POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES
CEREZAS SUR Y OCCIDENTE SAS
Versión: 1.0
Fecha de Entrada en Vigencia: Enero 2026
Última Actualización: Enero 16, 2026
1. INTRODUCCIÓN Y ALCANCE
Esta Política de Privacidad y Tratamiento de Datos Personales ("Política") describe cómo CEREZAS SUR Y OCCIDENTE SAS ("Empresa", "nosotros", "nuestro/a") recopila, utiliza, procesa, almacena, transfiere y protege los datos personales de los clientes, visitantes, usuarios y terceros que interactúan con la Empresa a través de:
Sitio web www.[dominio].com.co
Aplicación móvil (iOS/Android)
Páginas en Facebook e Instagram (redes sociales)
WhatsApp Business (+57 [número])
Correo electrónico
Llamadas telefónicas
Tiendas físicas (si aplica)
Otras plataformas y canales de comunicación
Esta Política cumple con:
Ley 1581 de 2012 (Ley de Protección de Datos Personales en Colombia)
Decreto 1377 de 2013 (Reglamentación de la Ley 1581)
Ley 1480 de 2011 (Estatuto del Consumidor)
Principios de privacidad internacionales (GDPR como referencia)
Aceptación Obligatoria: Al utilizar cualquiera de nuestros servicios, canales o plataformas, usted acepta integralmente los términos de esta Política. Si no está de acuerdo con alguna disposición, le recomendamos que no proporcione sus datos personales.
2. INFORMACIÓN DE LA EMPRESA
| Campo | Información |
|---|---|
| Razón Social | CEREZAS SUR Y OCCIDENTE SAS |
| NIT | [Ingrese NIT] |
| Registro Cámara de Comercio | [Ingrese matrícula mercantil] |
| Domicilio Judicial | [Ingrese dirección completa - Medellín, Antioquia] |
| Teléfono Principal | [Ingrese número] |
| Correo Oficial | [Ingrese correo empresa] |
| Sitio Web | www.[dominio].com.co |
| Responsable de Datos | [Nombre y cargo] |
| Correo Responsable de Datos | [Correo específico para ARCO] |
| Horario de Atención | [Especificar] Lunes a Viernes 8:00 AM - 6:00 PM |
| Autoridad Supervisora | Superintendencia de Industria y Comercio (SIC) - www.sic.gov.co |
3. DEFINICIONES
Dato Personal: Cualquier información relacionada con una persona natural identificada o identificable. Ejemplo: nombre, cédula, correo, teléfono, dirección, información de compra.
Datos Sensibles: Información que revela origen racial o étnico, orientación política, creencias religiosas, ideológicas, datos de salud, datos biométricos, o datos genéticos. Requieren consentimiento expreso y reforzado.
Titular de Datos: Persona natural cuyos datos personales son tratados por la Empresa.
Responsable del Tratamiento: Persona natural o jurídica que decide sobre las finalidades y medios del tratamiento de datos. En este caso: CEREZAS SUR Y OCCIDENTE SAS.
Encargado del Tratamiento: Persona que procesa datos en nombre del Responsable. Ejemplo: servidor de hospedaje, plataforma de email.
Tratamiento de Datos: Cualquier operación realizada sobre datos personales (recopilación, almacenamiento, uso, transmisión, supresión).
Consentimiento: Expresión de voluntad, libre, previa, específica e informada para que la Empresa trate sus datos.
Transferencia de Datos: Comunicación de datos personales a terceros dentro de Colombia.
Transferencia Internacional: Comunicación de datos personales a personas ubicadas en el extranjero o a servidores internacionales.
Base de Datos: Conjunto organizado de datos personales almacenados en nuestros sistemas informáticos.
4. MARCO LEGAL APLICABLE
Colombia:
Ley 1581 de 2012: Régimen general de protección de datos personales
Decreto 1377 de 2013: Reglamentación de la Ley 1581
Ley 1480 de 2011: Protección del consumidor en comercio electrónico
Ley 527 de 1999: Comercio electrónico
Decreto 3075 de 1997: Regulación sanitaria de alimentos (INVIMA)
Resoluciones SIC: Circulares sobre tratamiento de datos en plataformas digitales
Internacional:
Reglamento (UE) 2016/679 (GDPR): Referencia para mejores prácticas (aunque no es directamente aplicable en Colombia, la Empresa adopta estándares de GDPR para protección reforzada)
Reguladores:
Superintendencia de Industria y Comercio (SIC): Autoridad principal de supervisión
INVIMA: Autoridad sanitaria (cuando datos son sobre alimentos)
5. RESPONSABLE DEL TRATAMIENTO DE DATOS
Identidad del Responsable:
CEREZAS SUR Y OCCIDENTE SAS es el Responsable del Tratamiento de Datos Personales conforme a la Ley 1581 de 2012.
Responsable Designado de Protección de Datos:
Nombre y Cargo: [Nombre del responsable - ej. Gerente de Operaciones]
Correo de Contacto: [Correo específico]
Teléfono: [Teléfono directo]
Disponibilidad: Lunes a Viernes, 8:00 AM - 6:00 PM (hora Colombia)
Funciones del Responsable de Datos:
Recibir solicitudes de Acceso, Rectificación, Cancelación y Oposición (ARCO)
Responder consultas sobre tratamiento de datos
Investigar posibles vulneraciones de privacidad
Coordinar con terceros encargados del tratamiento
Mantener registros de consentimientos y tratamientos
Nota: Si no recibe respuesta en 10 días hábiles, puede comunicarse con la Superintendencia de Industria y Comercio (SIC).
