Tratamientos de datos

TABLA DE CONTENIDO

  1. OBJETIVO

  2. ALCANCE

  3. FUNDAMENTO LEGAL

  4. DEFINICIONES

  5. POLÍTICAS DE TRATAMIENTO DE DATOS

    • PRINCIPIOS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES

    • RESPONSABLE DEL TRATAMIENTO

    • TRATAMIENTO Y FINALIDAD DE LOS DATOS PERSONALES

    • DEBERES DEL RESPONSABLE DEL TRATAMIENTO

    • DEBERES DEL ENCARGADO DEL TRATAMIENTO 

    • DERECHOS DE LOS TITULARES.

  6. PROCESO PARA LA ATENCIÓN DE PETICIONES, CONSULTAS, RECLAMOS Y EJERCER DERECHOS ARCOS.

  • DEPENDENCIA.

  • CANAL

  • PROCEDIMIENTO PARA CONSULTAS Y RECLAMOS

  1. PROCEDIMIENTO DE IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD

  • OBJETIVO

  • ALCANCE

  • MEDIDAS DE SEGURIDAD 

  1. AUTORIZACIÓN DEL TITULAR

  • DIFERENCIAS

  • EXCEPCIONES A LA AUTORIZACIÓN

  1. OBJETIVO

JOSELEVENDE, en cumplimiento de la Ley 1581 de 2012 y sus decretos reglamentarios, adopta este Manual de Protección y Tratamiento de Datos Personales con el propósito de establecer políticas, procedimientos para el ejercicio de los derechos arcos y medidas de seguridad para la recolección, almacenamiento, uso, circulación y supresión de los datos personales de sus clientes, proveedores, empleados y otros terceros.

Este documento está dirigido a todos los colaboradores y empleados de la empresa y su objetivo es asegurar la protección de los derechos de los titulares de los datos personales y cumplir con los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

  1. ALCANCE

Este manual se aplica a todas las actividades de tratamiento de datos personales realizadas por JOSELEVENDE, incluyendo empleados, contratistas y terceros involucrados en el manejo de datos personales. Abarca todos los canales de contacto y gestión de datos de la empresa, tales como el sitio web, plataformas de mensajería como correo electrónico, WhatsApp, Telegram, servicios de atención al cliente y operaciones internas de la empresa.

2.1 Sujetos Obligados a Cumplir el Manual

  • Todo el personal de la empresa: Directivos, empleados, contratistas y colaboradores que accedan a información personal.

  • Aliados estratégicos y proveedores: Empresas externas que manejen datos en nombre de la empresa (por ejemplo, pasarelas de pago, empresas de logística, proveedores de marketing).

  • Clientes, usuarios y terceros: Personas cuyos datos personales sean recolectados, tratados o almacenados por la empresa.

2.2 El manual se aplica al tratamiento de los siguientes tipos de datos:

  • Datos personales generales: Nombre, cédula, dirección, correo electrónico, teléfono.

  • Datos financieros y transaccionales: Información de pagos, historial de compras, cuentas bancarias.

  • Datos laborales: Información de empleados y contratistas.

  • Datos sensibles: Información biométrica, fotografías, datos de salud, datos sobre creencias o afiliaciones.

  • Datos recolectados automáticamente: Direcciones IP, cookies, datos de navegación en la web.

2.3 El manual se aplica en todos los procesos y áreas de la empresa que involucren datos personales, incluyendo:

  • Departamento de atención al cliente: Tratamiento de datos de clientes actuales

  • Departamento de novedades: Atiende dato de novedades de despachos.

  • Departamento de Recursos Humanos: Tratamiento de datos de empleados y contratistas.

  • Departamento Comercial y de Ventas: Manejo de datos de clientes y prospectos.

  • Departamento de Marketing: Uso de datos para campañas publicitarias y personalización de contenido.

  • Departamento de Finanzas: Gestión de pagos, facturación y reportes contables.

  • Departamento de Tecnología y Seguridad de la Información: Protección de bases de datos, cifrado y gestión de accesos.

  • Departamento de quejas y reclamos: Uso de datos para soporte y gestión de reclamos.

2.4 Este manual regula el tratamiento de datos en cualquier medio o plataforma utilizada por la empresa, incluyendo:

  • Bases de datos físicas y digitales: Archivos en papel, hojas de cálculo, bases de datos en servidores.

  • Sistemas y plataformas internas: ERP, CRM, software de gestión empresarial.

  • Sitios web y plataformas en línea: Formularios de contacto, cookies y herramientas de seguimiento.

  • Canales de comunicación: WhatsApp, correos electrónicos, redes sociales, llamadas telefónicas.

  • Sistemas de videovigilancia y grabación de voz: Cámaras de seguridad y registros de llamadas con clientes.

  1.  FUNDAMENTO LEGAL

Este manual está elaborado de acuerdo con las disposiciones establecidas en:

  • Ley 1581 de 2012: Establece disposiciones generales para la protección de datos personales en Colombia.

  • Decreto 1377 de 2013: Reglamenta parcialmente la Ley 1581 y establece disposiciones adicionales para el tratamiento de datos personales.

  • Decreto 1081 de 2015: Incluye aspectos específicos para garantizar el manejo adecuado de los datos personales.

