Política de Datos

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES Y DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

1. Generalidades

1.1. Objetivo

La sociedad Romero Strategy Lab S.A.S., domiciliada en Bogotá, con dirección física Cra. 11 #90-55 Piso 8, correo electrónico info@romerosl.com y teléfono 3108646791 (en adelante, la «Firma»), pone en conocimiento de los Titulares de los Datos Personales (según se define más adelante) esta Política de Tratamiento de Datos Personales (en adelante, la «Política»), en cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 866 de 2014, Decreto 1081 de 2015 y cualquier norma que los modifique o sustituya.

El propósito principal de esta Política es informar a los Titulares de los Datos Personales sobre sus derechos, los mecanismos y procedimientos dispuestos por la Firma para su ejercicio, y las personas autorizadas dentro de la Firma para atender consultas, preguntas, reclamos y quejas. Asimismo, se explican los alcances y finalidades del Tratamiento (según se define más adelante) al que serán sometidos los Datos Personales, en caso de que el Titular otorgue su autorización expresa, previa e informada.

1.2. Alcance

La Política de Tratamiento de Datos aplica a todos los Titulares de los Datos Personales que sean tratados de cualquier forma por la Firma.

1.3. Definiciones

Los términos utilizados cuya primera letra se exprese en mayúsculas en esta Política tendrán el significado que aquí se les asigna o el que establezca la Ley o la jurisprudencia aplicable. En caso de discrepancia entre las definiciones aquí contenidas y las establecidas en la Ley, prevalecerán estas últimas.

• Activo de Información: Se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, personas) que tenga valor para la Firma.

• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales.

• Base de Datos: Conjunto organizado de Datos Personales objeto de Tratamiento, en cualquier modalidad de formación, almacenamiento, organización y acceso.

• Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

• Dato Financiero: Información personal relativa al nacimiento, ejecución y extinción de obligaciones dinerarias, regulada por la Ley 1266 de 2008 modificada y adicionada por la Ley 2157 de 2021 y normas complementarias.

• Dato Personal: Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.

• Dato Público: Información personal calificada como pública por la Ley o la Constitución. Incluye, entre otros, datos sobre estado civil, profesión u oficio, calidad de comerciante o servidor público, y aquellos contenidos en registros públicos.

• Dato Sensible: Información personal que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación. Ejemplo: origen racial o étnico, convicciones religiosas o políticas, afiliaciones sindicales, datos de salud, vida sexual y datos biométricos.

• Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.

• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que realiza el Tratamiento de Datos Personales por cuenta del Responsable.

• Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

• Incidente de Seguridad: Un evento adverso en un entorno informático, que compromete la confidencialidad, integridad o disponibilidad de la información. Es una violación a una política de seguridad de la información, política aceptable de uso o mejores prácticas de seguridad.

• Información: Conjunto de datos, ya procesados y ordenados para su comprensión, que aportan nuevos conocimientos a un individuo o sistema sobre un asunto, materia, fenómeno o ente determinado.

• Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.

• Mejora Continua: Acción permanente realizada con el fin de aumentar la capacidad para cumplir los requisitos y optimizar el desempeño.

• Privacidad: Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que decide sobre la Base de Datos y el Tratamiento de los Datos Personales.

• Riesgo: Efecto de la incertidumbre sobre los objetivos.

• Titular: Persona natural cuyos Datos Personales son objeto de Tratamiento por la Firma.

• Transferencia: Envío de Datos Personales por parte del Responsable o Encargado a un receptor, ubicado dentro o fuera de Colombia, que a su vez actúa como Responsable del Tratamiento.

• Transmisión: Comunicación de Datos Personales a un tercero dentro o fuera de Colombia para su Tratamiento por cuenta del Responsable.

• Tratamiento: Cualquier operación o procedimiento sistemático, electrónico o no, que implique la recolección, conservación, almacenamiento, organización, uso, circulación, evaluación, modificación, eliminación y, en general, el procesamiento de Datos Personales, así como su Transferencia o Transmisión a terceros.

2. Políticas

2.1. Principios
RSL, en el desarrollo de sus actividades, recolectará, utilizará, almacenará, transmitirá, transferirá y, en general, tratará los Datos Personales de los Titulares conforme a las finalidades establecidas en la presente Política. Todo Tratamiento de Datos Dersonales realizado por RSL, sus responsables, encargados y/o terceros a quienes se transfieran Datos Personales, deberá cumplir con los principios y normas establecidos en la legislación vigente y en esta Política, garantizando el derecho al habeas data de los Titulares y cumpliendo con las obligaciones legales aplicables. Estos principios son:

• Autorización previa: Todo Tratamiento de Datos Personales se llevará a cabo una vez se haya obtenido la Autorización previa, expresa e informada del Titular, salvo las excepciones legales. En caso de datos obtenidos antes de la expedición del Decreto 1377 de 2013, RSL utilizará medios ordinarios y alternativos para obtener la autorización retroactiva, conforme a la normativa aplicable.

• Finalidad autorizada: El Tratamiento de Datos Personales debe obedecer a las finalidades informadas al Titular al momento de otorgar su Autorización. Los Datos Personales no podrán ser tratados para fines distintos a los autorizados.

