Olímpica corporativo logoOlímpica corporativo

Política de tratamiento de datos personales
SUPERTIENDAS Y DROGUERÍAS OLÍMPICA S.A.

I. Quiénes somos

SUPERTIENDAS Y DROGUERÍAS OLÍMPICA S.A (en adelante “OLÍMPICA S.A” o el “Responsable”), identificada con Nit. 890.107.487, es una sociedad comercial colombiana, domiciliada en Barranquilla, quien actúa en calidad de Responsable del tratamiento de los datos personales del Titular.


II. Objeto y alcance de la Política de Tratamiento de Datos Personales

OLÍMPICA S.A comprometida con los valores de respeto, sujeción a la legalidad, reserva, confidencialidad, disponibilidad, integridad y manejo adecuado de la información y en especial con la convicción en la garantía de los derechos fundamentales, por medio de la presente política, pretende dar cumplimiento a la Ley 1266 de 2008 y a la Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013, y las demás aplicables dentro de las cuales se destaca la necesidad de adoptar unas políticas y procedimientos que garanticen el cumplimiento , atendiendo a las consultas y reclamos que surjan por parte del Titular de los datos personales.

La presente política, tiene como finalidad establecer los principios, parámetros y normas en materia de protección de datos que adoptará y acogerá OLÍMPICA S.A en calidad de Responsable del tratamiento de datos personales de conformidad con lo dispuesto en la normatividad colombiana vigente. Partiendo de lo indicado, la misma será de obligatorio conocimiento y cumplimiento tanto para OLÍMPICA S.A, como para sus colaboradores y empleados.

Este documento aplica para todas las áreas de la Compañía donde se realice tratamiento de datos personales y se hace extensivo a todos los terceros que suministren datos con ocasión al inicio de una relación comercial / contractual.


III. Marco legal 


IV. Definiciones

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.  
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. 
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.  
  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. 
  • Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.  
  • Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.  
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. 
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento. 
  • Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.  
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.  
  • Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.  
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable. 


V. Principios

Cualquier operación que realice OLÍMPICA S.A relacionada con los datos personales que pueda llegar a obtener en el marco de su actividad comercial, se sujetará a los principios que se presentan a continuación:

  • Principio de legalidad: El Tratamiento a que se refiere la ley es una actividad reglada que debe sujetarse a lo establecido en la Ley Estatutaria 1581 de 2012, sus decretos reglamentarios y en las demás disposiciones que la desarrollen;  
  • Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada de manera clara, suficiente y previa al Titular;  
  • Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;  
  • Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error; 
  • Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan; 
  • Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley;  
  • Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;  
  • Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.


VI. Finalidades del Tratamiento

OLÍMPICA S.A en calidad de Responsable del Tratamiento formaliza a través de la presente Política, el tratamiento de datos personales aplicable a las actividades con clientes, proveedores, colaboradores, candidatos y en general, toda persona natural Titular de los datos personales que aparezca registrada en nuestras bases de datos para el cumplimiento del objeto social de la empresa conforme a las siguientes finalidades. 

Los Datos Personales que son incluidos en las Bases de Datos de OLÍMPICA S.A provienen de la información recopilada por medios físicos o digitales en ejercicio de las actividades desarrolladas conforme a los vínculos comerciales, contractuales, laborales o de cualquier otra índole con sus clientes, proveedores, colaboradores y/o público en general.  OLÍMPICA S.A solo recolectará los datos que sean necesarios, pertinentes y proporcionales para los fines autorizados e informados al Titular y aquellos señalados en la presente política, siempre que el tratamiento obedezca a un fin legítimo y sea proporcional de acuerdo con la relación sostenida con el titular.