  • Decreto 255 de 2022: Refuerza las obligaciones y controles sobre el manejo y protección de datos personales.

  • Sentencia C-748 de 2011 de la Corte Constitucional: Declara la exequibilidad condicionada de la Ley 1581 de 2012, reafirmando el derecho a la intimidad y la protección de datos.

  1.  DEFINICIONES

  • Manual de Políticas de Tratamiento de Datos: Documento interno que establece los procedimientos y directrices que la empresa debe seguir para el manejo de datos personales, en cumplimiento con la normativa aplicable. Incluye roles, responsabilidades, medidas de seguridad, procedimientos de atención a solicitudes y mecanismos de protección de los datos.

  • Política de Datos: Declaración pública y accesible que informa a los titulares sobre cómo la empresa recolecta, usa, almacena y protege sus datos personales. Detalla los derechos de los titulares, las finalidades del tratamiento y los procedimientos para ejercer sus derechos.

  • Autorización para el Tratamiento de Datos Personales: Consentimiento expreso que el titular otorga a la empresa para recolectar y tratar sus datos personales. Es un requisito previo para el tratamiento de datos y debe incluir la finalidad específica del uso de la información y un enlace o acceso a la política de datos.

  • Derecho de Habeas Data: Derecho constitucional que tienen todas las personas a conocer, actualizar, y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política de Colombia, así como el derecho a la información consagrado en el artículo 20 de la misma

  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. (Ley 1581 de 2012).

  • Dato Personal: Información que puede identificar o hacer identificable a una persona natural, tal como su nombre, dirección, número de teléfono, correo electrónico, etc. (Ley 1581 de 2012, Art. 3).

  • Dato Sensible: Información que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, como datos sobre salud o convicciones religiosas (Ley 1581 de 2012, Art. 3).

  • Titular: Persona natural cuyos datos personales son objeto de tratamiento (Ley 1581 de 2012, Art. 3).

  • Tratamiento: Cualquier operación sobre datos personales, como recolección, almacenamiento, uso, circulación o supresión (Ley 1581 de 2012, Art. 3).

  • Responsable del Tratamiento: Persona o entidad que decide sobre la recolección y tratamiento de datos personales (Ley 1581 de 2012, Art. 3).

  • Encargado del Tratamiento: Persona o entidad que trata datos personales en nombre del responsable (Ley 1581 de 2012, Art. 3).

  1. POLÍTICAS DE TRATAMIENTO DE DATOS

Es un documento público que describe cómo una empresa o entidad recopila, usa, almacena, comparte y protege los datos personales de sus usuarios, clientes o empleados, en cumplimiento con la normativa vigente (en Colombia, la Ley 1581 de 2012 y sus decretos reglamentarios). Este documento asegura que los titulares de los datos conozcan sus derechos y entiendan el propósito y alcance del tratamiento de su información personal.

PRINCIPIOS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES

JOSELEVENDE garantiza que el tratamiento de datos personales se realice bajo los siguientes principios establecidos por la Ley 1581 de 2012, Artículo 4:


  • Legalidad: El tratamiento de los datos personales debe realizarse conforme a la ley. Ejemplo: Si JOSELEVENDE desea recopilar datos de sus clientes para enviar promociones, debe asegurarse de obtener el consentimiento explícito de cada usuario antes de hacerlo.

  • Finalidad: Los datos personales solo deben ser utilizados para los fines legítimos informados al titular. Ejemplo: Si un cliente proporciona su dirección para la entrega de un pedido, JOSELEVENDE no puede usar esa información para enviar publicidad sin autorización previa.

  • Libertad: El tratamiento de los datos solo puede realizarse con el consentimiento libre y expreso del titular. Ejemplo: Cuando un usuario se registra en la plataforma, debe marcar una casilla aceptando la política de tratamiento de datos antes de completar su registro.

  • Veracidad o Calidad: Se deben mantener los datos actualizados, completos y veraces. Ejemplo: Si un cliente actualiza su número de teléfono en la base de datos de JOSELEVENDE, la empresa debe asegurarse de modificarlo en todos sus registros y evitar el uso de información desactualizada.

  • Transparencia: El titular de los datos tiene derecho a conocer qué información se almacena y cómo se utiliza. Ejemplo: Si un usuario solicita un reporte sobre los datos que JOSELEVENDE tiene sobre él, la empresa debe proporcionarle la información de manera clara y detallada.

  • Acceso y Circulación Restringida: Solo las personas autorizadas pueden acceder a los datos personales. Ejemplo: Los datos de los clientes no pueden ser compartidos con terceros que no tengan una relación contractual con JOSELEVENDE, como lo serían aliados logísticos o proveedores de pago.

  • Seguridad: Se deben implementar medidas de seguridad adecuadas para proteger los datos contra accesos no autorizados o pérdidas. Ejemplo: JOSELEVENDE debe cifrar la información financiera de los clientes y limitar el acceso a estos datos solo a empleados autorizados.

  • Confidencialidad: La información personal debe mantenerse en reserva y no divulgarse sin autorización. Ejemplo: Un empleado que maneja datos personales de los clientes no puede compartir esta información con personas ajenas a la empresa o utilizarla para fines distintos a los autorizados.

5.1 Contenido que Debe Incluir la Política de Tratamiento de Datos.

  • Identificación del responsable del Tratamiento

    • Nombre o razón social de la empresa.