6. DATOS PERSONALES QUE RECOPILAMOS
6.1 Datos Recopilados Directamente del Titular
Cuando usted realiza una compra, se registra en nuestro sitio, contacta al servicio al cliente, o interactúa con nuestros canales, recopilamos:
Identificación y Contacto:
Nombre completo
Cédula de Ciudadanía, Pasaporte, o documento de identidad
Correo electrónico
Número(s) de teléfono
Dirección de residencia
Departamento, ciudad, código postal
Información Financiera:
Número de tarjeta de crédito/débito (procesado por terceros de pago)
Información de cuenta bancaria (si aplica)
Historial de compras y transacciones
Método de pago preferido
Información de Compra:
Productos adquiridos (tipo, cantidad, precio)
Fecha y hora de compra
Historial de búsquedas y productos visualizados
Carrito de compras (aunque no finalice compra)
Métodos de envío seleccionados
Comunicación:
Contenido de correos electrónicos
Mensajes en WhatsApp, Facebook Messenger, Instagram DM
Chats con servicio al cliente
Llamadas telefónicas (si se graban)
Información Técnica:
Dirección IP
Tipo y versión de navegador
Sistema operativo
Dispositivos utilizados
Información de cookies
Preferencias y Comportamiento:
Información sobre preferencias de productos
Suscripcción a newsletters
Participación en promociones o sorteos
Preferencias de comunicación
Información de reclamos y reclamaciones
Información Demográfica:
Edad/Fecha de nacimiento (si aplica)
Género (opcional)
Ocupación (opcional)
Ingresos aproximados (si aplica)
6.2 Datos Recopilados Indirectamente
Recopilamos datos sobre usted de:
De Terceros:
Agencias de envío (información de dirección confirmada)
Procesadores de pago (confirmación de transacción)
Redes sociales (si se vincula cuenta)
Centros de información crediticia (si aplica)
De Sistemas Automáticos:
Cookies y tecnologías similares: Información de navegación
Analytics (Google Analytics): Comportamiento en sitio web
Meta Pixel: Comportamiento en redes sociales
Logs de servidor: Acceso a sistemas
Información de ubicación: Si autoriza en dispositivo móvil
De Observación:
Video vigilancia en tiendas físicas (si aplica)
Grabación de llamadas telefónicas (con autorización)
6.3 Datos Sensibles
NOTA IMPORTANTE: Según Ley 1581, los datos sensibles requieren consentimiento expreso y reforzado.
La Empresa NO recopila deliberadamente datos sensibles EXCEPTO cuando usted voluntariamente nos los proporciona:
Datos de Salud: Si informa sobre alergias a ingredientes, intolerancias alimentarias, restricciones dietéticas (información necesaria para servir adecuadamente)
Datos de Menores de Edad: Si el titular del dato es menor de 18 años
Preferencias Religiosas/Culturales: Si especifica restricciones dietéticas por motivos religiosos o culturales
Si proporciona datos sensibles:
Usted otorga consentimiento expreso para su tratamiento
La Empresa solo los usa para el propósito especificado
Serán protegidos con medidas reforzadas de seguridad
7. FINALIDADES DEL TRATAMIENTO
La Empresa recopila y trata sus datos personales ÚNICAMENTE para las siguientes finalidades:
7.1 FINALIDADES PRIMARIAS (Obligatorias para cumplir contrato)
A. Ejecución de Transacciones Comerciales:
Procesar pedidos y compras
Calcular y cobrar facturas
Procesar pagos y reembolsos
Registrar garantía de productos
Gestionar devoluciones y cambios
Envío de confirmaciones de pedido
Cumplir obligaciones fiscales y contables
B. Envío de Productos:
Entregar productos a la dirección especificada
Comunicar con agencias de transporte
Dar seguimiento a envíos
Resolver problemas de entrega
Contactar en caso de no poder entregar
C. Atención al Cliente:
Responder consultas y preguntas
Resolver reclamaciones
Proporcionar servicio técnico
Mejorar la experiencia de compra
Manejar devoluciones y garantías
D. Cumplimiento Legal y Normativo:
Cumplir obligaciones tributarias (DIAN)
Cumplir regulaciones sanitarias (INVIMA)
Prevención de fraude y actividades ilícitas
Cumplir órdenes de autoridades judiciales
Auditorías internas y externas
Consentimiento: Necesario. Al hacer una compra, usted da consentimiento para estas finalidades.
7.2 FINALIDADES SECUNDARIAS (Consentimiento opcional)
E. Comunicaciones de Marketing:
Enviar promociones y ofertas especiales
Notificar sobre nuevos productos
Encuestas de satisfacción
Programas de lealtad
Información sobre cambios en servicios
F. Mejora de Servicios:
Analizar patrones de compra
Personalizar experiencia de usuario
Realizar estudios de mercado
Mejorar diseño y funcionalidad del sitio
Optimizar procesos operacionales
G. Publicidad y Retargeting:
Mostrar anuncios personalizados en redes sociales
Crear audiencias similares
Medir efectividad de campañas
Optimizar campañas publicitarias
H. Análisis Estadístico:
Crear perfiles de comportamiento (no identificables)
Análisis de tendencias
Reportes internos
Benchmarking de industria
Consentimiento: OPCIONAL. Usted puede autorizar o rechazar estas finalidades sin afectar la prestación de servicios. Si RECHAZA estas finalidades, la Empresa seguirá funcionando normalmente para compras.
8. BASE LEGAL DEL TRATAMIENTO
Conforme a Ley 1581 de 2012, el tratamiento de sus datos se sustenta en:
8.1 Finalidades Primarias:
| Finalidad | Base Legal |
|---|---|
| Ejecución de contrato de compra | Artículo 6(a) Ley 1581: "El consentimiento del titular" para cumplimiento de contrato |
| Obligaciones fiscales | Artículo 6(c) Ley 1581: "Por disposición legal" (obligaciones DIAN) |
| Obligaciones sanitarias | Artículo 6(c) Ley 1581: "Por disposición legal" (obligaciones INVIMA) |
| Prevención de fraude | Artículo 6(c) Ley 1581: "Por disposición legal" (prevención ilícitos) |
8.2 Finalidades Secundarias:
| Finalidad | Base Legal | Consentimiento |
|---|---|---|
| Marketing y promociones | Artículo 6(a): Consentimiento | OPCIONAL - Debe ser expreso |
| Mejora de servicios | Artículo 6(a): Consentimiento | OPCIONAL |
| Publicidad retargeting | Artículo 6(a): Consentimiento | OPCIONAL |
| Análisis estadístico | Artículo 6(a): Consentimiento | OPCIONAL |
Síntesis: Sus datos siempre se tratan sobre base legal válida. Las finalidades primarias no requieren consentimiento adicional (ya consiente al comprar). Las secundarias requieren consentimiento expreso que usted puede otorgar, rechazar o revocar en cualquier momento.
