Política de Tratamiento de Datos Personales
1. Marco normativo
La presente política de tratamiento de datos personales se rige por la Ley 1581 de 2012 (Régimen General de Protección de Datos Personales de Colombia), su Decreto Reglamentario 1377 de 2013 y el artículo 15 de la Constitución Política de Colombia (derecho fundamental al Habeas Data).
Para transferencias internacionales aplica la Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio (SIC), que declara a los Estados Unidos como país con nivel adecuado de protección de datos.
2. Responsable del tratamiento
Inversiones RM S.A.S. (en adelante "Punsel"), identificada con NIT 901778029-0, con domicilio en Bucaramanga, Santander, Colombia, es la responsable del tratamiento de los datos personales recolectados a través de la plataforma web Punsel.
Para el ejercicio de los derechos del titular, consultas o reclamos, el canal oficial designado es el correo electrónico del Delegado de Protección de Datos (DPO): [email protected].
3. Principios rectores
Conforme al artículo 4 de la Ley 1581 de 2012, el tratamiento de datos personales por parte de Punsel se rige por los siguientes principios:
- Legalidad — sujeto a las disposiciones legales vigentes.
- Finalidad — acorde a una finalidad legítima informada al titular.
- Libertad — previo consentimiento expreso e informado del titular.
- Veracidad o calidad — datos veraces, completos y actualizados.
- Transparencia — derecho del titular a obtener información del tratamiento.
- Acceso y circulación restringida — tratamiento limitado a personas autorizadas.
- Seguridad — medidas técnicas y administrativas para evitar adulteración, pérdida o acceso no autorizado.
- Confidencialidad — reserva sobre los datos por parte de quienes intervienen en el tratamiento.
4. Tipos de datos tratados
Punsel recolecta y trata las siguientes categorías de datos personales de los clientes finales que se vinculan a un programa de fidelidad operado a través de la plataforma:
- Datos de identificación: nombre completo y, opcionalmente, número de documento de identidad y fecha de nacimiento.
- Datos de contacto: correo electrónico y, opcionalmente, número telefónico.
- Datos del programa de fidelidad: historial de puntos acumulados, redenciones realizadas, fecha de vinculación, negocio asociado.
- Datos técnicos: dirección IP, identificador del dispositivo Apple Wallet o Google Wallet, registros de acceso (logs).
- Datos opcionales (consentimiento separado): género, fotografía de perfil, geolocalización aproximada.
Punsel no recolecta datos sensibles (categoría definida en el artículo 5 de la Ley 1581/2012) salvo consentimiento expreso y escrito del titular para una finalidad específica.
5. Finalidades del tratamiento
Los datos personales se tratan para las siguientes finalidades:
- Gestión de la participación del titular en el programa de fidelidad operado por el negocio asociado (alta, acumulación de puntos, redención de premios).
- Emisión y entrega de la tarjeta digital de fidelidad en Apple Wallet (archivo
.pkpass) y Google Wallet. - Envío de comunicaciones transaccionales relacionadas con el programa (confirmación de registro, notificación de acumulación o redención, recordatorios de vencimiento).
- Generación de analítica agregada y anonimizada para el negocio asociado, sin perfilamiento individual.
- Cumplimiento de obligaciones legales, contables, contractuales y de seguridad de la información.
Punsel actúa como encargado del tratamiento para los negocios que operan programas de fidelidad sobre la plataforma; el responsable del tratamiento frente a los clientes finales es el negocio que recolectó la autorización inicial.
6. Derechos del titular
Conforme al artículo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales.
- Solicitar prueba de la autorización otorgada.
- Ser informado, previa solicitud, respecto del uso que se le ha dado a sus datos personales.
- Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la Ley 1581 de 2012.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
7. Procedimiento para el ejercicio de derechos
Para ejercer cualquiera de los derechos descritos, el titular debe remitir una solicitud al canal oficial [email protected], indicando: (i) nombre completo y documento de identificación; (ii) negocio al que pertenece su tarjeta de fidelidad; (iii) descripción clara y precisa de los hechos y la solicitud específica; (iv) dirección de notificación.
Plazos legales (Ley 1581 de 2012):
- Consulta (Art. 14): atendida en un término máximo de 10 días hábiles contados a partir de la fecha de recibo, prorrogables hasta por cinco (5) días hábiles adicionales informando al interesado los motivos.
- Reclamo (Art. 15): atendido en un término máximo de 15 días hábiles contados a partir del día siguiente a la fecha de su recibo, prorrogables hasta por ocho (8) días hábiles adicionales notificando al interesado los motivos.
8. Autorización del titular
La autorización para el tratamiento de datos personales por parte de Punsel se recolecta mediante alguno de los siguientes mecanismos:
- Formulario de registro (signup) en la plataforma, con casilla de aceptación expresa de la presente política y de la política del negocio asociado.
- Aceptación expresa al recibir la tarjeta digital de fidelidad por correo electrónico (opt-in confirmado).
- Mecanismo de revocación: en todo correo recibido se incluye un enlace de baja inmediata; alternativamente, el titular puede solicitar revocación al canal DPO.
9. Transferencia y transmisión internacional
La infraestructura de Punsel está alojada en servidores ubicados en los Estados Unidos (Virginia, Ashburn — datacenter operado por Hetzner Online GmbH). De acuerdo con la Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio, los Estados Unidos son considerados país con nivel adecuado de protección de datos, conforme al artículo 26 de la Ley 1581 de 2012.
Punsel utiliza los siguientes encargados / subprocesadores internacionales para la prestación del servicio:
- Hetzner Online GmbH (Alemania, datacenter en Estados Unidos) — alojamiento de infraestructura (cómputo, base de datos, almacenamiento).
- Cloudflare, Inc. (Estados Unidos) — red de distribución de contenido (CDN), protección DDoS / WAF y servicio DNS.
- Microsoft Corporation (Estados Unidos / Unión Europea) — correo electrónico transaccional vía Office 365 SMTP.
- Postmark (Estados Unidos) — envío de correos electrónicos de campañas y comunicaciones masivas.
Cualquier modificación al listado de subprocesadores se notifica a los negocios responsables con un preaviso mínimo de treinta (30) días calendario, conforme a las cláusulas del Acuerdo de Procesamiento de Datos (DPA) suscrito.
10. Vigencia
La presente política se encuentra vigente a partir de su fecha de publicación (indicada en el encabezado de este documento). Cualquier modificación material será notificada a los titulares con un preaviso mínimo de quince (15) días calendario previo a su entrada en vigor, a través del correo electrónico registrado o de un aviso destacado en la plataforma.
El titular podrá, en cualquier momento, revocar la autorización otorgada y solicitar la supresión de sus datos cuando no se ajusten a los principios, derechos y garantías constitucionales y legales.
11. Quejas ante la Superintendencia de Industria y Comercio
Sin perjuicio del trámite directo de consultas y reclamos ante Punsel, el titular puede presentar quejas ante la Superintendencia de Industria y Comercio (SIC) cuando considere que se han infringido las disposiciones de la Ley 1581 de 2012 o el Decreto 1377 de 2013.
Canales SIC:
- Dirección oficina principal: Carrera 13 # 27 – 00, Bogotá D.C., Colombia.
- Conmutador: +57 (601) 587 0000.
- Sitio web: www.sic.gov.co.
- Página de protección de datos: sic.gov.co — protección de datos personales.