    • NIT, dirección, correo electrónico y número de contacto.

  • Finalidades del Tratamiento de Datos Personales

    • Descripción de los propósitos específicos para los cuales se recolectarán y usarán los datos (ej.: atención al cliente, marketing, análisis estadísticos, cumplimiento legal).

  • Derechos de los Titulares

    • Explicación clara de los derechos de los titulares (Acceso, Rectificación, Cancelación, Oposición, entre otros) y cómo pueden ejercerlos.

  • Procedimiento para Ejercer los Derechos ARCO

    • Descripción de los pasos y canales disponibles para que los titulares puedan acceder a, rectificar, cancelar u oponerse al tratamiento de sus datos.

  • Medidas de Seguridad

    • Resumen de las medidas técnicas, físicas y administrativas implementadas para proteger los datos personales contra accesos no autorizados, uso indebido o pérdida.

  • Transferencia y/o Transmisión de Datos

    • Explicación de si los datos pueden ser compartidos con terceros, tanto nacionales como internacionales, y las condiciones de seguridad que estos terceros deben cumplir.

  • Conservación de los Datos

    • Plazo durante el cual se almacenarán los datos y los criterios para su eliminación una vez cumplidas las finalidades de tratamiento.

  • Modificaciones a la Política de Tratamiento de Datos

    • Declaración de que la política puede modificarse y que cualquier cambio será informado a los titulares, especificando los medios de notificación (por ejemplo, la página web).

  • Fecha de Entrada en Vigencia

    • Fecha desde la cual la política es aplicable o desde la última actualización realizada.

5.2. POLITICA DE TRATAMIENTO DE DATOS DE CANDENA STORE 

RESPONSABLE DEL TRATAMIENTO.

  • JOSELEVENDE

  • Correo: soporte@joselevende.com 

  • Teléfono: 3218405991

  • Dirección: Carrera 80ª #33aa16 Medellín - Antioquia, Colombia 

 

5.3. TRATAMIENTO Y FINALIDAD DE LOS DATOS PERSONALES

JOSELEVENDE se compromete a recolectar, almacenar, utilizar y suprimir datos personales de acuerdo con las siguientes finalidades, respetando lo establecido en el la Ley 1581 de 2012:

TRATAMIENTO DE LOS DATOS PERSONALES

JOSELEVENDE recolecta datos que clientes, usuarios, contratistas trabajadores, o aliados estratégicos y logísticos que bajo su voluntad y con pleno consentimiento comparte con nosotros, con nuestros socio o aliados estratégicos y logísticos, incluyendo, pero sin limitar:

Datos de Usuarios y Clientes

Datos de identificación: 

  • Nombre

  • Cédula/NIT 

  • Dirección 

  • Teléfono 

  • Correo electrónico.

Datos de Facturación y Pagos

Información financiera: Cuentas bancarias, métodos de pago (tarjeta de crédito, PSE, transferencia bancaria).

Historial de transacciones: Facturas emitidas, pagos recibidos, cuentas por cobrar y por pagar.

Impuestos y retenciones: Datos fiscales requeridos por la DIAN u otras entidades.

Datos Comerciales y Operacionales

Información de ventas y clientes: Pedidos, cotizaciones, contratos, preferencias de compra.

Gestión de inventario: Productos almacenados, ubicaciones, niveles de stock, proveedores.

Órdenes de compra y logística: Detalles de envíos, transportistas, tiempos de entrega.

Gestión de proveedores: Contactos comerciales, historial de compras, acuerdos contractuales.

Datos Contables y Financieros

Registros contables: Libros mayores, balances financieros, reportes de ingresos y egresos.

Flujo de caja: Control de ingresos y egresos en tiempo real.

Presupuestos y proyecciones financieras: Datos de costos operativos, márgenes de ganancia.

Datos de Recursos Humanos

Información de empleados: Nombre, cargo, salario, tipo de contrato, información de seguridad social.

Registro de asistencia: Horarios de ingreso/salida, días laborados, vacaciones, incapacidades.

Evaluaciones de desempeño: KPIs, productividad, feedback de supervisores.

Nómina: Cálculo de salarios, deducciones, pagos de prestaciones sociales.

Datos de Marketing y CRM

Base de datos de clientes: Información recopilada de interacciones comerciales, consultas y compras.

Comportamiento del cliente: Análisis de compras recurrentes, historial de interacciones con la empresa.

Campañas de marketing: Datos sobre respuestas a correos electrónicos, anuncios, tasas de conversión.

Datos de Soporte y Servicio al Cliente

Registros de atención al cliente: Chats, correos electrónicos, llamadas telefónicas.

Historial de tickets: Consultas, reclamos, solicitudes de soporte y soluciones ofrecidas.

Datos recopilados automáticamente 

Cuando los usuarios visitan nuestros Sitios, nosotros y nuestros aliados externos podemos recopilar información de su navegador o dispositivo mediante cookies, balizas web y tecnologías similares. Esta información nos permite mejorar la navegación y ofrecer contenido personalizado. Además, podemos rastrear la actividad en línea a lo largo del tiempo y en diferentes sitios web y dispositivos para mejorar nuestros servicios y ofrecer publicidad adaptada a los intereses del usuario.

