Modelo gratuito de Política de Tratamiento de Datos Personales — Colombia
Una política de tratamiento de datos personales redactada conforme al régimen colombiano de Habeas Data (Ley 1581 de 2012, Decreto 1377 de 2013), pensada para empresas, comercios electrónicos, profesionales independientes y personas naturales que recolectan datos en Colombia. Complete los campos guiados, active las cláusulas avanzadas que necesite y descargue un PDF profesional listo para publicar en su sitio web o anexar a sus contratos.
| IDENTIDAD | Comercio Andino Digital S.A.S. |
| NIT | 900.512.876-4 |
| DOMICILIO | Carrera 11 # 93-46, Oficina 502, Chapinero, 110221 Bogotá D.C. |
| CORREO DE CONTACTO | habeasdata@comercioandino.com.co |
| TELÉFONO | +57 1 743 5678 |
| SITIO WEB | https://www.comercioandino.com.co |
Para cualquier asunto relacionado con el tratamiento de los datos personales, el Titular puede dirigirse al correo electrónico habeasdata@comercioandino.com.co o al teléfono +57 1 743 5678.
· Legalidad: el tratamiento debe sujetarse a la ley.
· Finalidad: el tratamiento responde a una finalidad legítima informada al Titular.
· Libertad: el tratamiento sólo procede con consentimiento previo, expreso e informado.
· Veracidad o calidad: la información tratada debe ser veraz, completa, exacta y actualizada.
· Transparencia: se garantiza al Titular el derecho a obtener información en cualquier momento.
· Acceso y circulación restringida: el tratamiento sólo se permite a personas autorizadas.
· Seguridad: se implementan medidas técnicas, humanas y administrativas para evitar adulteración, pérdida, consulta o uso no autorizado.
· Confidencialidad: todas las personas que intervienen en el tratamiento están obligadas a garantizar la reserva de la información.
· Datos de identificación (nombres, apellidos, cédula de ciudadanía o extranjería, fecha y lugar de nacimiento, fotografía)
· Datos de contacto (correo electrónico, teléfono fijo o móvil, dirección postal)
· Datos financieros y patrimoniales (cuentas bancarias, ingresos, datos tributarios — NIT, RUT)
· Historial de compras, preferencias de productos y datos de navegación en el sitio web
a) Cumplir las obligaciones derivadas del contrato de compraventa celebrado con el Titular.
b) Procesar y validar los pagos de los productos adquiridos.
c) Gestionar la entrega de los productos al domicilio indicado por el Titular.
d) Atender solicitudes de cambios, devoluciones, garantías y servicio postventa.
e) Cumplir las obligaciones tributarias y de facturación electrónica conforme al Estatuto Tributario y la Ley 1819 de 2016.
f) Prevenir, detectar e investigar fraudes electrónicos.
Finalidades adicionales (no necesarias para la relación jurídica; el Titular puede oponerse en cualquier momento sin afectar la prestación del servicio principal):
a) Envío de información comercial, promociones y ofertas relacionadas con productos del Responsable.
b) Análisis de comportamiento de compra y preferencias para personalizar la oferta.
c) Estudios de mercado, satisfacción del cliente y desarrollo de nuevos productos.
d) Invitación a programas de fidelización, eventos y concursos.
El Responsable conservará prueba de la autorización otorgada por el Titular para el tratamiento de sus datos personales (Art. 12 Decreto 1377/2013).
Conforme al Art. 10 de la Ley 1581 de 2012, no se requiere autorización cuando: (i) la información sea requerida por entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; (ii) se trate de datos de naturaleza pública; (iii) en casos de urgencia médica o sanitaria; (iv) tratamiento autorizado por ley para fines históricos, estadísticos o científicos; o (v) datos relacionados con el Registro Civil de las personas.
a) Conocer, actualizar y rectificar sus datos personales frente al Responsable, especialmente cuando sean parciales, inexactos, incompletos, fraccionados, induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido.
b) Solicitar prueba de la autorización otorgada al Responsable, salvo cuando expresamente se exceptúe como requisito (Art. 10 Ley 1581/2012).
c) Ser informado respecto del uso que se les ha dado a sus datos personales.
d) Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
a) Identificación del Titular: nombres y apellidos, número de cédula de ciudadanía o documento equivalente.
b) Descripción precisa de los hechos que dan lugar a la consulta o reclamo y de la pretensión.
c) Dirección física o electrónica y teléfono de contacto.
d) Documentos que se quieran hacer valer.
