POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

GRUPO ROCHA S.A.S., en adelante “la Compañía”, es considerada como responsable
y/o encargada del tratamiento de los datos personales contenidos en las bases de
datos de su propiedad.


La Compañía se identifica con los siguientes datos:
Dirección: Cll 118 #19- 52, Of. 204/206 Bogota, Colombia
Teléfono: (+57)6583437
Correo electrónico: info@carola.com.co


1. Políticas generales
En atención a la expedición de la ley 1581 de 2012 y el Decreto 1074 Capítulo 25 del
2015, referentes al derecho constitucional otorgado al tratamiento de datos
personales en archivos de entidades públicas y/o privadas, y con el fin de proteger la
información que le ha sido confiada de manera voluntaria por Clientes, Proveedores,
Empleados y demás terceros, la Compañía establece los términos, condiciones y
finalidades descritos en el presente documento.


2. Principios para el tratamiento de datos personales
La Superintendencia de Industria y Comercio establece como principios rectores del
tratamiento de datos personales los siguientes:
• Principio de legalidad en materia de Tratamiento de datos: El Tratamiento de datos
personales es una actividad reglada que debe sujetarse a lo establecido en la ley y en
las demás disposiciones que la desarrollen.
• Principio de finalidad: El Tratamiento de datos personales debe obedecer a una
finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada
al Titular;
• Principio de libertad: El Tratamiento de datos personales que realice la Compañía
sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular.
Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o
en ausencia de mandato legal o judicial que releve el consentimiento;
• Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser
veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
 
• Principio de transparencia: En el Tratamiento debe garantizarse el derecho del
Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento,

en cualquier momento y sin restricciones, información acerca de la existencia de
datos que le conciernan;
• Principio de acceso y circulación restringida: El Tratamiento de Datos Personales
que realice la Compañía debe estar sujeta a los límites que se derivan de la
naturaleza de los datos personales, y sólo podrá hacerse por personas autorizadas
por el Titular y/o por las personas previstas en la presente ley. Los datos personales
no podrán estar disponibles en Internet u otros medios de divulgación o
comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar
un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la
ley;
• Principio de seguridad: La información sujeta a Tratamiento por la Compañía
deberán manejar las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento;
• Principio de confidencialidad: Todas las personas que intervengan en el
Tratamiento de datos personales que realice la Compañía están obligadas a
garantizar la reserva de la información, inclusive después de finalizada su relación
con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar
suministro o comunicación de datos personales cuando ello corresponda al
desarrollo de las actividades autorizadas en la presente ley y en los términos de la
misma.


3. Tratamiento al cual serán sometidos los datos
 Los datos personales y autorizaciones de tratamiento se recolectarán por
medios electrónicos y físicos, mediante la Página Web de la Compañía y los
documentos y formatos propios de ésta.
 Dichos datos serán almacenados en las bases de datos de la Compañía, quien
los custodiará bajo condiciones de idoneidad, confidencialidad y seguridad, y serán
suprimidos en caso de que el titular manifieste su intención de manera escrita ante
la Compañía.
 El acceso a las bases de datos se encuentra limitado al personal encargado y
autorizado por la Compañía, cumpliendo con los protocolos de acceso y seguridad
pertinentes. El personal encargado debe:
- Dar el tratamiento idóneo a los datos suministrados.
- Abstenerse de tomar decisiones que afecten o puedan afectar la seguridad de los
datos suministrados.

- Informar el fin para el cual se usarán los datos, y únicamente usarlos para éste.
- Gestionar los datos bajo los principios rectores anteriormente descritos, así como
bajo la normatividad que regula el tratamiento de datos personales en Colombia.