La información recopilada automáticamente puede incluir:

  • Dirección IP y ubicación aproximada.

  • Características del sistema operativo y configuración del dispositivo.

  • Tipo de navegador y preferencias de usuario.

  • Datos de navegación y comportamiento en la web.

  • Rutas de interacción con el sitio (páginas visitadas, enlaces clicados, tiempo de permanencia).

El tratamiento incluye la recolección, almacenamiento y uso de datos personales de usuarios, clientes, empleados y proveedores en cumplimiento de sus funciones comerciales y operativas.

Finalidades para el tratamiento de los datos personales

Los datos personales recolectados por JOSELEVENDE tienen las siguientes finalidades:

Realizar la gestión de ventas, facturación y entrega de productos

JOSELEVENDE necesita recolectar y procesar datos personales para completar las compras realizadas por los clientes. Esto incluye la información necesaria para generar facturas, procesar pagos y coordinar el despacho de los productos con las transportadoras.

  • Ejemplo: Cuando un cliente realiza una compra, se recopilan datos como nombre, dirección, correo electrónico y número de contacto para garantizar que el pedido sea entregado correctamente y se emita la factura correspondiente.

Facilitar la atención de consultas, quejas y reclamos

Para brindar un servicio de atención al cliente eficiente, JOSELEVENDE almacena la información de los clientes con el fin de gestionar sus consultas, reclamos o solicitudes de garantía. Esto permite ofrecer respuestas personalizadas y dar seguimiento a cada caso.

  • Ejemplo: Si un cliente recibe un producto defectuoso y presenta un reclamo, la empresa utilizará la información de la compra y el historial del usuario para procesar la solicitud y coordinar la devolución o el cambio.

Comunicar ofertas, promociones y novedades de productos y marketing en general

JOSELEVENDE utiliza los datos personales de sus clientes para enviar información sobre descuentos, nuevos lanzamientos y promociones exclusivas. Este tratamiento se realiza únicamente con el consentimiento previo del usuario.

  • Ejemplo: Un cliente que se suscribió al boletín de la tienda recibirá correos electrónicos con ofertas especiales o descuentos personalizados según su historial de compras.

Cumplir con las obligaciones contractuales y legales de la empresa

La recolección y tratamiento de datos personales también tienen como objetivo dar cumplimiento a las normativas legales y contractuales aplicables en Colombia. JOSELEVENDE debe garantizar que sus operaciones se ajusten a la legislación vigente y proporcionar información a las entidades reguladoras cuando sea requerido.

  1. DEBERES DEL RESPONSABLE DEL TRATAMIENTO

El responsable del tratamiento es la persona natural o jurídica (por ejemplo, una empresa como JOSELEVENDE) que decide sobre la recolección, almacenamiento y uso de los datos personales. Según la Ley 1581 de 2012, el responsable del tratamiento tiene los siguientes deberes:

  • Garantizar el Ejercicio de los Derechos del Titular

El responsable debe implementar procedimientos y canales para que los titulares puedan ejercer sus derechos.

Esto incluye establecer una política de tratamiento de datos, habilitar un correo electrónico o teléfono para consultas, y asegurar que estos canales funcionen adecuadamente.

  • Solicitar y Conservar la Autorización

Antes de recolectar datos personales, el responsable debe obtener el consentimiento del titular.

Esta autorización debe ser libre, previa, expresa e informada, y debe especificar las finalidades del tratamiento.

El responsable debe conservar prueba de esta autorización, ya sea en formato digital o físico, para demostrar el cumplimiento de la normativa.

  • Informar al Titular sobre el Uso de sus Datos

La empresa debe explicar de manera clara y detallada la finalidad del tratamiento de los datos al momento de obtener la autorización.

Además, si la finalidad del tratamiento cambia, el responsable debe informar al titular y obtener su autorización para el nuevo uso.

  • Proteger la Información del Titular

El responsable tiene la obligación de implementar medidas de seguridad técnicas, físicas y administrativas para proteger los datos personales contra accesos no autorizados, uso indebido o pérdida.

Debe realizar auditorías periódicas de seguridad y contar con políticas internas que regulen el acceso y manejo de la información.

  • Actualizar la Información y Evitar el Tratamiento de Datos Obsoletos

El responsable debe actualizar la información del titular cuando sea necesario y velar por que los datos sean exactos y completos.

Esto reduce el riesgo de errores en el tratamiento y asegura que la empresa cumpla con su obligación de mantener datos de calidad.

  • Rectificar y Suprimir los Datos Personales

Cuando el titular lo solicite, la empresa debe rectificar o eliminar los datos incorrectos, incompletos o innecesarios.

El responsable también debe eliminar la información de los titulares que ya no tengan relación con la empresa, a menos que exista una justificación legal para su conservación.

  • Cumplir con las Obligaciones de Confidencialidad

La empresa y su personal deben garantizar la confidencialidad de los datos personales, incluso después de finalizar la relación laboral o contractual con el titular.

La violación de esta confidencialidad es sancionable y afecta la confianza de los titulares.


DEBERES DEL ENCARGADO DEL TRATAMIENTO

 Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;

  • Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;

  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

6.1 DERECHOS DE LOS TITULARES

La ley colombiana otorga al titular una serie de derechos que le permiten tener control sobre el uso de sus datos personales. Estos son conocidos como Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), además de otros derechos importantes.