Plazos de atención (Art. 14-15 Ley 1581/2012):
· Consulta: el Responsable atenderá la consulta en un término máximo de 10 (diez) días hábiles contados a partir del recibo. Cuando no fuere posible, se informará al interesado expresando los motivos de la demora y se atenderá en un plazo máximo de cinco (5) días hábiles adicionales.
· Reclamo: tendrá un término máximo de 15 (quince) días hábiles. Si fuere insuficiente, se informará al interesado los motivos y se atenderá en un plazo máximo de ocho (8) días hábiles adicionales.
Si transcurridos dos (2) meses desde la fecha del requerimiento sin que el reclamo sea atendido, el Titular podrá acudir directamente ante la Superintendencia de Industria y Comercio (SIC), en términos del Art. 16 de la Ley 1581/2012.
a) Empresas de mensajería y transporte (Servientrega, Coordinadora, Deprisa) para la entrega de los productos.
b) Procesadoras de pagos (PayU Latam, Mercado Pago Colombia, ePayco) para validar y cobrar las operaciones.
c) DIAN (Dirección de Impuestos y Aduanas Nacionales) en cumplimiento de obligaciones tributarias.
d) Centrales de información financiera (Datacrédito, TransUnion) cuando exista habilitación legal.
e) Empresas del mismo grupo empresarial para fines administrativos y operativos.
Las transferencias y transmisiones de datos personales se realizan conforme a los Art. 17, 18 y 25 del Decreto 1377 de 2013, y para las finalidades autorizadas por el Titular o las previstas en el Art. 10 de la Ley 1581 de 2012.
Para revocar el consentimiento, el Titular deberá enviar solicitud al correo habeasdata@comercioandino.com.co siguiendo el procedimiento descrito en la cláusula anterior. La revocación procederá siempre y cuando no exista obligación legal o contractual de continuar con el tratamiento (por ejemplo, conservación de documentación tributaria por 5 años conforme al Estatuto Tributario, o conservación de libros y documentos por 10 años según el Art. 28 del Código de Comercio).
Conforme al Art. 26 de la Ley 1581 de 2012 y a los Art. 22 a 25 del Decreto 1377 de 2013, las transferencias internacionales sólo se realizan: (i) cuando el país receptor proporcione niveles adecuados de protección, declarados así por la Superintendencia de Industria y Comercio (SIC); (ii) con autorización expresa e inequívoca del Titular; (iii) en casos especiales de cooperación administrativa, judicial, fiscal o aduanera; o (iv) cuando se establezcan cláusulas contractuales tipo u otros mecanismos vinculantes.
El Responsable conservará registro detallado de cada transferencia internacional y podrá entregarlo al Titular previa solicitud al correo de contacto.
Utilizamos cookies para autenticar al usuario, mantener su carrito de compras, recordar preferencias de idioma y mejorar la experiencia de navegación. Asimismo, empleamos Google Analytics para medir el rendimiento del sitio y herramientas de marketing (Meta Pixel, Google Ads) para personalizar la publicidad. Las cookies no esenciales sólo se instalan tras obtener el consentimiento del usuario mediante el banner de configuración.
Tipos de cookies utilizadas:
· Esenciales: indispensables para el funcionamiento del sitio (autenticación, sesión, carrito de compras). No requieren consentimiento.
· De preferencia: recuerdan idioma o región seleccionada.
· Estadísticas: miden el uso del sitio (Google Analytics u otros).
· De marketing: rastrean al usuario para mostrar publicidad personalizada.
El usuario puede deshabilitar las cookies en la configuración de su navegador. La deshabilitación de cookies esenciales puede afectar la funcionalidad del sitio. La instalación de cookies no esenciales se realiza únicamente con la autorización del usuario, conforme al Art. 9 de la Ley 1581/2012.