4. Uso (finalidad) de la información personal recopilada en las bases de datos
4.1. Bases de datos personales de Clientes:
Buscan establecer un canal de comunicación para mantener un contacto con los
Clientes, remitir información para dar cumplimiento a exigencias legales y
requerimientos de autoridades judiciales, desarrollar estudios estadísticos y
administrativos que resulten necesarios para el correcto desarrollo del objeto social
de la Compañía, y tratar las siguientes situaciones post-venta que se puedan
presentar:
- Revisiones de calidad.
- Cambios.
- PQRs.
- Captación de datos para programas de fidelización.
4.2. Bases de datos personales de aspirantes y/o trabajadores:
Su objetivo es realizar procesos de selección para la contratación de empleados por
parte de la Compañía, comunicarse con los aspirantes y atender peticiones, quejas o
reclamos que estos presenten, remitir información para dar cumplimiento a
exigencias legales y requerimientos de autoridades judiciales, desarrollar estudios
estadísticos y administrativos que resulten necesarios para el correcto desarrollo del
objeto social de la Compañía.


5. Deberes de la Compañía como responsable del tratamiento de datos
personales
La Compañía acepta y reconoce que los datos personales son propiedad de los
titulares a los que se refieren, y solamente estos pueden decidir sobre los mismos. Así,
la Compañía hará uso de los datos personales recolectados única y exclusivamente
para las finalidades para las que se encuentra debidamente facultada, y respetando en
todo caso la normatividad vigente sobre la protección de datos personales,
cumpliendo con los deberes contenidos en el artículo 17 de la Ley 1581 de 2012 y las
demás normas que la reglamenten, modifiquen o sustituyan.


6. Derechos que le asisten al titular de la información

De acuerdo con la normativa vigente, los titulares de la información recopilada en las
bases de datos de la Compañía cuentan con los siguientes derechos, que pueden
invocar o ejercer o ejercer:
- Acceder de manera gratuita a sus datos personales, rectificarlos, corregirlos y
actualizarlos.
- Solicitar y obtener prueba de la autorización concedida para el tratamiento de
sus datos personales.
- Obtener información sobre el uso y tratamiento que se ha dado a su información
personal.
- Acudir ante las autodidades con el fin de solicitar y exigir el amparo de los
derechos que les confieren las leyes.
- Revocar, en cualquier momento, la autorización para el tratamiento de sus datos
personales, modificarla o condicionarla. Así mismo, solicitar la supresión,
modificación o aclaración de los datos, salvo que esta información sea necesaria
por motivos legales o contractuales.


7. Autorizaciones para el tratamiento de datos personales
7.1. Autorizaciones para el tratamiento de datos de Clientes:
En caso de presentar PQR´s, solicitar la verificación de productos por calidad, o
solicitar cambios, los Clientes deberán enviar dichas solicitudes de manera escrita al
correo electrónico dispuesto por la Compañía para tal fin, en el cual deberá incluir su
nombre completo o nombre de la persona que realizó la compra, fecha de la compra,
número de identificación, dirección, correo electrónico, y demás datos personales que
resulten pertinentes para elevar dichas solicitudes.
En estos casos, los Clientes reconocen y aceptan que el envío de sus solicitudes
representa una autorización tácita a la transmisión nacional e internacional de sus
datos, de acuerdo a los términos y condiciones aquí establecidos.
7.2. Autorización para el tratamiento de datos personales de empleados y/o
aspirantes:
De conformidad con lo dispuesto en la Ley Estatutaria 1581 de 2012, los empleados
facultan a la Compañía a realizar el tratamiento a los datos personales que obtengan
mediante los vínculos contractuales celebrados, los cuales serán almacenados,
consultados, transmitidos y transferidos con el objetivo de establecer un canal de
contacto con cada empleado que permita el desarrollo de la relación laboral.

Como consecuencia, al vincularse laboralmente como empleados de la Compañía y al
firmar los documentos pertinentes para materializar dicha relación laboral o
prestación de servicios según sea el caso, los empleados encontrarán un aparte en el
cual aceptan el tratamiento de sus datos personales de manera expresa.


8. Tratamiento de datos personales de niños, niñas y adolescentes
Conforme a lo dispuesto por el artículo 7º de la Ley 1581 de 2012 y el artículo 12 del
Decreto 1377 de 2013, la Compañía únicamente realizará el tratamiento de datos
personales de niños, niñas y adolescentes, cuando este tratamiento responda y
respete el interés superior de éstos, como sujetos de especial protección.
Así, la Compañía deberá obtener la autorización del representante legal del niño, niña
o adolescente.