Derecho de Acceso

El titular tiene el derecho de conocer y obtener información sobre los datos personales que una entidad (responsable del tratamiento) tiene en su poder.

Puede solicitar información sobre el origen de sus datos personales, el uso que se les está dando, las finalidades del tratamiento, y quiénes son los terceros que podrían tener acceso a su información.

La empresa debe proporcionar acceso a esta información de manera clara, comprensible y sin costo alguno.

Derecho de Rectificación

El titular puede solicitar la corrección de sus datos cuando considere que están desactualizados, incompletos o inexactos.

Este derecho es importante para garantizar que la información que posee la empresa sobre el titular sea precisa, lo cual es esencial para evitar errores en la prestación de servicios.

Derecho de Cancelación o Supresión

También conocido como el derecho al olvido, este derecho permite al titular solicitar que sus datos personales sean eliminados de las bases de datos de la empresa cuando:

La finalidad para la cual fueron recolectados se ha cumplido.

El titular decide revocar su autorización.

El tratamiento ya no es necesario o autorizado por la normativa.

Este derecho tiene algunas excepciones, ya que la empresa puede conservar los datos si existe una obligación legal de mantenerlos.

Derecho de Oposición

El titular puede oponerse al tratamiento de sus datos personales cuando considere que, por algún motivo, este uso es inadecuado o podría afectar sus derechos fundamentales.

La empresa debe respetar esta solicitud y dejar de utilizar los datos para la finalidad a la que se opone el titular, a menos que existan razones legítimas que justifiquen el tratamiento.

Derecho a Ser Informado

El titular tiene derecho a ser informado sobre los cambios en las políticas de tratamiento de datos de la empresa y sobre cualquier situación que afecte la seguridad de sus datos.

Esto garantiza que el titular esté al tanto de cómo se utilizan y protegen sus datos, y de cualquier actualización relevante.

Derecho a Revocar la Autorización

En cualquier momento, el titular puede retirar el consentimiento que había dado previamente para el tratamiento de sus datos personales.

La empresa debe dejar de tratar los datos una vez que el titular ha revocado su autorización, salvo que exista una obligación legal que requiera la conservación de los datos.

6.2 PROCESO DE ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS Y EJERCICIO DE LOS DERECHOS ARCOS Y RELACIONADOS

Peticiones y consultasLos Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en la base de datos. El responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

La consulta se formulará por el medio habilitado por el responsable del Tratamiento o Encargado del Tratamiento.

ReclamosEl Titular o sus causahabientes que consideren que la información contenida en la base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante el responsable del Tratamiento o el Encargado del Tratamiento.

DEPENDENCIA RESPONSABLE

Área de Atención al Cliente: Encargada de recibir y gestionar las consultas y reclamos.

CANALES DE ATENCIÓN

  • Correo: soporte@joselevende.com

  • Teléfono: 3218405991

  • Dirección: Carrera 80ª #33aa16 Medellín - Antioquia, Colombia 

6.3 PROCEDIMIENTO PARA ANTENDER PETICIONES, CONSULTAS, RECLAMOS Y EJERCER LOS DERECHOS ARCO.

  • El titular deberá enviar una solicitud por correo electrónico a:

soporte@joselevende.com contactarse al Teléfono: 3218405991

  • En la solicitud, el titular deberá incluir su nombre, identificación, descripción clara del derecho que desea ejercer y cualquier documento adicional que respalde su solicitud.

  • Recepción y Verificación de la Solicitud

    • JOSELEVENDE verificará la identidad del solicitante y la validez de la solicitud.

    • Si la solicitud está incompleta, la empresa solicitará la información adicional necesaria dentro de los 5 días hábiles siguientes. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

  • Respuesta a la Solicitud

    • Consultas: La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

    • Reclamos: Responder en un máximo de 15 días hábiles. Si se requiere más tiempo, se notificará al titular con una ampliación de 8 días hábiles adicionales.

  • Acciones Derivadas de la Solicitud

    • Si la solicitud es para acceder o corregir datos, se proporcionará la información o se realizarán las modificaciones necesarias.

    • En caso de cancelación u oposición, se evaluará la pertinencia y se procederá conforme a la ley.

  1. PROCEDIMIENTO DE IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD


Objetivo

Establecer medidas de seguridad adecuadas para proteger los datos personales en JOSELEVENDE y prevenir el acceso no autorizado, pérdida o uso indebido de la información.


Alcance

Este procedimiento aplica a todos los sistemas de información, dispositivos y personal que maneje datos personales en la empresa.


MEDIDAS DE SEGURIDAD

Medidas Técnicas

  1. Cifrado de Datos: Toda la información sensible (como datos financieros y de identificación) debe estar cifrada tanto en almacenamiento como en transferencia.

    • Responsable: Departamento de TI

    • Frecuencia: Permanente

    • Revisión: Anual

  2. Contraseñas Seguras: Establecer políticas de contraseñas que incluyan longitud mínima, combinación de caracteres y actualización periódica cada 3 meses.