Nombre: Dra. Patricia Domínguez Vega — Oficial de Protección de Datos
Correo electrónico: oficial.datos@comercioandino.com.co
Sus funciones incluyen: (i) atender consultas y reclamos del Titular; (ii) supervisar el cumplimiento de la presente política; (iii) impartir capacitación al personal autorizado; (iv) coordinar la respuesta a incidentes de seguridad; (v) actuar como punto de contacto con la Superintendencia de Industria y Comercio.
a) Implementar medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
b) Identificar y registrar cualquier incidente de seguridad que afecte significativamente los derechos del Titular.
c) Reportar a la Superintendencia de Industria y Comercio (SIC) las violaciones a los códigos de seguridad y los riesgos en la administración de la información de los Titulares, dentro del plazo establecido en la regulación vigente (15 días hábiles, conforme a la Circular 002/2015).
d) Notificar al Titular cuando el incidente afecte significativamente sus datos personales, incluyendo: la naturaleza del incidente, los datos comprometidos, las recomendaciones de protección, las acciones correctivas adoptadas y los medios para obtener mayor información.
a) Datos tributarios y contables: 10 años conforme al Art. 28 del Código de Comercio.
b) Datos de relación contractual: durante la vigencia del contrato y 5 años adicionales para fines probatorios y de prescripción de acciones.
c) Datos tributarios y de facturación: 5 años conforme al Art. 632 del Estatuto Tributario.
d) Datos de marketing: hasta que el Titular ejerza su derecho de revocación o supresión.
e) Cookies analíticas y de marketing: máximo 12 meses, renovables con consentimiento del usuario.
Cumplido el plazo, los datos serán suprimidos de manera segura e irreversible. Las obligaciones legales mínimas de conservación —10 años para libros y documentos del comerciante (Art. 28 Código de Comercio) y 5 años para documentos tributarios (Art. 632 Estatuto Tributario) — prevalecen sobre la solicitud del Titular de supresión, sin perjuicio del bloqueo intermedio del dato.
El Responsable obtendrá la autorización a través de los representantes legales del menor, escuchando previamente la opinión del niño, niña o adolescente, teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto.
Las bases de datos administradas por el Responsable tendrán vigencia indefinida, mientras se mantengan las finalidades del tratamiento y no exista solicitud de supresión por parte del Titular.
Las modificaciones sustanciales se comunicarán por los siguientes medios: (i) publicación en el sitio web https://www.comercioandino.com.co; (ii) envío al correo electrónico registrado por el Titular; (iii) cualquier otro medio razonable que permita conocer las modificaciones.
Para mayor información, consulte: www.sic.gov.co
Manifiesto que he leído y entendido la presente Política de Tratamiento de Datos Personales emitida por Comercio Andino Digital S.A.S., y autorizo de manera previa, expresa e informada el tratamiento de mis datos personales conforme a las finalidades aquí descritas, en términos de los Art. 9 y 12 de la Ley 1581 de 2012 y del Art. 5 del Decreto 1377 de 2013.
Reconozco que tengo derecho a revocar esta autorización en cualquier momento, dirigiendo solicitud al correo habeasdata@comercioandino.com.co, siguiendo el procedimiento descrito en la presente política, y que la revocación procederá siempre que no exista obligación legal o contractual de conservar los datos.
¿Qué es una política de tratamiento de datos personales?
La política de tratamiento de datos personales —también denominada "aviso de privacidad" o "política de privacidad"— es el documento por medio del cual el Responsable del Tratamiento informa al Titular de los datos cuáles son sus derechos, qué información recolecta, con qué finalidad la usa, durante cuánto tiempo la conserva y a quién la transfiere. En Colombia, todo Responsable que trate datos personales —desde una S.A.S. con tienda en línea hasta un consultorio médico independiente— está obligado a publicar y aplicar una política de tratamiento clara, conforme al artículo 17 literal k) de la Ley 1581 de 2012.
Conforme al régimen colombiano de Habeas Data, la política debe identificar al Responsable, explicar los datos recolectados, las finalidades principales y adicionales del tratamiento, los derechos del Titular previstos en el artículo 8 de la Ley 1581/2012 (conocer, actualizar, rectificar, revocar la autorización, presentar quejas ante la SIC), los mecanismos para ejercerlos y las medidas adoptadas para proteger la información. Una política redactada con estándares técnicos y jurídicos correctos minimiza el riesgo de queja ante la Superintendencia de Industria y Comercio (SIC) —autoridad de control en Colombia— y protege a la empresa frente a sanciones que pueden alcanzar 2.000 SMLMV por infracción (Art. 23 Ley 1581/2012).
En Colombia, el marco aplicable se compone de la Constitución Política (artículos 15 y 20 sobre intimidad y libertad de información), la Ley 1581 de 2012 sobre Régimen General de Protección de Datos Personales, el Decreto 1377 de 2013 que la reglamenta, el Decreto 1074 de 2015 (Único Reglamentario del sector Comercio, Industria y Turismo) que compila las normas posteriores, el Decreto 886 de 2014 sobre Registro Nacional de Bases de Datos (RNBD) y la Circular Externa 002 de 2015 de la SIC sobre políticas internas de tratamiento. La autoridad colombiana competente es la Superintendencia de Industria y Comercio (SIC) a través de su Delegatura para la Protección de Datos Personales.