• Calidad del Dato Personal: Los Datos Personales deben ser veraces, completos, exactos, actualizados y comprobables. Si la Información es parcial, incompleta o errónea, RSL se abstendrá de tratarla o solicitará su corrección.

• Entrega de Información al Titular: A solicitud del Titular, RSL le proporcionará información sobre sus Datos Personales registrados.

• Circulación restringida: Solo el personal autorizado por RSL podrá acceder y tratar Datos Personales.

• Temporalidad: Los Datos Personales se conservarán solo por el tiempo necesario para cumplir su finalidad.

• Acceso restringido / Seguridad: Los Datos Personales no estarán disponibles en medios masivos de comunicación sin medidas de seguridad adecuadas.

• Confidencialidad: Se implementarán medidas técnicas, humanas y administrativas para garantizar la seguridad y Confidencialidad de los Datos Personales.

• Confidencialidad y Tratamiento Posterior: Los Datos Personales serán tratados como confidenciales incluso después de finalizada la relación con el titular.

• Individualidad: RSL mantendrá separadas las bases de datos en las que actúa como responsable y aquellas en las que es encargado.

• Necesidad: Se recolectarán únicamente los datos indispensables para cumplir con las finalidades establecidas.

2.2. Tratamiento de Datos Personales
Los Datos Personales serán recolectados, almacenados, organizados, usados, circulados, transmitidos, transferidos, actualizados, rectificados y eliminados conforme a las finalidades definidas.

2.2.1. Tratamiento de Datos Personales de Niños, Niñas y Adolescentes
RSL solo tratará Datos Personales de menores de edad con consentimiento previo y expreso de sus padres o tutores legales, garantizando:

• Respeto al interés superior del menor.

• Salvaguarda de sus derechos fundamentales.

• Valoración de su opinión conforme a su madurez y capacidad de comprensión.

2.2.2. Tratamiento de Datos Sensibles
RSL solo solicitará Datos Sensibles cuando sea estrictamente necesario y con la autorización expresa del Titular, salvo las excepciones legales. Estos datos serán tratados con estrictos estándares de seguridad y Confidencialidad, garantizando un acceso limitado y controlado.

2.2.3. Obligaciones de RSL como Responsable
Cuando RSL actúe como Responsable del Tratamiento de Datos Personales, asumirá las siguientes obligaciones:

• Obtener Autorización Previa del Titular cuando lo exija la normativa aplicable.

• Clasificar y archivar la autorización otorgada por el Titular.

• Cumplir con los principios establecidos en esta Política.

• Atender consultas, quejas y reclamos de los Titulares.

• Implementar procedimientos de seguridad de la Información.

2.3. Finalidades del Tratamiento
RSL tratará los datos personales conforme a las finalidades informadas al momento de la recolección y con el consentimiento del titular. Los terceros con acceso a estos datos en virtud de la ley o contrato deberán respetar estas finalidades. Entre ellas se incluyen:

• Cumplimiento de obligaciones tributarias, comerciales, corporativas y contables.

• Administración de proveedores y contratistas.

• Prestación de servicios a clientes, incluyendo verificaciones necesarias.

• Prevención del fraude, lavado de activos y financiación del terrorismo.

• Atención de requerimientos de autoridades nacionales e internacionales.

• Protección de los derechos y propiedad de RSL y sus clientes.

• Auditorías internas y externas.

• Custodia y actualización de bases de datos.

• Desarrollo y administración de sistemas internos.

• Transmisión y transferencia de datos con terceros bajo acuerdos contractuales.

• Procesamiento de información para brindar servicios y productos adecuados.

• Cumplimiento de obligaciones legales y regulatorias.

2.4. Derechos del Titular de los Datos Personales

De acuerdo con la Ley, los Titulares de Datos Personales tienen los siguientes derechos:

• Derecho de actualización: Conocer, actualizar y rectificar sus Datos Personales cuando sean parciales, inexactos, incompletos, fraccionados o induzcan a error, o cuando su Tratamiento esté expresamente prohibido o no haya sido autorizado.

• Derecho de prueba: Solicitar prueba de la Autorización otorgada a la Firma, salvo cuando la Ley exceptúe este requisito.

• Derecho de información: Solicitar información a la Firma o al Encargado del Tratamiento sobre el uso de sus Datos Personales.

• Derecho de quejas y reclamos: Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la Ley, una vez agotado el trámite interno ante la Firma.

• Derecho de revocación: Revocar su Autorización y/o solicitar la supresión de sus Datos Personales cuando se haya determinado que el Tratamiento es contrario a la Ley o cuando no exista obligación legal o contractual para conservarlos.

• Derecho de acceso: Acceder en forma gratuita a sus Datos Personales en Tratamiento.

• Derecho de conocimiento: Ser informado sobre modificaciones a esta Política antes de su implementación y conocer a la persona o dependencia encargada de atender sus consultas.

• Derecho de supresión: Solicitar la eliminación de sus Datos Personales, salvo que exista un deber legal o contractual para conservarlos.