9. TRANSFERENCIA DE DATOS A TERCEROS
La Empresa transfiere (comunica) datos personales suyos a terceros cuando es necesario para ejecutar servicios. Todos los terceros están obligados contractualmente a cumplir Ley 1581.
9.1 Terceros Encargados (Dentro de Colombia)
Estos terceros procesan datos en nombre y por instrucción de la Empresa:
A. Procesamiento de Pagos:
Empresas: Wompi, Epayco, PayPal, Stripe, Pasarela [especificar]
Datos transferidos: Nombre, número tarjeta/cuenta (encriptado), monto, dirección
Finalidad: Procesar pagos de forma segura
Contrato de Encargo: Sí, firmado
B. Agencias de Envío:
Empresas: Servientrega, Dhl, Fedex, Coordinadora, Loggi [especificar]
Datos transferidos: Nombre completo, teléfono, dirección, contenido del paquete
Finalidad: Delivery de productos
Contrato de Encargo: Sí, firmado
C. Alojamiento Web y Servidores:
Empresas: AWS, DigitalOcean, Hostinger, [especificar]
Datos transferidos: TODOS (están en servidores)
Finalidad: Almacenamiento y funcionamiento del sitio
Contrato de Encargo: Sí, firmado
Ubicación servidores: [Especificar - Colombia, EE.UU., Europa]
D. Plataformas de Email Marketing:
Empresas: Mailchimp, ConvertKit, Brevo (anteriormente Sendinblue), Klaviyo
Datos transferidos: Nombre, correo, historial de apertura/clics
Finalidad: Envío de comunicaciones y newsletters
Contrato de Encargo: Sí, firmado
Ubicación servidores: Principalmente EE.UU.
E. Servicio al Cliente:
Empresas: Zendesk, Intercom, Freshdesk, [especificar]
Datos transferidos: Nombre, correo, teléfono, historial de consultas
Finalidad: Gestionar consultas y reclamaciones
Contrato de Encargo: Sí, firmado
F. Análisis y Reportería:
Empresas: Google Analytics, Looker Studio, Tableau, [especificar]
Datos transferidos: Datos agregados y anonimizados principalmente
Finalidad: Analizar tendencias y comportamiento (sin identificación)
Contrato de Encargo: Sí, parcialmente (algunos proveedores sin contrato específico)
G. Auditoría y Cumplimiento:
Empresas: Auditores externos, consultores legales, Cámara de Comercio
Datos transferidos: Solo datos agregados o específicos según requerimiento legal
Finalidad: Cumplimiento normativo y auditorías
9.2 Terceros Colaboradores (Dentro de Colombia)
Estos terceros reciben datos y actúan como responsables independientes (no en nombre de la Empresa):
A. Redes Sociales (Meta Platforms):
Plataformas: Facebook, Instagram, WhatsApp
Datos transferidos:
Para publicidad: Datos demográficos, intereses, comportamiento de compra (agregados)
Para mensajería: Nombre, teléfono, correo, contenido de conversaciones
Finalidad: Publicidad dirigida, comunicación directa
Meta es Corresponsable: Según resolución SIC 2022, Meta es corresponsable del tratamiento en territorio colombiano
Política Meta: www.facebook.com/privacy/policy (para EU/LA)
Ubicación servidores: Principalmente EE.UU.
AVISO CRÍTICO (Enero 2026): La nueva política de privacidad de Meta permite que IA analice conversaciones en WhatsApp y Messenger. Al usar estos canales, usted acepta que Meta puede analizar el contenido de sus mensajes.
B. Plataformas de Redes Sociales Integradas:
Empresas: Tiktok, Snapchat, Pinterest, LinkedIn (si utilizamos estos canales)
Datos: Información de interacción y comportamiento
Ubicación: Mayormente EE.UU. y China (TikTok)
C. Sistemas de Información Comercial:
Empresas: Datacrédito, Equifax, TransUnión (si solicita crédito)
Datos: Información de pago y comportamiento crediticio
Finalidad: Evaluación de riesgo crediticio
Contrato: No (terceros independientes regulados por SFC)
9.3 Transferencias Requeridas por Ley
La Empresa transferirá datos sin consentimiento adicional cuando sea requerido por:
Autoridades judiciales (juzgados, tribunales)
Autoridades administrativas (DIAN, INVIMA, SIC, Superintendencias)
Fiscalía o investigaciones policiales
Autoridades del sector financiero
Procedimiento: Se solicita información legal del requerimiento y se transfiere únicamente los datos solicitados.
10. TRANSFERENCIAS INTERNACIONALES
⚠️ CRÍTICO: INFORMACIÓN SOBRE TRANSFERENCIA DE DATOS FUERA DE COLOMBIA
Cuando usted interactúa con la Empresa, sus datos se transfieren a servidores ubicados fuera de Colombia. Es imperativo que usted entienda esto completamente.
10.1 Servidores Internacionales Utilizados
| Servicio | Empresa | Datos Transferidos | Ubicación | Descripción |
|---|---|---|---|---|
| Hospedaje Web | [Especificar: AWS/DigitalOcean/Hostinger] | TODOS | EE.UU. / Europa | Sitio web y aplicación funcionan aquí |
| Procesamiento Pago | Stripe, PayPal, Wompi | Tarjeta, nombre, monto | EE.UU. | Datos financieros sensibles |
| Email Marketing | Mailchimp, Brevo | Nombre, correo, aperturas | EE.UU. | Información de suscripción |
| Analytics | Google Analytics, Meta Pixel | Comportamiento de compra | EE.UU. (Google) | Análisis de navegación |
| WhatsApp Business | Meta Platforms Inc. | Nombre, teléfono, mensajes | EE.UU. | Comunicación directa |
| Facebook/Instagram | Meta Platforms Inc. | Datos demográficos, interés | EE.UU. | Publicidad y seguimiento |
| Almacenamiento Backup | [Especificar] | Copia de TODOS datos | EE.UU. / Europa | Seguridad y recuperación |
10.2 Fundamento Legal para Transferencias Internacionales
Artículo 26 Ley 1581 de 2012 establece:
"Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo que el titular dé su consentimiento explícito."