Qué incluye este modelo
La política de Doxuno reúne todas las cláusulas exigidas por el régimen colombiano de Habeas Data y agrega secciones Expert para empresas con sitio web, transferencias internacionales o áreas dedicadas de protección de datos.
Identificación del Responsable
Razón social, NIT, domicilio y canal de contacto en Colombia
Principios del tratamiento
Los 8 principios del Art. 4 Ley 1581/2012 (legalidad, finalidad, libertad…)
Categorías de datos recabados
Identificación, contacto, laborales, financieros, biométricos, sensibles
Finalidades principales y adicionales
Distinción exigida por el Art. 4 literal b) Ley 1581/2012
Autorización del Titular
Consentimiento previo, expreso e informado (Art. 9 Ley 1581/2012)
Derechos del Titular (Habeas Data)
Los 6 derechos del Art. 8 Ley 1581/2012 con plazos de atención
Procedimiento de consultas y reclamos
Plazos de 10 y 15 días hábiles conforme a Art. 14-15 Ley 1581/2012
Transferencias y transmisiones
Destinatarios, fundamento legal y autorización del Titular
Datos sensibles y biométricos
Régimen reforzado del Art. 5 Ley 1581/2012
Niños, niñas y adolescentes
Tratamiento bajo el interés superior del menor (Art. 7)
Cookies y tecnologías de rastreo
Cláusula opcional indispensable para sitios web colombianos
Transferencias internacionales
Mecanismos del Art. 26 Ley 1581/2012 + Art. 22-25 Decreto 1377/2013
Cómo crear su política de tratamiento de datos
No se requieren conocimientos jurídicos previos. El generador de Doxuno lo guía sección por sección hasta obtener un PDF profesional, listo para publicar en su sitio web colombiano o anexar a sus contratos.
- 1
Identifique al Responsable del Tratamiento
Indique la razón social completa, el NIT registrado en la DIAN, el domicilio principal en Colombia, el correo electrónico para Habeas Data y, si tiene sitio web, la URL. Recuerde que en Colombia la SIC exige que el Responsable sea fácilmente identificable y contactable por el Titular —el correo de Habeas Data debe estar operativo y monitoreado—.
- 2
Marque las categorías de datos que recolecta
Active las casillas correspondientes: identificación (cédula de ciudadanía, cédula de extranjería), contacto, laborales (cargo, EPS, AFP, ARL, Caja de Compensación), académicos, financieros (RUT, datos tributarios), biométricos, sensibles. Los datos sensibles y biométricos requieren autorización expresa, específica y por escrito conforme al Art. 5 de la Ley 1581/2012 colombiana.
- 3
Defina las finalidades principales y adicionales
Las finalidades principales son las indispensables para la relación jurídica (cumplir un contrato, procesar pagos, entregar productos, reportar a la DIAN). Las adicionales (marketing, fidelización, estudios de mercado) requieren consentimiento separado y el Titular debe poder oponerse sin afectar la prestación principal —lo exige el Art. 4 lit. b) de la Ley 1581 de 2012—.
- 4
Configure transferencias y mecanismos de Habeas Data
Indique si transfiere datos a terceros (procesadoras de pago, empresas de mensajería, DIAN, centrales como Datacrédito o TransUnion) y a quiénes. Configure el correo y el procedimiento para que el Titular pueda consultar, rectificar, suprimir sus datos o revocar la autorización. Recuerde los plazos de 10 días hábiles para consultas y 15 días hábiles para reclamos previstos por la Ley 1581 de 2012.
- 5
Active las cláusulas Expert y descargue
Incorpore protecciones adicionales según su operación: cláusula de cookies para sitios web, transferencias internacionales (necesaria si usa servicios cloud como AWS, Stripe o Google fuera de Colombia), designación de Oficial de Protección de Datos, criterios de conservación por categoría y procedimiento de notificación de incidentes a la SIC. Su política se generará como PDF profesional, listo para publicarse o anexarse a contratos.
