Política integral de protección de datos personales

Versión 1.0 – Abril 2025


I. INTRODUCCIÓN
THE GUMMY BOX S.A.S., sociedad legalmente constituida bajo las leyes de la República de Colombia, identificada con NIT 901.189.721-2, con domicilio en la ciudad de Bogotá D.C., en cumplimiento de lo dispuesto en el artículo 15 de la Constitución Política de Colombia (que reconoce el derecho de todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos) y demás normas concordantes como la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015, la Ley 1266 de 2008, la Ley 1273 de 2009, la Ley 1437
de 2011, y la Ley 527 de 1999, adopta la presente Política Integral de Protección de Datos Personales, como expresión de su compromiso permanente con la protección y respeto de los derechos fundamentales a la intimidad, la privacidad y el habeas data.

 


II. MARCO NORMATIVO
La presente política se fundamenta principalmente en las siguientes normas y disposiciones:
• Constitución Política de Colombia, artículo 15: Protección de la intimidad personal y el derecho al habeas data.
• Ley Estatutaria 1581 de 2012: Por la cual se dictan disposiciones generales para la protección de datos personales.
• Decreto 1377 de 2013: Reglamentario parcial de la Ley 1581 en cuanto a autorización previa y manejo de bases de datos.
• Decreto Único 1074 de 2015: Compilación normativa aplicable al tratamiento de datos personales.
• Ley 1266 de 2008: Regulación de bases de datos de información financiera, crediticia, comercial y de servicios.
• Ley 1273 de 2009: Protección de la información y de los datos informáticos.
• Ley 1437 de 2011: Código de Procedimiento Administrativo y de lo Contencioso Administrativo, derecho de acceso y corrección de datos.
• Ley 527 de 1999: Definiciones aplicables a los mensajes de datos y comercio electrónico.
• Código Penal Colombiano: Protección frente a delitos relacionados con el acceso indebido, uso abusivo o daño a bases de datos (artículos 269F a 269K).
• Circular Externa 02 de 2015 de la Superintendencia de Industria y Comercio: Parámetros para la implementación de políticas de protección de datos.
• Reglamento General de Protección de Datos (GDPR) de la Unión Europea: Tomado como referencia de buenas prácticas internacionales.

 

III. PRINCIPIOS RECTORES DEL TRATAMIENTO DE DATOS PERSONALES
El tratamiento de los datos personales por parte de THE GUMMY BOX S.A.S. observará estrictamente los siguientes principios, en concordancia con el artículo 4 de la Ley 1581 de 2012:


1. Legalidad
Todo tratamiento de datos personales es una actividad reglada que debe sujetarse a las disposiciones vigentes y aplicables.


2. Finalidad
El tratamiento debe obedecer a una finalidad legítima, explícita e informada al titular. Los datos no podrán ser tratados para propósitos distintos de los comunicados.

3. Libertad
El tratamiento de datos personales sólo puede ejercerse con el consentimiento libre, previo, expreso e informado del titular, salvo excepciones expresamente autorizadas por la ley.


4. Veracidad o Calidad
La información objeto de tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Está prohibido el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.


5. Transparencia
Se debe garantizar al titular su derecho a obtener, en cualquier momento y sin restricciones, información sobre la existencia de datos que le conciernan.


6. Acceso y Circulación Restringida
Los datos personales sólo podrán ser tratados por personal autorizado por el titular o por quienes, en virtud de disposición legal, estén habilitados para hacerlo. No podrán ser divulgados a terceros no autorizados.


7. Seguridad
LA EMPRESA deberá adoptar todas las medidas técnicas, humanas y administrativas necesarias para proteger los datos personales contra riesgos de pérdida, acceso no autorizado o uso indebido.


8. Confidencialidad
Todas las personas que intervienen en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, incluso después de terminada la relación contractual.


9. Responsabilidad Demostrada (Accountability)
LA EMPRESA es responsable de demostrar que ha implementado medidas adecuadas para cumplir con la legislación sobre protección de datos.

 

10. Minimización de Datos
Sólo se recolectarán los datos estrictamente necesarios para las finalidades establecidas.


11. Portabilidad
El titular tiene derecho a solicitar sus datos personales en un formato estructurado y común, para facilitar su traslado a otro responsable.