Excepciones:
Transferencia necesaria para ejecución de contrato (ej. pago procesado en EE.UU.)
Consentimiento expreso del titular
Transferencias entre empresas del mismo grupo
Marco de tratados internacionales
10.3 Consentimiento Explícito para Transferencias Internacionales
AL ACEPTAR ESTA POLÍTICA, USTED OTORGA CONSENTIMIENTO EXPRESO PARA:
✓ Transferencia de sus datos a servidores ubicados en Estados Unidos
✓ Almacenamiento de datos en servidores de Meta Platforms Inc. (cuando usa WhatsApp, Facebook, Instagram)
✓ Procesamiento de datos por Google (Analytics y publicidad)
✓ Almacenamiento en servidores de empresas de hospedaje ubicadas en EE.UU. o Europa
✓ Transferencia a plataformas de email marketing internacionales
✓ Transferencia a procesadores de pago internacionales
Riesgo: Los datos transferidos a otros países pueden estar sujetos a leyes diferentes, potencialmente con menor protección que Colombia.
10.4 Nivel de Protección en Países de Destino
Estados Unidos:
Ley aplicable: No existe ley integral de protección de datos (GDPR-equivalente)
Regulación sectorial: HIPAA (salud), FCRA (crédito), CCPA (California)
Acceso gubernamental: Posible bajo órdenes judiciales y programas de vigilancia
Protecciones: Basadas en contrato (Claúsulas Contractuales Tipo de UE, adoptadas por Colombia)
Meta Platforms Inc. (EE.UU.):
Política de Privacidad: www.facebook.com/privacy/policy
Análisis de IA: Desde 16 dic 2025, Meta analiza conversaciones para mejorar servicios
Compartición de Datos: Comparte datos con empresas de publicidad
Retención: Hasta que usted cierre la cuenta + 90 días adicionales
Google (EE.UU.):
Política de Privacidad: www.google.com/intl/es/policies/privacy/
Análisis: Crea perfiles de interés para publicidad
Retención: Máximo 38 meses
Uso: Publicidad comportamental
10.5 Cómo Evitar Transferencias Internacionales
Si usted NO desea que sus datos sean transferidos internacionalmente, puede:
Limitar uso de canales: No usar WhatsApp Business, no usar Facebook/Instagram
Solicitar exclusión: Correo a [responsable@empresa.com] indicando "NO TRANSFERENCIA INTERNACIONAL"
Pagar de forma diferente: Si es posible, pagar en efectivo o transferencia local (aunque esto puede no ser práctico)
Limitar información: Proporcionar solo datos esenciales
Limitación: Algunos servicios (como pagos) requieren obligatoriamente transferencia internacional. En esos casos, puede rechazar el servicio completo.
10.6 Cambios en Transferencias Internacionales
Si la Empresa cambia los proveedores o ubicación de servidores:
Será notificado con mínimo 10 días de anticipación
Tendrá derecho a rechazar la nueva transferencia
Puede solicitar devolución de datos
11. SEGURIDAD Y MEDIDAS DE PROTECCIÓN
11.1 Principios de Seguridad
La Empresa implementa medidas de seguridad técnicas, administrativas y físicas proporcionales al nivel de sensibilidad de los datos, conforme a Decreto 1377 de 2013.
11.2 Medidas Técnicas
Encriptación:
En Tránsito: SSL/TLS 256-bit para toda comunicación web
En Reposo: Encriptación de bases de datos sensibles (si aplica)
Almacenamiento: Datos sensibles (tarjetas, documentos) almacenados encriptados
Autenticación y Acceso:
Contraseñas con requisitos mínimos (12 caracteres, mayúsculas, números, símbolos)
Autenticación de dos factores (2FA) para personal administrativo
Control de acceso basado en roles (RBAC)
Logs de acceso auditables
Timeout automático después de 30 minutos de inactividad
Infraestructura:
Servidores en data centers con redundancia
Copias de seguridad (backups) diarias
Pruebas de recuperación ante desastres
Firewalls y sistemas de prevención de intrusiones (IPS)
Escaneo de vulnerabilidades mensual
Aplicaciones:
Actualizaciones de seguridad dentro de 48 horas
Testing de penetración anual
Revisión de código (static analysis)
WAF (Web Application Firewall)
11.3 Medidas Administrativas
Políticas Internas:
Política de Seguridad de Datos
Política de Acceso a Información
Política de Uso Aceptable
Política de Incidentes de Seguridad
Acuerdos de Confidencialidad
Capacitación:
Inducción en protección de datos para nuevo personal
Capacitación trimestral sobre Ley 1581
Entrenamiento en phishing y social engineering
Certificaciones de seguridad para personal técnico
Gestión de Acceso:
Registro de todas las personas con acceso a datos
Revisión trimestral de permisos
Revocación inmediata de acceso al terminar empleo
Segregación de funciones (quién crea, quién autoriza, quién supervisa)
Monitoreo:
Monitoreo 24/7 de sistemas
Alertas de actividad inusual
Auditoría mensual de accesos
Revisión de cambios en configuración
11.4 Medidas Físicas
Acceso controlado a servidores (biometría, tarjetas)
Cámaras de vigilancia en áreas con datos
Destructores de documentos seguros
Almacenamiento en bóveda o armarios seguros
Políticas de limpieza de escritorios (Clean Desk Policy)
11.5 Cumplimiento de Estándares
La Empresa está comprometida con cumplir o superar:
ISO 27001: Estándar internacional de seguridad de información (implementación en progreso)
NIST Cybersecurity Framework: Marco de ciberseguridad
OWASP Top 10: Prevención de vulnerabilidades web comunes
11.6 Limitaciones de Responsabilidad
La Empresa NO se responsabiliza por:
Fallos de seguridad causados por fuerza mayor
Acciones de hackers o ciberdelincuentes (a menos que por negligencia demostrada)
Compromisos de seguridad de terceros (procesadores de pago, redes sociales)
Incumplimiento de seguridad por parte de autoridades que requieren datos
Responsabilidad: Implementamos medidas de seguridad "razonables y proporcionales". No podemos garantizar 100% de seguridad.
