia nacional o internacional de la información a entidades administrativas, judiciales o que regulen temas tributarios y a empresas aliadas o proveedores para la ejecución de algún tratamiento o el desarrollo de las finalidades
descritas.

• Crear copias de seguridad de la información de los datos personales de los clientes, con el fin de almacenarlos, resguardarlos y garantizar la protección de la información.

• Las anteriores finalidades son enunciativas y no taxativas.

Finalidades para clientes ganadores de los sorteos realizados por Permoda

• Promocionar la marca y divulgar al público en general, el cumplimiento de la campaña o sorteo que se realiza, por medio de canales televisivos, cinematográficos, radiales, gráficos, internet, redes sociales, página web de la compañía, entre otros. Lo anterior,
haciendo uso de tomas fotográficas y/o de video de su imagen, así como, grabaciones magnetofónicas de su voz.
Nota1. Algunas de estas finalidades pueden ser desarrolladas a través de la aplicación de inteligencia artificial – IA u otras tecnologías.

Cámara de video vigilancia

• Monitoreo de procesos operativos, entrada, salida y tráfico de personas dentro de las instalaciones, seguridad y validación de incidentes.

• Circular o transmitir las imágenes y/o videos recolectados a proveedores para realizar la verificación cuando se presentan incidentes de seguridad o transferirlas a autoridades jurídicas, administrativas o aduaneras, en caso de solicitud.

Visitantes

• Identificar, registrar y controlar el acceso a las instalaciones y autorizar el ingreso a áreas específicas.

• Transmisión y/o transferencia de la información a entidades administrativas, judiciales o que regulen temas tributarios y a empresas aliadas o proveedores para la ejecución de algún tratamiento o el desarrollo de las finalidades descritas.

• Las anteriores finalidades son enunciativas y no taxativas.

Nota1. Algunas de estas finalidades pueden ser desarrolladas a través de la aplicación de inteligencia artificial -IA u otras tecnologías.

Clientes corporativos

• Validaciones y análisis relacionados con el Sistema de Administración y Gestión Integral del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, la prevención de la corrupción, el fraude, y el soborno nacional o transnacional a través del Programa
de Transparencia y Ética Empresarial

• Realizar las actividades internas que permitan formalizar la relación contractual o comercial

• Envío de productos adquiridos por el cliente o material POP y gestionar los aspectos administrativos, operativos o logísticos para tal fin:

• Gestionar solicitudes, quejas y/o reclamos

• Realizar actividades de cobranza

• Consulta, almacenamiento, análisis y reporte de información a las centrales de riesgo o bases de datos debidamente constituidas referentes al comportamiento crediticio, financiero, entre otras, todas ellas derivadas de la relación comercial

• Contactar a través de mensajería instantánea, llamadas y/o correos electrónicos en el marco de la relación contractual y a los terceros relacionados como contactos en caso de requerirse.

• Uso de imágenes fotográficas y videos con fines corporativos

• Fines internos como auditorías

• Desarrollar actividades fidelización o marketing

• Análisis de datos e investigaciones para mejorar los productos o los canales de comercialización, para estudios de viabilidad en cuanto a nuevos productos o servicios

• Gestión del servicio postventa, incluyendo garantías

• Realizar ofrecimientos de promociones, productos, servicios o novedades de la compañía ajustados a sus necesidades

• Conservar los datos para contacto comercial

• Transmisión y/o transferencia nacional o internacional de la información a entidades administrativas, judiciales o que regulen temas tributarios y a empresas aliadas o proveedores para la ejecución de algún tratamiento o el desarrollo de las finalidades
descritas.

• Las anteriores finalidades son enunciativas y no taxativas.

Nota1. Algunas de estas finalidades pueden ser desarrolladas a través de la aplicación de inteligencia artificial -IA u otras tecnologías.