    • Responsable: Departamento de TI y usuarios

    • Frecuencia: Permanente

    • Revisión: Trimestral

  3. Antivirus y Antimalware: Instalar y mantener software de protección actualizado en todos los dispositivos.

    • Responsable: Departamento de TI

    • Frecuencia: Permanente

    • Revisión: Semanal

  4. Acceso Restringido: Implementar permisos de acceso a las bases de datos personales según el rol y función del empleado.

    • Responsable: Departamento de TI

    • Frecuencia: Permanente

    • Revisión: Anual

  5. Copia de Seguridad (Backups): Realizar copias de seguridad de la información cada semana, y almacenar los respaldos en un lugar seguro.

    • Responsable: Departamento de TI

    • Frecuencia: Semanal

    • Revisión: Mensual

Medidas Administrativas

  1. Política de Seguridad y Privacidad: Informar a todo el personal sobre la política de tratamiento de datos y las sanciones en caso de incumplimiento.

    • Responsable: Departamento de Recursos Humanos

    • Frecuencia: Anual

    • Revisión: Anual

  2. Confidencialidad: Exigir a todo el personal la firma de acuerdos de confidencialidad y actualización de permisos de acceso anualmente.

    • Responsable: Departamento de Recursos Humanos

    • Frecuencia: Permanente

    • Revisión: Anual

  3. Auditoría de Seguridad: Realizar auditorías de seguridad interna cada 6 meses para identificar y mitigar posibles riesgos.

    • Responsable: Auditor Interno

    • Frecuencia: Semestral

Medidas Físicas

  1. Control de Acceso Físico: Limitar el acceso a las áreas donde se almacenan dispositivos con datos sensibles mediante el uso de tarjetas de acceso o claves.

    • Responsable: Departamento de Seguridad

    • Frecuencia: Permanente

  2. Almacenamiento Seguro: Guardar documentos físicos que contengan datos personales en archivadores cerrados con llave.

    • Responsable: Departamento Administrativo

    • Frecuencia: Permanente

Oficial de Protección de Datos

En el marco de la protección de datos, el Oficial de Protección de Datos (también conocido como DPO, por sus siglas en inglés: Data Protection Officer) es la persona encargada de garantizar que una organización cumpla con la normativa de protección de datos. En Colombia, si bien la figura del DPO no es obligatoria para todas las empresas como en otras legislaciones, contar con un oficial o responsable de protección de datos personales es una buena práctica que facilita el cumplimiento de las obligaciones legales y garantiza la correcta gestión de los datos personales.

JOSELEVENDE cuenta con un Oficial de Protección de Datos, cuya función es garantizar el cumplimiento de la normativa de protección de datos en la empresa. El Oficial de Protección de Datos es responsable de:

  • Supervisar y coordinar el cumplimiento de las políticas y procedimientos de tratamiento de datos.

  • Ser el punto de contacto para titulares de datos que deseen ejercer sus derechos de acceso, rectificación, cancelación y oposición.

  • Capacitar al personal sobre buenas prácticas de protección de datos y atender consultas internas y externas sobre el tratamiento adecuado de la información.

  1.  AUTORIZACIÓN DEL TITULAR

Esta autorización es un documento en el que el titular de los datos personales (por ejemplo, un cliente) otorga su consentimiento explícito a una empresa o a un grupo de empresas, para que estas puedan recolectar, usar, almacenar, transferir y tratar sus datos de acuerdo con las finalidades especificadas.

Diferencias entre la Autorización y la Política de Tratamiento de Datos

  • Propósito:

    • Autorización de Tratamiento de Datos: Su principal objetivo es obtener el consentimiento informado del titular para el tratamiento de sus datos personales. En este documento, el titular permite que sus datos sean utilizados conforme a las finalidades descritas.

    • Política de Tratamiento de Datos: Su finalidad es establecer las reglas, principios, procedimientos y responsabilidades que la empresa sigue para proteger y manejar los datos personales en cumplimiento de la normativa aplicable (en este caso, la Ley 1581 de 2012 y los decretos relacionados en Colombia).

  • Enfoque en el Consentimiento:

    • La autorización es un documento explícito donde el titular acepta y permite el uso de sus datos personales. Sin esta autorización, en la mayoría de los casos, una empresa no podría realizar operaciones con esos datos.

    • La política de tratamiento de datos no es un documento de consentimiento; más bien, informa sobre cómo la empresa cumple con las normas y protege los datos personales. Es pública y está a disposición de todos los titulares.

  • Contenido y Detalle:

    • La autorización describe los tipos de datos recolectados y las finalidades específicas para las cuales cada empresa del grupo puede usarlos (por ejemplo, finalidades comerciales, de seguridad, de servicio, etc.).

    • La política de tratamiento de datos es más estructurada y general, abordando aspectos como los derechos de los titulares, los principios de tratamiento de datos, las categorías de datos, las responsabilidades del responsable del tratamiento, y los procedimientos para la atención de consultas o reclamos.

ACEPTACIÓN DE LA AUTORIZACIÓN DEL TRATAMIENTO DE SUS DATOS MEDIANTE CASILLA DE VERIFICACIÓN.

Es válido obtener la Autorización para el Tratamiento de Datos Personales mediante una casilla de verificación en el momento en que el cliente va a suministrar sus datos en un formulario web. Este método es válido siempre que la casilla incluya una descripción clara y visible que explique que, al marcarla, el cliente está aceptando la política de tratamiento de datos y autorizando el uso de su información de acuerdo con la normativa.