Consideraciones jurídicas en Colombia
Esta plantilla está diseñada para ser válida en todo el territorio colombiano. Antes de publicarla conviene revisar algunos puntos jurídicos, especialmente cuando hay datos sensibles, transferencias internacionales o bases de datos sujetas a registro ante la SIC.
Este modelo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Para empresas que tratan grandes volúmenes de datos, entidades del sector financiero, salud o telecomunicaciones, consulte con un abogado titulado e inscrito ante el Consejo Superior de la Judicatura de Colombia con experiencia en protección de datos personales.
Revisado por profesionales del derecho. El contenido de esta página y las cláusulas del modelo han sido revisados conforme a la Ley 1581 de 2012, al Decreto 1377 de 2013 y a la Circular Externa 002 de 2015 de la SIC, garantizando solidez jurídica para empresas y profesionales colombianos.
Ley 1581 de 2012 — Régimen General de Habeas Data
La Ley 1581 de 2012 desarrolla el derecho fundamental de Habeas Data consagrado en el Art. 15 de la Constitución Política de Colombia. Define al Responsable del Tratamiento como quien decide sobre los datos, al Encargado como quien los trata por cuenta del Responsable, y al Titular como la persona natural cuyos datos son objeto de tratamiento. Sus principios rectores —legalidad, finalidad, libertad, veracidad, transparencia, acceso restringido, seguridad y confidencialidad (Art. 4)— son obligatorios para todo tratamiento en territorio colombiano. La Superintendencia de Industria y Comercio (SIC) supervisa el cumplimiento e impone sanciones que en Colombia van desde llamados de atención hasta multas de 2.000 SMLMV por infracción (Art. 23) y suspensión o cierre temporal de las operaciones de tratamiento.
Decreto 1377 de 2013 — Reglamentación de la Ley 1581
El Decreto 1377 de 2013, hoy compilado en el Decreto 1074 de 2015 (Único Reglamentario del sector Comercio, Industria y Turismo), reglamenta los aspectos operativos del régimen colombiano de Habeas Data: la forma y contenido de la autorización (Art. 5), la política de tratamiento como documento obligatorio (Art. 13), los mecanismos para que el Titular ejerza sus derechos (Art. 14-15), las transferencias y transmisiones nacionales e internacionales (Art. 22-25) y los deberes específicos de Responsables y Encargados. Adicionalmente, el Decreto 886 de 2014 creó el Registro Nacional de Bases de Datos (RNBD) administrado por la SIC, ante el cual deben inscribirse las bases de datos de los Responsables que tratan datos en Colombia, con obligación de actualización anual.
Datos sensibles, biométricos y de menores
El Art. 5 de la Ley 1581/2012 colombiana define como sensibles los datos relacionados con origen racial o étnico, salud, vida sexual, datos biométricos, opiniones políticas, convicciones religiosas, filosóficas o de pertenencia a sindicatos. Su tratamiento sólo procede con autorización expresa, específica y por escrito (o medio equivalente) del Titular, quien tiene derecho a no entregarlos. El Art. 7 prohíbe el tratamiento de datos de niños, niñas y adolescentes, salvo cuando responda al interés superior del menor y respete sus derechos prevalentes (Art. 44 Constitución Política), obteniendo autorización a través de los representantes legales y escuchando la opinión del menor según su madurez.
Transferencias internacionales y registro RNBD
Conforme al Art. 26 de la Ley 1581/2012 y a los Art. 22-25 del Decreto 1377/2013, las transferencias internacionales de datos personales desde Colombia sólo proceden si: (i) el país receptor proporciona niveles adecuados de protección declarados por la Superintendencia de Industria y Comercio mediante circulares oficiales; (ii) el Titular ha otorgado autorización expresa e inequívoca; (iii) se establecen cláusulas contractuales tipo o normas corporativas vinculantes; o (iv) en casos especiales de cooperación administrativa, judicial, fiscal o aduanera. Las empresas con bases de datos sujetas a registro en el RNBD (Decreto 886/2014, Decreto 090/2018) deben actualizar anualmente la información del registro y reportar a la SIC los incidentes de seguridad que afecten significativamente los datos de los Titulares.
Preguntas frecuentes
¿Listo para cumplir con la Ley 1581 colombiana?
Complete los datos en pocos minutos y obtenga una política de tratamiento de datos profesional, redactada conforme al régimen colombiano de Habeas Data y a la Circular 002/2015 de la SIC. Gratuito, sin necesidad de crear cuenta para la versión básica.
Gratis · PDF instantáneo · Sin cuenta requerida