Privacidad Desde el Diseño y por defecto

PERMODA, en cumplimiento de sus deberes y obligaciones como responsable de la información, ha implementado la aplicación de esta estructura metodológica, asociada a las iniciativas que se desarrollen e involucren datos personales, la cual busca garantizar los derechos y libertades de los titulares e integrar las medidas necesarias para el tratamiento responsable de los datos, teniendo en cuenta lo siguiente:

• Para este proceso de análisis es importante tener en consideración que la compañía aplicará las medidas técnicas y administrativas que permitan garantizar que, por defecto, se tienen en cuenta aspectos tales como la minimización de los datos, es decir los datos recogidos, las actividades asociadas a los tratamientos, los periodos de conservación, así como la accesibilidad de los datos.

• También se analizarán las posibles afectaciones que puedan generarse hacia los titulares y el resultado servirá de insumo para la etapa de administración de riesgos.

• Esto puede conducir a actualizaciones en el programa de protección de datos de forma general o parcial, que serán evaluadas por la administración.

Derecho de los Titulares

Permoda, respeta en todo momento los derechos que le asisten a los titulares de los datos, los cuales se detallan a continuación:

• Conocer: En este derecho el titular puede:
– Acceder en forma gratuita a sus datos personales.
-Solicitar prueba de la autorización otorgada para el tratamiento de su información, salvo cuando ésta no sea necesaria.
– Ser informado respecto del uso que se les ha dado a sus datos personales.

• Actualizar: Este derecho el titular lo podrá ejercer cuando identifique que su información se encuentra parcial, fraccionada o incompleta o cuando lo considere necesario.

• Rectificar: cuando estos son inexactos, induzcan a error o cuando su tratamiento esté expresamente prohibido.

• Suprimir: El titular de la información podrá, en todo momento, solicitar al responsable o encargado la supresión y/o revocar la autorización otorgada para el tratamiento de los datos cuando:

– Ya no quiere que Permoda continúe tratando sus datos.
– El tratamiento realizado por Permoda o sus encargados no respeta los principios, derechos, garantías constitucionales y legales.
Lo anterior, siempre que no exista un deber legal o contractual que impida suprimirlo, en cuyo caso se bloquearán.

• Oponerse: El titular podrá oponerse al tratamiento de sus datos personales cuando estos sean utilizados para fines de mercadeo directo, perfilamiento o elaboración de perfiles de comportamiento, salvo que Permoda acredite motivos legítimos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del titular, o para la gestión de las reclamaciones asociadas al ejercicio de derechos.

Procedimiento de consultas y reclamos

Permoda Ltda., asegura el ejercicio de derechos de los titulares, gestionando las consultas y reclamos que estos radiquen. Para esto se debe tener en cuenta lo siguiente:

• El único canal de atención establecido por Permoda para el ejercicio de los derechos de los titulares es el correo electrónico: [email protected]

• El titular puede ejercer sus derechos a través de las siguientes solicitudes:

• Consulta, cuando quieran conocer los datos que están bajo la responsabilidad de Permoda.

• Reclamo, cuando quieran actualizar, rectificar, suprimir o revocar la autorización al tratamiento de sus datos personales.

• La consulta o reclamo debe contar mínimo con los siguientes requisitos:
– Nombre completo del titular
– Número de identificación del Titular
– Descripción de los hechos que dan lugar al reclamo
– Dirección, correo electrónico o teléfono
– Los documentos que se quiera hacer valer.
– Si la persona que radica la solicitud es un tercero autorizado por el titular o tiene un derecho adquirido, debe presentar el documento que así lo acredite:
-Si es un abogado, debe presentar el poder debidamente firmado por el titular
– Si es un tercero, debe presentar la autorización autenticada
– Si es un causahabiente, debe presentar el registro civil, acta de matrimonio y registro de defunción, según corresponda, etc.
– Si es el representante legal de un menor de edad, debe presentar el registro civil del menor y el documento de identificación que lo acredite

• En caso de que el reclamo esté relacionado con la eliminación total o parcial de los datos, Permoda evalúa la viabilidad del derecho, teniendo en cuenta lo siguiente:

• Existe un deber legal o contractual de mantener los datos personales.

• Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas (esto incluye las imágenes y videos recolectados a través del CCTV).

• Sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.

Términos para la gestión de las consultas y reclamos

Cuando no se cumple con los requisitos del numeral 11.2, Permoda requerirá al solicitante ampliar la información dentro de los cinco (5) días hábiles siguientes a la recepción de la consulta o reclamo, para que subsane las fallas. Si transcurridos dos meses desde la
fecha en la que se originó el requerimiento, el solicitante no presenta la información solicitada para poder otorgar la respuesta requerida, se entenderá que ha desistido de la solicitud.

• Una vez radicada la consulta por parte del titular, Permoda, contará con un término de 10 días hábiles para dar una respuesta de fondo, prorrogables por 5 días más.

• Una vez radicado el reclamo por parte del titular, Permoda, contará con un término de 15 días hábiles para dar una respuesta de fondo, prorrogables por 8 días más.

Nota. Previo al vencimiento del término para la gestión de la solicitud o reclamo Permoda, si lo considera necesario, podrá prorrogar los términos de respuesta y, para ello,
comunicará al titular por escrito, máximo hasta el día del vencimiento de la contestación.

Si como titular considera que la respuesta dada por parte de Permoda no da garantía a sus derechos, podrá entrar en contacto nuevamente con el área de servicio al cliente, haciéndonos saber el porqué de su inconformidad y en dicho caso, llevaremos a cabo
todas las acciones necesarias para atender adecuadamente el requerimiento. Sin embargo, si continua inconforme con la respuesta recibida, puede interponer una queja ante la Superintendencia de Industria y Comercio.

Obligaciones de Permoda como responsable

Permoda, está obligado a:

• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de los titulares

• Entregar y conservar copia de la respectiva autorización otorgada por el titular

• Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada

• Implementar medidas de seguridad, para proteger la información de adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento

• Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible

• Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada

• Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento

• Suministrar al encargado únicamente datos cuyo tratamiento esté previamente autorizado por el titular

• Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular

• Tramitar las consultas y reclamos en los términos señalados en la presente política

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la normatividad vigente

• Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo

• Informar a solicitud del titular sobre el uso dado a sus datos

• Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Obligaciones del encargado

El encargado del tratamiento de datos personales está obligado a:

-Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de los derechos de los titulares

-Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

-Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de ley;

-Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

-Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente ley;

-Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley

-Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la presente ley

-Insertar en la base de datos la leyenda «información en discusión judicial»; una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal

-Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio

-Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella

-Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares

-Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Seguridad de la información

Permoda, como responsable de los datos personales que se encuentran bajo su tratamiento y alineado al principio de seguridad, aplica medidas técnicas, humanas y administrativas de estricto cumplimiento de los colaboradores, para impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento y manteniendo la disponibilidad, confidencialidad e integridad de la información. Dentro de las medidas de seguridad se encuentran:

-Aplicación de manuales y políticas internas dirigidas a la seguridad de la información.

-Socialización y capacitación a todo el personal, para el cumplimiento de los lineamientos establecidos.

-Implementación de procesos para eliminar la información de tal manera que no se permita su recuperación.

-Evaluación de las medidas de seguridad, exigibles a los encargados del tratamiento de los datos.

-Gestión oportuna de incidentes de seguridad.

Notificación de incidentes de datos personales

Los incidentes son eventos indeseados o inesperados que afectan la seguridad de los datos personales o las bases que los contienen y que pueden afectar los derechos del titular y comprometer el buen nombre de la empresa como responsable de la información.
Dentro de los incidentes que se pueden presentar, se encuentran:

• Acceso no autorizado.

• Robo y/o pérdida de la información por causas externas o daños internos.