Ejemplos de Casillas de Verificación para Autorización de Tratamiento de Datos

A continuación, damos algunos ejemplos para implementar una casilla de verificación que cumpla con los requisitos de consentimiento informado en la normativa colombiana.

Ejemplo 1: Casilla de Verificación Simple con Enlace a la Política


Autorizo a JOSELEVENDE para que recolecte, use y trate mis datos personales de acuerdo con la Política de Tratamiento de Datos Personales. [Leer Política] (enlace a la política de datos)

En este ejemplo:

  • El texto es claro e indica que, al marcar la casilla, el usuario está autorizando el tratamiento de sus datos personales.

  • La frase "Leer Política" debe estar enlazada a un documento en línea o una sección del sitio web que contenga la política completa de tratamiento de datos.

  • La casilla debe estar desmarcada por defecto, para que el cliente marque manualmente y así otorgue su consentimiento de manera expresa.

Ejemplo 2: Casilla de Verificación con Finalidades Explicadas


Autorizo a JOSELEVENDE para recolectar, almacenar y utilizar mis datos personales para: 

- Gestionar mi pedido y brindar atención al cliente.

- Enviarme información sobre productos y promociones.

- Realizar análisis para mejorar el servicio.


Para más información, consulte nuestra [Política de Tratamiento de Datos](enlace a la política de datos).

Este ejemplo incluye una breve descripción de las finalidades específicas para las cuales se utilizarán los datos, lo cual ayuda a que el consentimiento sea más informado. Los enlaces deben dirigir a la política completa para que el cliente pueda leer los detalles adicionales.

Ejemplo 3: Casilla de Verificación para Aceptación General y Datos Sensibles

Autorizo a JOSELEVENDE para el tratamiento de mis datos personales conforme a la [Política de Tratamiento de Datos](enlace a la política de datos). Entiendo que mis datos podrán ser usados para enviar ofertas, analizar mi perfil de consumo, y prestar servicios de atención al cliente.


Autorizo el tratamiento de datos sensibles, incluyendo datos de identificación biométrica o información relacionada con salud, conforme a lo establecido en la política.

En este ejemplo:

  1. Se separa la autorización general de la autorización para el tratamiento de datos sensibles, lo cual es importante para cumplir con la normativa en casos donde estos tipos de datos son necesarios.

  2. Al incluir una segunda casilla para datos sensibles, se asegura que el usuario esté otorgando un consentimiento específico e informado sobre ese tipo de información.

Puntos Importantes para la Casilla de Verificación

  • Casilla sin marcar por defecto: Esto garantiza que el cliente haga una acción consciente al otorgar su autorización.

  • Enlace claro a la política de datos: El usuario debe poder acceder fácilmente a la política completa para leer los detalles del tratamiento.

Texto claro y breve: La descripción debe ser concisa, sin ambigüedades, y explicar de forma sencilla para qué se están recolectando los datos y que, al marcar la casilla, el usuario otorga su consentimiento informado

  1. PROCEDIMIENTO INTERNO PARA LA GESTIÓN Y ARCHIVO DE PQRs

  1. Objetivo:

Establecer un sistema interno de radicación, seguimiento y archivo de las Peticiones, Quejas y Reclamos (PQRs) presentadas por los consumidores, de forma que se garantice su trazabilidad, respuesta oportuna y disponibilidad inmediata en caso de requerimiento por parte de la Superintendencia de Industria y Comercio (SIC) u otra autoridad competente.

  • Alcance:
    Este procedimiento aplica a todas las áreas de atención al cliente, logística, operaciones y legales de la empresa, e involucra cualquier canal de recepción de PQRs: correo electrónico, WhatsApp, chatbot, redes sociales, formulario web, llamadas o comunicación presencial.

  1. Radicación y Registro:

  • Cada PQR recibida deberá ser radicada bajo un código único, con el siguiente formato:

  • PQR-[TIPO]-[AÑO][MES][DÍA]-[CONSECUTIVO]

  • Ejemplo: PQR-R-20250605-001 (reclamo recibido el 5 de junio de 2025, consecutivo 001 del día)

  1. Información Mínima a Registrar en el Archivo de PQRs:

  • Nombre del consumidor o solicitante.

  • Canal por el cual fue recibida la PQR.

  • Fecha y hora de recepción.

  • Tipo de PQR (Petición / Queja / Reclamo).

  • Transcripción o resumen del contenido de la PQR.

  • Productos o servicios involucrados.

  • Área responsable de la respuesta.

  • Fecha de respuesta.

  • Transcripción o copia de la respuesta enviada.

  • Medio de respuesta (correo, WhatsApp, formulario, etc.).

  • Evidencias de solución cuando aplique (reembolsos, guías, comprobantes).

  1. Plazo de Respuesta:

La empresa deberá dar respuesta a las PQRs dentro de los quince (15) días hábiles siguientes a su radicación, conforme lo establece la Ley 1480 de 2011 y demás normas aplicables.

  1. Archivo y Conservación:

  • Toda la información relacionada con cada PQR será almacenada en un repositorio digital seguro, preferiblemente en una carpeta organizada por mes, bajo el nombre del radicado.

  • Las respuestas, soportes, facturas y evidencias deberán ser guardadas en formato PDF.