11.7 Notificación de Incidentes
Si sus datos personales se ven comprometidos:
La Empresa investigará inmediatamente
Será notificado dentro de 10 días si el incidente afecta sus derechos
Se describirá la naturaleza del incidente
Se informarán medidas correctivas implementadas
Se ofrecerá asistencia (ej. monitoreo de crédito)
Reporte de incidentes: Puede reportar sospechas de compromiso a [responsable@empresa.com]
12. DERECHOS DEL TITULAR DE DATOS
Conforme a la Ley 1581 de 2012, usted (Titular) tiene los siguientes derechos:
12.1 DERECHO DE ACCESO (Art. 15)
¿Qué es? Derecho a conocer qué datos personales la Empresa tiene sobre usted.
¿Qué información recibirá?
Lista completa de datos personales almacenados
Fecha de recopilación
Finalidad de cada dato
Terceros con acceso
Ubicación física/digital de almacenamiento
¿Cómo solicitarlo?
Correo: [responsable@empresa.com]
Asunto: "SOLICITUD DE ACCESO A DATOS PERSONALES"
Incluir: Nombre completo, número de cédula, correo
¿Cuánto tarda?
Máximo 10 días hábiles
¿Costo?
Gratuito (primera solicitud)
Solicitudes posteriores pueden tener costo administrativo
Ejemplo: "Deseo conocer todos los datos que Cerezas tiene sobre mí incluyendo nombre, direcciones, transacciones, y análisis de comportamiento"
12.2 DERECHO DE RECTIFICACIÓN (Art. 15)
¿Qué es? Derecho a corregir datos inexactos o incompletos.
¿Qué puedo corregir?
Nombre mal escrito
Dirección incorrecta
Teléfono antiguo
Preferencias de contacto
Información de pago desactualizada
¿Cómo solicitarlo?
Correo: [responsable@empresa.com]
Asunto: "SOLICITUD DE RECTIFICACIÓN DE DATOS"
Especificar: Dato actual y dato correcto
Adjuntar evidencia (cédula, factura, etc.)
¿Cuánto tarda?
Máximo 10 días hábiles
Garantía: Después de rectificación, los datos correctos se propagarán a todos los sistemas
Ejemplo: "Mi nombre está registrado como 'Juan Carlos García López' pero debería ser 'Juan Carlos García Gómez'. Adjunto copia de cédula"
12.3 DERECHO DE CANCELACIÓN / SUPRESIÓN (Art. 16 - HABEAS DATA)
¿Qué es? Derecho a solicitar eliminación de sus datos cuando la Empresa ya no tiene razón legal para mantenerlos.
¿Cuándo procede?
Datos recopilados para finalidad específica ya cumplida
Usted revoca consentimiento y no hay otra base legal
Datos se procesaban ilícitamente
Obligación legal de conservación ya expiró
Fines especificados en Política han sido alcanzados
¿Cuándo NO procede?
Obligaciones fiscales no han expirado (7 años)
Procedimientos legales en curso
Datos necesarios para garantía
Transacción aún en proceso
¿Cómo solicitarlo?
Correo: [responsable@empresa.com]
Asunto: "SOLICITUD DE CANCELACIÓN/SUPRESIÓN DE DATOS"
Motivo específico de supresión
¿Cuánto tarda?
Máximo 10 días hábiles
Nota: No se puede cancelar datos si hay obligación legal de retención (ej. comprobante fiscal debe conservarse 5 años)
Ejemplo: "Solicito la supresión de mi número de teléfono porque he dejado de usar este número y no deseo más comunicaciones de marketing"
12.4 DERECHO DE OPOSICIÓN (Art. 15)
¿Qué es? Derecho a oponerme a que mis datos se utilicen para ciertos fines específicos.
¿Puedo oponerme a qué?
✓ Comunicaciones de marketing
✓ Publicidad retargeting
✓ Análisis de comportamiento
✓ Venta de datos a terceros
✓ Creación de perfiles
✗ NO puedo oponerme a datos para ejecución de transacción o cumplimiento legal
¿Cómo solicitarlo?
Correo: [responsable@empresa.com]
Asunto: "SOLICITUD DE OPOSICIÓN AL TRATAMIENTO DE DATOS"
Especificar: A qué finalidades me opongo
¿Cuánto tarda?
Máximo 10 días hábiles
Efecto: Después de aceptada, la Empresa dejará de usar sus datos para esas finalidades específicas
Ejemplo: "Me opongo al envío de correos de marketing y a que mis datos se utilicen para crear perfiles de comportamiento para publicidad. Sin embargo, acepto recibir confirmaciones de compra"
12.5 DERECHO A REVOCAR CONSENTIMIENTO (Art. 15)
¿Qué es? Derecho a retirar el consentimiento que di anteriormente para tratamiento de datos.
¿Cómo funciona?
Consentimiento puede revocarse en cualquier momento
No afecta legalidad de tratamiento anterior
Se aplica a partir del momento de revocación
¿Cómo revocar?
Correo: [responsable@empresa.com]
Asunto: "REVOCACIÓN DE CONSENTIMIENTO"
Especificar: Consentimiento que revoca (ej. "Revoco consentimiento para email marketing")
Ejemplo: "Revoco mi consentimiento para envío de newsletters y promociones. Deseo que mis datos no sean utilizados para estos fines a partir de hoy"
12.6 DERECHO A PORTABILIDAD DE DATOS (Inspirado en GDPR)
¿Qué es? Aunque no es obligatorio en Colombia, ofrecemos derecho a recibir una copia de sus datos en formato estructurado.