 


IV. CATEGORÍAS DE DATOS PERSONALES
Los datos personales recolectados se clasifican en las siguientes categorías:


1. Datos de Identificación
Información que individualiza al titular:
• Nombre completo,
• Tipo y número de documento de identidad,
• Nacionalidad,
• Fecha y lugar de nacimiento.


2. Datos de Contacto
Información que permite la localización del titular:
• Dirección física,
• Teléfonos,
• Correos electrónicos.


3. Datos Laborales y Académicos
Información relacionada con:
• Trayectoria académica,
• Experiencia profesional,
• Referencias laborales,
• Certificaciones y capacitaciones.

4. Datos Financieros y Patrimoniales
Incluye:
• Información bancaria,
• Datos de facturación,
• Historial de pagos y cobranzas.


5. Datos Sensibles
Información que afecta la intimidad o que puede generar discriminación:
• Datos de salud,
• Huellas dactilares y datos biométricos,
• Información genética,
• Convicciones religiosas o políticas.


6. Datos de Menores de Edad
• Requieren tratamiento especial bajo el principio del interés superior del menor.

 


V. FINALIDADES DEL TRATAMIENTO
Los datos personales recolectados tendrán las siguientes finalidades:
• Gestión administrativa y contractual,
• Gestión de talento humano,
• Procesamiento de compras y pagos,
• Fidelización y programas de beneficios,
• Envío de comunicaciones promocionales,
• Cumplimiento de obligaciones legales y regulatorias,
• Seguridad física y monitoreo a través de sistemas de videovigilancia,
• Prevención de fraudes y riesgos de lavado de activos.

 

VI. DERECHOS DE LOS TITULARES
De conformidad con los artículos 8 y 9 de la Ley 1581 de 2012, los titulares tienen los siguientes derechos:
• Acceder en forma gratuita a sus datos personales,
• Solicitar prueba de la autorización otorgada,
• Rectificar y actualizar sus datos,
• Solicitar la supresión de los datos cuando no sean necesarios,
• Revocar la autorización concedida para el tratamiento,
• Presentar quejas ante la Superintendencia de Industria y Comercio.

 


VII. PROCEDIMIENTOS PARA EL EJERCICIO DE DERECHOS
Los titulares podrán ejercer sus derechos mediante:
• Consultas: serán atendidas en un término máximo de diez (10) días hábiles.
• Reclamos: serán atendidos en un término máximo de quince (15) días hábiles.
El procedimiento será gratuito y podrá realizarse a través de los canales de atención de THE GUMMY BOX S.A.S.

 


VIII. MEDIDAS DE SEGURIDAD
THE GUMMY BOX S.A.S. implementará medidas de seguridad de acuerdo con los estándares internacionales (ISO 27001:2013) y nacionales:
• Políticas de acceso restringido,
• Encriptación de información sensible,
• Auditorías periódicas,
• Control de acceso físico a instalaciones,
• Copias de seguridad regulares.

 


IX. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS
La transferencia de datos personales a otros países se realizará en cumplimiento de los artículos 26 y 27 de la Ley 1581 de 2012 y garantizará niveles adecuados de protección.

 

X. RIESGOS DERIVADOS DEL INCUMPLIMIENTO
El tratamiento inadecuado de los datos podrá acarrear:
• Multas administrativas por parte de la Superintendencia de Industria y Comercio,
• Procesos judiciales civiles, penales y laborales,
• Daño reputacional grave,
• Sanciones personales a administradores y representantes legales conforme al artículo 23 de la Ley 222 de 1995,
• Eventual pérdida de registros, habilitaciones o certificaciones.

 


XI. VIGENCIA Y ACTUALIZACIÓN DE LA POLÍTICA
Esta política entra en vigencia a partir del 28 de abril de 2025 y será actualizada cuando resulten cambios normativos o tecnológicos que lo requieran.

 


ANEXO: CONSENTIMIENTO INFORMADO PARA EL TRATAMIENTO DE DATOS PERSONALES
Las actualizaciones serán comunicadas oportunamente a través de los canales oficiales de THE GUMMY BOX S.A.S.