  • Este archivo debe conservarse por un período mínimo de dos (2) años y debe estar disponible

  • para ser entregado en un término no mayor a tres (3) días hábiles, en caso de requerimiento por parte de la SIC.

  1. Reportes y Seguimiento:

  • Se debe generar un informe mensual de las PQRs recibidas, respondidas, pendientes y cerradas.

  • En dicho informe se deben identificar patrones de quejas repetitivas o problemáticas sistemáticas para adoptar mejoras preventivas.

  1. Responsables:

El área de Servicio al Cliente es responsable de la recepción y radicación de la PQR.

El área Jurídica o de Cumplimiento será responsable de la validación del contenido de las respuestas y del resguardo del archivo digital.

La Dirección General será responsable de garantizar que este procedimiento se implemente y mantenga actualizado.


10. PROCEDIMIENTO INTERNO PARA LA GESTIÓN DE GARANTÍAS, DERECHO DE RETRACTO Y REVERSIÓN DE PAGO

OBJETIVO:

Establecer un protocolo sistemático para tramitar, responder, registrar y archivar las solicitudes de derecho de retracto, garantías de productos y reversión de pago, de modo que se cumpla con los requisitos legales y se asegure la trazabilidad, transparencia y soporte de cada solicitud.

  1. Alcance:

Aplica a todas las solicitudes realizadas por los consumidores en relación con:

Retracto de la compra.

Solicitudes de garantía por productos defectuosos.

Reversiones de pago por compras no autorizadas, fraudulentas o incumplidas.

  1. Canales de Recepción:

Las solicitudes deberán recibirse únicamente por los canales oficiales establecidos:

Correo electrónico de servicio al cliente.

WhatsApp corporativo.

Chatbot o formulario en la página web.

Línea telefónica (con acta escrita del agente si aplica).


  1. Radicación y Codificación:

Cada solicitud debe ser registrada y asignársele un código único bajo el siguiente formato:

  • Tipo-[AÑO][MES][DÍA]-[CONSECUTIVO]

  • Ejemplos:

  • RT-20250605-001 (Retracto)

  • GR-20250605-001 (Garantía)

  • RP-20250605-001 (Reversión de Pago)


  1. Información Mínima a Recolectar:

Para cada solicitud, se debe archivar lo siguiente:

  • Nombre completo del cliente.

  • Documento de identidad y datos de contacto.

  • Número de pedido o factura asociada.

  • Fecha de la compra y fecha de recepción del producto.

  • Producto adquirido (con referencia o descripción).

  • Canal por el que se recibió la solicitud.

  • Tipo de solicitud (retracto, garantía, reversión).

  • Transcripción o captura del mensaje del cliente.

  • Soporte del pago (comprobante de la pasarela, consignación o factura).

  • Evidencia de la respuesta enviada (correo, chat o WhatsApp).

  • Evidencia del reembolso (pantallazo de consignación o reversión bancaria).

  • Fecha de respuesta.

  • Responsable del área.


  1. Tiempos de Respuesta Legales:

  • Derecho de retracto: 5 días hábiles desde la entrega del producto para solicitarlo; la devolución del dinero debe realizarse dentro de los 30 días calendario.

  • Garantías: 15 días hábiles para dar respuesta a la solicitud. El tiempo de garantía varía según el tipo de producto.

  • Reversión de pago: 5 días hábiles para tramitar la solicitud ante la entidad financiera desde su recepción.


  1. Pasos del Proceso:

Derecho de Retracto:

  • Verificar que el producto no esté dentro de las excepciones legales (como productos personalizados o perecederos).

  • Confirmar que se haya solicitado dentro del término legal.

  • Verificar condiciones del producto (sin uso, en empaque original).

  • Generar acta o formulario interno de aprobación.

  • Procesar reembolso total al medio original de pago.

  • Emitir comprobante del reembolso y guardarlo en la carpeta digital del cliente.

Garantía:

  • Solicitar evidencia del defecto (fotos, videos, descripción).

  • Verificar si el producto está dentro del período de garantía.

  • Determinar si aplica reparación, cambio o devolución.

  • Emitir respuesta formal y realizar la acción correctiva.

  • Archivar soportes (incluyendo costos logísticos asumidos).

Reversión de Pago:

  • Verificar que la solicitud cumpla con los criterios legales: fraude, no entrega, producto defectuoso o sin autorización del titular.

  • Informar a la pasarela de pagos y seguir su protocolo de reversión.

  • Emitir respuesta formal al cliente.

  • Archivar la constancia de reversión.


  1. Archivo y Conservación:

  • Todos los documentos, comprobantes y comunicaciones deben conservarse en formato PDF en un repositorio digital estructurado por fecha y tipo de solicitud.

  • La carpeta de cada solicitud debe tener el nombre del código asignado y debe conservarse por al menos dos (2) años.

  • Cada mes debe generarse un informe de seguimiento para revisión de cumplimiento normativo y mejoramiento de procesos.


  1. Responsables:

  • Servicio al Cliente: recepción y registro de la solicitud.

  • Logística o Calidad: verificación del estado del producto y coordinación de devoluciones.

  • Contabilidad/Tesorería: emisión de los reembolsos.

Jurídica o Cumplimiento: revisión del procedimiento, archivo y trazabilidad.