Datos Portables:
Historial de transacciones
Información de perfil
Preferencias guardadas
Datos demográficos
Formato: CSV, JSON, o Excel
Cómo solicitarlo:
Correo: [responsable@empresa.com]
Asunto: "SOLICITUD DE PORTABILIDAD DE DATOS"
Especificar formato deseado
12.7 DERECHO A NO SER OBJETO DE DECISIONES AUTOMATIZADAS
¿Qué es? Derecho a no estar sometido a decisiones basadas únicamente en tratamiento automatizado de datos que produzca efectos jurídicos.
Aplica a: Decisiones sobre crédito, elegibilidad, recomendaciones automáticas
Protección: Si tomamos decisión automatizada que afecte sus derechos:
Será notificado del proceso
Podrá solicitar revisión humana
Podrá presentar objeciones
Ejemplo: Si un algoritmo niega automáticamente una solicitud de crédito, usted tiene derecho a que un humano revise la decisión
13. PROCEDIMIENTO PARA EJERCER DERECHOS (ARCO)
13.1 Pasos para Ejercer Derechos ARCO
PASO 1: Identificar el Derecho
¿Acceso? ¿Rectificación? ¿Cancelación? ¿Oposición?
PASO 2: Preparar la Solicitud
Correo formal o carta escrita
Información identificatoria completa
Descripción clara del derecho a ejercer
Fundamento de la solicitud (si aplica)
PASO 3: Enviar a Responsable de Datos
Correo: [responsable@empresa.com]
Asunto: [TIPO DE SOLICITUD]
Incluir:
Nombre completo
Número de cédula
Correo de contacto
Teléfono
Descripción detallada
PASO 4: Confirmar Recepción
Empresa responderá dentro de 2 días confirmar recepción
Incluirá número de radicado
PASO 5: Investigación
Empresa investiga solicitud (máx 10 días hábiles)
Verifica identidad del titular
Localiza datos solicitados
Evalúa procedencia de solicitud
PASO 6: Respuesta
Empresa responde en máximo 10 días hábiles
Informa decisión (aprobada/rechazada)
Si es aprobada, adjunta información o realiza cambio
Si es rechazada, explica motivo legal
PASO 7: Recurso Administrativo
Si no está satisfecho con respuesta, puede:
Solicitar revisión a Responsable de Datos
Presentar queja ante SIC
Iniciar acción legal
13.2 Información Requerida en Solicitud
Para procesar su solicitud rápidamente, incluya:
| Campo | Información | Requerido |
|---|---|---|
| Nombre Completo | Como aparece en cédula | Sí |
| Número de Cédula | Cédula de Ciudadanía, Pasaporte, etc | Sí |
| Correo Electrónico | Para respuesta | Sí |
| Teléfono | De contacto | Sí |
| Dirección | Actual | No |
| Tipo de Solicitud | ACCESO / RECTIFICACIÓN / CANCELACIÓN / OPOSICIÓN | Sí |
| Descripción Detallada | Qué exactamente solicita | Sí |
| Justificación | Por qué solicita (si aplica) | Parcial |
| Datos/Campos Específicos | Cuáles datos desea acceder/modificar/cancelar | Sí |
| Formato de Respuesta | Papel, PDF, email, otro | No |
13.3 Plazo de Respuesta
| Tipo de Solicitud | Plazo Máximo | Nota |
|---|---|---|
| Solicitud Simple | 10 días hábiles | Sin investigación compleja |
| Solicitud Compleja | Hasta 30 días hábiles | Requiere investigación amplia |
| Apelación | 10 días hábiles | Revisión de rechazo |
| Respuesta a SIC | 5 días hábiles | Si SIC requiere información |
13.4 No Costo para Solicitudes
Primera solicitud anual: Gratuita
Solicitudes posteriores: Costo administrativo máximo $5,000 COP (solo si es excesiva)
14. PLAZO DE CONSERVACIÓN DE DATOS
14.1 Principio de Retención Mínima
La Empresa retiene sus datos personales solo por el tiempo necesario y legal para cada finalidad. Después, serán eliminados o anonimizados.
14.2 Períodos de Retención por Tipo de Dato
| Tipo de Dato | Finalidad | Plazo de Retención | Base Legal |
|---|---|---|---|
| Datos de Compra | Transacción comercial | 5 años | DIAN (código tributario) |
| Comprobante de Pago | Obligación fiscal | 7 años | DIAN |
| Datos Bancarios | Procesamiento pago | 30 días después transacción | No necesario retener |
| Historial de Transacciones | Garantía y reclamaciones | 3 años | Ley 1480 Art. 7 |
| Datos de Contacto | Marketing (si consintió) | Mientras autorización activa | Ley 1581 |
| Email de Marketing | Comunicaciones | Mientras no revoque | Ley 1581 |
| Cookies | Analytics | Máximo 24 meses | Ley 1581 |
| Logs de Servidor | Seguridad | Máximo 90 días | Medida razonable |
| Video vigilancia | Seguridad (si aplica) | Máximo 30 días | Seguridad |
| Grabaciones de Llamadas | Servicio al cliente | 30 días | Decreto 1377 |
| Conversaciones WhatsApp | Atención al cliente | Mientras sea necesario | Máximo 1 año |
| Datos Sensibles | [Propósito específico] | Solo mientras propósito | Ley 1581 Art. 6 |
14.3 Eliminación de Datos
Cuando vence el plazo de retención:
Anonimización: Si es posible, se anonimiza (imposible identificar)
Supresión: Datos se eliminan permanentemente
Métodos:
Eliminación segura de archivos (imposible recuperar)
Destructión física (para documentos impresos)
Sobre-escritura de datos (para servidores)
Registros: Se mantiene registro de eliminación para auditoría
14.4 Excepciones a Eliminación
La Empresa puede retener datos más allá del plazo si:
Existe requerimiento legal (SIC, DIAN, Fiscalía)
Existe proceso legal en curso
Solicitud de Acceso/Rectificación pendiente
Obligación contractual con tercero
15. COOKIES Y TECNOLOGÍAS SIMILARES
15.1 ¿Qué son Cookies?