• Alteración de la información por causas externas o caso fortuito/fuerza mayor

• Envió de la información a un tercero no autorizado

Teniendo en cuenta lo anterior, Permoda ha definido los siguientes lineamientos para la oportuna atención de los incidentes y que puedan afectar la confidencialidad, integridad y disponibilidad de los datos personales:
Los titulares o cualquier contraparte que identifique algún incidente que afecte datos personales, deben reportarlos de la siguiente manera:

• Datos en formato digital, a través del correo electrónico
[email protected].

• Datos en formato físico podrán ser reportados a través de los canales de la línea de transparencia, disponibles en la página web de PERMODA, señalando la categoría “Incidentes, uso indebido de la información, ciberseguridad y/o uso ilegal de software”.
El encargado del tratamiento deberá notificar a Permoda, cualquier vulneración de la seguridad de datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados a partir de la fecha en la que tenga conocimiento de su ocurrencia. Si Permoda tiene posición de encargado, debe cumplir con esta directriz.
El oficial de PDP notificará la vulneración de la seguridad a la Superintendencia de Industria y Comercio, dentro de los quince (15) días hábiles siguientes al momento en que se detecten; también deberá notificar al titular cuando el incidente conlleve un riesgo a los derechos del titular que puedan generar situaciones de discriminación, divulgación de información o aspectos íntimos de los titulares, daños a su dignidad, buen nombre o reputación, exclusión social, de seguridad, o cualquier otro perjuicio económico o social; esto tiene como finalidad que el titular tome las medidas necesarias para detener los diferentes riesgos a los que se expone.

Cookies

La compañía utiliza cookies en su página web para hacer más eficiente la experiencia de los usuarios que la visitan. Estas cookies son gestionadas directamente o a través de
terceros:

Cookies propias: son aquellas que se envían al dispositivo del usuario desde un equipo o dominio gestionado directamente por Permoda, con ocasión de la navegación del usuario en nuestros sitios web.

Cookies de terceros: son aquellas que se envían al dispositivo del usuario desde un equipo o dominio que no es gestionado por Permoda, sino por otra entidad que trata los datos obtenidos a través de las cookies.

Las cookies tienen variedad de finalidades como reconocer a los usuarios, obtener información sobre sus hábitos de navegación o personalizar la forma en que se muestra el contenido. Según su finalidad, se clasifican en las siguientes categorías:

Cookies necesarias: Permiten al usuario la navegación en la página web y el uso de diferentes opciones disponibles. Su utilización es imprescindible para el correcto funcionamiento del sitio, por lo que no requieren de la autorización del usuario.

Cookies de análisis o rendimiento: Permiten al responsable de la página web recopilar y analizar información sobre la forma en que los usuarios interactúan en el sitio. Esto incluye, rutas de navegación, el tiempo de permanencia, frecuencia de
visitas y la velocidad de carga. Con lo anterior, no solo se identifica patrones de uso, sino también se detectan posibles fallos técnicos, lo que significa la aplicación de mejoras orientadas a optimizar el funcionamiento de la página.

Cookies de personalización: Permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en el dispositivo del usuario, como por ejemplo: idioma, zona horaria, región geográfica, preferencias de accesibilidad y
visualización, el tipo de navegador a través del cual accede al servicio, etc. Con lo anterior, el sitio puede adaptarse a las preferencias del usuario sin requerir configuraciones manuales.

Cookies de publicidad o marketing: Permiten al responsable almacenar información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función de este.

En la página web se dispone de un aviso de cookies que i) proporciona a los usuarios información clara y concisa sobre las funcionalidades de las cookies y ii) provee la opción de aceptar o dirigirse a la pestaña de configuración para ajustar sus preferencias.

Vigencia

La política tendrá vigencia a partir de la divulgación del presente documento, hasta que ocurra alguna actualización en las finalidades o en los lineamientos de protección de datos personales definidos por la compañía, o cuando se generen cambios en la normatividad aplicable.