Los Titulares podrán ejercer estos derechos presentando su documento de identificación. En el caso de menores de edad, sus representantes legales deberán acreditar su condición. También podrán ejercerlos los causahabientes, representantes y personas con estipulación a favor de otro o para otro.

2.5. Área Responsable de la Atención de Solicitudes

La Firma ha designado al área de Servicio al Cliente para atender peticiones, quejas, reclamos y consultas relacionadas con los Datos Personales.

Funciones:

• Recibir, tramitar y responder solicitudes de actualización, acceso, supresión o información sobre el uso de Datos Personales.

• Dar respuesta a solicitudes que no procedan de acuerdo con la Ley.

Datos de contacto:

• Dirección física: Cra. 11 #90-55 Piso 8

• Correo electrónico: info@romerosl.com

• Teléfono: 3108646791

• Cargo del contacto: Gerente Administrativo

2.6. Procedimientos para el Ejercicio de Derechos

2.6.1. Consultas

Los Titulares podrán realizar consultas sobre sus Datos Personales a través de medios físicos, electrónicos o telefónicos. La Firma conservará prueba de la consulta y su respuesta.

Pasos para presentar una consulta:

1. Presentar solicitud escrita.

2. Verificación de identidad del solicitante.

3. Recopilación de la información solicitada.

4. Respuesta dentro de los diez (10) días hábiles siguientes a la recepción. Si se requiere más tiempo, el plazo máximo será de quince (15) días hábiles.

2.6.2. Reclamos

Los Titulares podrán presentar reclamos sobre la corrección, actualización, supresión de sus Datos Personales o el presunto incumplimiento de la Ley.

Pasos para presentar un reclamo:

1. Presentar solicitud escrita con la siguiente información:

• • Nombre, documento de identificación y datos de contacto del Titular.

  • Documentos que acrediten identidad o representación.

  • Descripción clara de los Datos Personales y la acción requerida.

  • Firma del solicitante.

2. Si la solicitud está incompleta, la Firma solicitará la corrección dentro de los cinco (5) días siguientes. Si el solicitante no responde en dos (2) meses, se entenderá desistido el reclamo.

3. Si el reclamo es recibido por una persona no competente, será remitido al Gerente Administrativo en un plazo de dos (2) días hábiles.

4. Una vez recibido el reclamo completo, se incluirá en la Base de Datos la leyenda “reclamo en trámite” en un plazo de dos (2) días hábiles.

5. El reclamo será atendido en un máximo de quince (15) días hábiles. Si se requiere más tiempo, se informará al interesado, con un plazo adicional de ocho (8) días hábiles.

2.6.3. Revocatoria

El Titular puede revocar la Autorización para el Tratamiento de sus Datos Personales en cualquier momento, salvo que exista una obligación legal o contractual para su conservación.

2.7. Seguridad de la Información

La Política de Seguridad y Privacidad de la información que RSL ha adoptado, tiene por objetivo garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información de sus clientes y de la Firma. Como parte de su compromiso con la seguridad, la Firma se compromete a:

• Preservar la confidencialidad, integridad y disponibilidad de la información como un activo estratégico.

• Implementar medidas de protección para la información y sus sistemas de procesamiento.

• Identificar y minimizar riesgos para garantizar el cumplimiento de requisitos legales, contractuales y regulatorios.

• Desarrollar programas de capacitación y concientización para fortalecer la cultura de seguridad de la información.

• Gestionar adecuadamente los datos personales conforme a la Ley 1581 de 2012 y la Norma ISO 27701.

• Garantizar la mejora continua del sistema de seguridad de la información.

Todos los empleados, proveedores y contratistas de Romero Strategy Lab deben cumplir con esta política. El incumplimiento será tratado conforme a los procedimientos internos de la Firma.

La Firma ha implementado medidas técnicas, administrativas y humanas para proteger los Datos Personales contra adulteración, pérdida, consulta, uso o acceso no autorizado. Solo los Titulares y personas autorizadas podrán acceder a esta información.

Dado que internet es una red global, la Firma no puede garantizar la seguridad absoluta de la información transmitida en línea, aunque adopta las medidas necesarias para su protección.

2.8. Transferencia y Transmisión de Datos Personales

La Firma, al realizar transferencias o transmisiones de datos personales de los Titulares, garantizará el cumplimiento estricto y eficaz de lo dispuesto en el literal a) del artículo 26 de la Ley 1581 de 2012.

2.9. Video de Vigilancia

La Firma puede utilizar medios tecnológicos para la vigilancia en sus instalaciones. En tal caso se informará a los Titulares mediante avisos visibles en diferentes áreas del edificio. La finalidad de estas grabaciones es garantizar la seguridad y protección de bienes y personas. La información recolectada podrá ser utilizada como prueba ante autoridades competentes.

2.10. Vigencia

Esta Política rige desde el 3 de marzo de 2025. Los Datos Personales serán almacenados, utilizados o transmitidos conforme a los principios de temporalidad y necesidad.

2.11. Modificaciones

Esta Política podrá ser modificada por la Firma en cualquier momento. Si las modificaciones son sustanciales, se informará previamente a los Titulares.