Cookies son pequeños archivos que se almacenan en su navegador/dispositivo cuando visita un sitio web. Contienen información sobre su comportamiento de navegación.
15.2 Tipos de Cookies que Utilizamos
A. Cookies Técnicas (Esenciales):
Propósito: Funcionamiento del sitio
Ejemplo: Mantener sesión activa, recordar idioma
Duración: Sesión (se eliminan al cerrar navegador)
Consentimiento: NO requieren (necesarias para funcionamiento)
Rechazo: Si las rechaza, el sitio no funcionará correctamente
B. Cookies de Preferencia:
Propósito: Recordar preferencias (idioma, modo oscuro, etc)
Duración: 1 año
Consentimiento: Recomendado pero no obligatorio
C. Cookies de Análisis:
Propósito: Entender cómo usa el sitio
Herramienta: Google Analytics
Datos: Páginas visitadas, tiempo en sitio, tasa rebote
Duración: 24 meses
Consentimiento: SÍ, requerido
Opt-out: Puede rechazar sin afectar funcionalidad
D. Cookies de Publicidad/Retargeting:
Propósito: Mostrar anuncios personalizados
Herramienta: Meta Pixel, Google Ads, terceros
Datos: Productos visitados, comportamiento de compra
Duración: Hasta 24 meses
Consentimiento: SÍ, requerido
Opt-out: Puede rechazar, verá anuncios genéricos
15.3 Control de Cookies
En su navegador:
Chrome: Configuración → Privacidad y seguridad → Cookies
Firefox: Opciones → Privacidad → Cookies
Safari: Preferencias → Privacidad → Cookies
Edge: Configuración → Privacidad → Cookies
Puedo:
✓ Rechazar nuevas cookies
✓ Eliminar cookies existentes
✓ Usar modo privado/incógnito
Si rechazo:
El sitio funcionará pero algunos servicios pueden limitarse
Publicidad no será personalizada
Análisis será limitado
15.4 Consentimiento de Cookies
Primera visita al sitio: Verá un banner pidiendo consentimiento:
"Aceptar todo" - Acepta todas las cookies
"Rechazar no esenciales" - Solo técnicas
"Personalizar" - Elige qué aceptar
Su elección se recuerda por 12 meses
15.5 Otras Tecnologías Similares
La Empresa también utiliza:
Píxeles de Rastreo:
Meta Pixel: Rastrea conversiones en Facebook/Instagram
Google Ads Conversion: Rastrea conversiones de Google Ads
Terceros de publicidad
Web Beacons:
Pequeña imagen invisible en email
Detecta si email fue abierto
Local Storage y Session Storage:
Almacenan información en dispositivo
Similar a cookies pero información más grande
16. DATOS DE MENORES DE EDAD
16.1 Política Sobre Menores
La Empresa respeta especialmente la privacidad de menores de edad.
16.2 Edad Mínima para Usar Servicios
Compras online: Mínimo 18 años
Redes sociales: Según términos Meta (mínimo 13 años, pero requiere autorización parental)
Recopilación de datos: Solo con consentimiento de padre/tutor para menores < 18 años
16.3 Consentimiento Parental
Si usted es menor de edad:
Sus padres/tutores deben autorizar el tratamiento de sus datos
Haga que sus padres completen el formulario de autorización (ANEXO)
Envíe a [responsable@empresa.com]
Si es padre/tutor y su hijo menores ha proporcionado datos:
Contacte inmediatamente a [responsable@empresa.com]
Podemos eliminar datos si considera inapropiado
16.4 Protecciones Especiales para Menores
✓ NO recopilamos datos sensibles de menores innecesariamente
✓ NO vendemos datos de menores a terceros
✓ NO utilizamos datos de menores para publicidad comportamental (excepcionalmente)
✓ NO creamos perfiles de menores
✓ Retención de datos de menores: Menor plazo que adultos
16.5 Acceso a Servicios de Menores
Si accede a nuestros servicios siendo menor:
Asegúrese de tener autorización de padres
No proporcione información más de la necesaria
Lea esta Política con sus padres
Hable con padres sobre privacidad en línea
17. CAMBIOS A ESTA POLÍTICA
17.1 Actualizaciones de la Política
La Empresa puede actualizar esta Política en cualquier momento para:
Reflejar cambios tecnológicos
Cumplir nuevas disposiciones legales
Mejorar claridad
Responder a cambios en operaciones
17.2 Notificación de Cambios
Cambios Sustanciales: Será notificado por:
Email (a correo registrado)
Publicación en sitio web
Banner en interfaz (si aplica)
Plazo de notificación: Mínimo 10 días antes que cambios entren en vigencia
Cambios Menores: Solo se publica en sitio (sin notificación individual)
17.3 Aceptación de Cambios
Continuación de uso después de publicación = Aceptación tácita
Si no acepta cambios, debe dejar de usar servicios
Cambios aplican prospectivamente (a partir de vigencia)
No aplican retroactivamente a datos anteriores
17.4 Versión Anterior
Puede solicitar versiones anteriores de esta Política a:
Se enviarán en máximo 5 días hábiles
18. CONTACTO Y RECLAMACIONES
18.1 Contacto Directo con la Empresa
Para consultas sobre privacidad:
Correo: [responsable@empresa.com]
Teléfono: [número]
Dirección: [dirección completa]
Horario: Lunes a Viernes 8:00 AM - 6:00 PM (hora Colombia)
Para solicitudes ARCO (Acceso, Rectificación, Cancelación, Oposición):
Correo especializado: [arco@empresa.com]
Plazo de respuesta: Máximo 10 días hábiles
18.2 Procedimiento de Reclamación Interno
Si tiene queja sobre tratamiento de datos:
Paso 1: Contacte a [responsable@empresa.com]
Describa la reclamación detalladamente
Incluya evidencia (emails, pantallazos, etc)
Especifique qué desea como resolución
Paso 2: Empresa investiga (máx 10 días)
Revisa la reclamación
Recopila información interna
Comunica con terceros si aplica
Paso 3: Respuesta
Se notifica decisión por escrito
Si procede: Se toman medidas correctivas
Si no procede: Se explica motivo
Paso 4: Recurso de Apelación
Si no satisfecho, puede apelar
Máximo 10 días hábiles adicionales
18.3 Recurso ante la Superintendencia de Industria y Comercio (SIC)
Si no está satisfecho con la respuesta de la Empresa, puede presentar reclamación ante:
Superintendencia de Industria y Comercio (SIC)
Sitio Web: www.sic.gov.co
Portal de PQRSD: www.sic.gov.co/atencion-ciudadania
Teléfono: +57 1 5871111 (Bogotá)
Dirección: Calle 28 No. 13A-15, Bogotá D.C.
Qué incluir en reclamación:
Descripción de los hechos
Normativa que considera violada
Medidas tomadas (reclamación interna a empresa)
Documentos de apoyo
Petición específica
SIC responderá en: Máximo 30 días hábiles
18.4 Acción Legal
Conserva derecho a iniciar acción judicial ante:
Juzgados civiles
Acción de tutela (si derechos fundamentales violados)
Acción de grupo (si múltiples afectados)
18.5 Datos de Contacto Alternativos
Si email no funciona:
Llamar a [teléfono]
Presentar queja escrita en domicilio
Si necesita traductor:
Contacte previamente para solicitar acomodación
19. ANEXOS
ANEXO A: FORMULARIO DE AUTORIZACIÓN DE TRATAMIENTO DE DATOS
FORMULARIO DE CONSENTIMIENTO PARA TRATAMIENTO DE DATOS PERSONALES
Yo, _________________________ identificado(a) con cédula _________________
autorizo explícitamente a CEREZAS SUR Y OCCIDENTE SAS para:
Finalidades Primarias (Obligatorias para compra):
☑ Procesar mi compra y pago
☑ Enviar mis productos
☑ Brinda atención al cliente
☑ Cumplir obligaciones fiscales (DIAN, INVIMA)
Finalidades Secundarias (Opcional - Puedo rechazar):
☐ Enviarme promociones y ofertas de marketing
☐ Usar mis datos para análisis y mejora de servicios
☐ Mostrarme anuncios personalizados en redes sociales
☐ Crear perfiles de comportamiento para publicidad
Transferencias Internacionales (Obligatorio si usa servicios):
☑ Transfiero mis datos a servidores en Estados Unidos para procesamiento de pagos, hospedaje web, y servicios de email marketing
☑ Entiendo que Meta Platforms Inc., Google, y otros procesadores internacionales pueden acceder a mis datos
☑ He leído la Política de Privacidad y entiendo los riesgos
Para Menores de Edad:
Si es menor de 18 años, padre/tutor debe autorizar:
Yo __________________________ (padre/tutor) autorizo el tratamiento de datos de mi hijo/hija _________________ conforme a esta Política.
Firma: _________________________
Fecha: _________________________
Cédula: _________________________
Correo de contacto: _________________________
Teléfono: _________________________
ANEXO B: FORMULARIO DE REVOCACIÓN DE CONSENTIMIENTO
FORMULARIO DE REVOCACIÓN DE CONSENTIMIENTO
Yo _________________________ identificado(a) con cédula _________________
revoco mi consentimiento previo para:
☐ Envío de emails de marketing
☐ Envío de SMS
☐ Envío de mensajes por WhatsApp
☐ Uso de datos para análisis
☐ Publicidad retargeting
☐ Todos los servicios secundarios
Entiendo que:
La revocación es efectiva a partir de [fecha]
Seguiré recibiendo confirmaciones de compra y información esencial
Puedo revocar en cualquier momento
Firma: _________________________
Fecha: _________________________
ANEXO C: FORMULARIO SOLICITUD ARCO
SOLICITUD DE [ACCESO / RECTIFICACIÓN / CANCELACIÓN / OPOSICIÓN]
Yo _________________________ identificado(a) con cédula _________________
Solicito a CEREZAS SUR Y OCCIDENTE SAS que:
Tipo de Solicitud:
☐ ACCESO: Conocer mis datos personales
☐ RECTIFICACIÓN: Corregir datos inexactos
☐ CANCELACIÓN: Eliminar mis datos
☐ OPOSICIÓN: No usar datos para ciertos fines
Descripción Detallada:
Datos/Campos Específicos (si aplica):
Justificación:
Formato de Respuesta Deseado:
☐ Por email
☐ Documento impreso en domicilio
☐ Copia digital (USB, etc)
Correo de Contacto: _________________________
Teléfono: _________________________
Domicilio: _________________________
Firma: _________________________
Fecha: _________________________
ANEXO D: MATRIZ DE PROVEEDORES Y TRANSFERENCIAS
| Proveedor | Tipo Dato | Ubicación | Protección | Contrato |
|---|---|---|---|---|
| [Hospedaje] | TODOS | EE.UU./Europa | TLS/Encriptación | Sí |
| [Pago] | Financiero | EE.UU. | PCI DSS | Sí |
| [Email] | Contacto | EE.UU. | TLS | Sí |
| [Meta] | Demográfico | EE.UU. | Política Meta | No formal |
| [Analytics] | Comportamiento | EE.UU. | Google Policy | Sí |
ANEXO E: REGISTRO DE ACTUALIZACIONES
| Versión | Fecha | Cambios Realizados |
|---|---|---|
| 1.0 | 16-Ene-2026 | Versión inicial |
DECLARACIÓN FINAL
Esta Política de Privacidad fue redactada en cumplimiento de la Ley 1581 de 2012 y Decreto 1377 de 2013. Garantizamos que la Empresa implementará medidas razonables para proteger su privacidad según se describe en este documento.
Si tiene dudas, no dude en contactarnos.
CEREZAS SUR Y OCCIDENTE SAS
Enero 2026
Versión: 1.0
Próxima revisión: Julio 2026
Responsable: [Nombre del Responsable de Datos]
Aprobado por: [Gerencia]