Finalidades del Tratamiento de Datos Personales de Candidatos y Colaboradores:

  1. Dar cumplimiento a los objetivos y funciones establecidas en la regulación laboral aplicable y las establecidas en las demás disposiciones legales vigentes y con las obligaciones contraídas por OLÍMPICA S.A con el Titular de la Información, en relación al pago de salarios y prestaciones sociales derivados del contrato de trabajo y/o su terminación según lo disponga la ley. 
  2. Para fines de contacto durante la ejecución de un contrato laboral o en el proceso de selección de personal. 
  3. Administrar y operar, directamente o por conducto de terceros, los procesos de selección y vinculación de personal, incluyendo la evaluación y calificación de los participantes y la verificación de referencias laborales y personales, y la realización de estudios de seguridad, estudios médicos y ocupacionales.  
  4. Para contacto con los empleados, contratistas y proveedores, con relación al desarrollo de sus actividades y para contactar a las personas que haya suministrado para casos de emergencia.  
  5. Realizar estudios y evaluaciones de desempeño y rendimiento bajo la ejecución del contrato laboral o durante los procesos de selección. 
  6. Para labores administrativas y procesos internos de la Compañía, incluyendo, pero sin limitarse a procesos contables, reportes financieros, pago de impuestos, cumplimiento de otras obligaciones tributarias, e interacciones con proveedores y contratistas.
  7. Llevar a cabo procesos de auditoría interna o externa propios de las actividades que la compañía desarrolla. 
  8. Administración de las actividades laborales y el personal en general, incluida la contratación, valoraciones, gestión del desempeño, ascensos y planificación de sucesión, recontratación, administración de salarios y administración y revisión de pagos, retribuciones y otras concesiones como opciones sobre acciones, concesión de acciones y bonificaciones, planes de atención médica, pensiones y ahorros, formación, permisos, gestión de bajas por enfermedad, traslados, entrega de otras prestaciones contractuales, envío de referencias de empleo, préstamos, análisis y planificación de necesidad de personal, encuestas a empleados, verificaciones de antecedentes, gestión de asuntos disciplinarios, quejas y rescisiones, revisión de decisiones laborales, organización de viajes de negocios, administración y devolución de gastos empresariales, planificación y supervisión de los requisitos de formación y actividades y habilidades de desarrollo profesional, promoción de grupos de empleados patrocinados por la empresa, elaboración de informes y de análisis de datos y tendencias sobre recursos humanos, y creación y mantenimiento de uno o más directorios internos de empleados. 
  9. Recopilar y tratar información sobre menores de edad en primer grado de consanguinidad (hijos) de quienes tengan un vínculo contractual con la compañía o de quienes hayan iniciado un proceso de selección contractual, con el objetivo y finalidad de planificar, organizar e invitar a los menores a eventos corporativos infantiles en épocas especiales (i.e. navidad, fin de año, aniversario de la Compañía, cumpleaños, entre otras), así como para incluirlos en listas de regalos en el marco de las fechas mencionadas y otorgar otros beneficios legales y extralegales. 
  10. Ofrecer programas de bienestar corporativo y planificar actividades empresariales, para el Titular y sus beneficiarios (hijos, cónyuge, compañero permanente), además de facilitar la implementación de programas de bienestar organizacional. 
  11. Diseñar programas de retención de empleados e iniciativas de diversidad, ofrecer oportunidades de formación e identificar patrones en el uso de sistemas tecnológicos para la información que se nos confía y para proteger a las personas y propiedades de la Compañía. 
  12. Proteger la salud y la seguridad de los empleados y otros con ocasión de las funciones desempañadas dentro de la compañía. 
  13. Administración y mejora de productos y servicios. 
  14. Asignación de activos y recursos de la empresa, planificación estratégica, administración de proyectos, continuidad del negocio, y otras herramientas de generación de informes, así como para administración de los sistemas de TI, comunicaciones, los equipos de oficina y otros activos corporativos. 
  15. Gestión de fusiones, adquisiciones, ventas, reorganizaciones o enajenaciones e integración con el comprador.
  16. Supervisión del cumplimiento de las políticas internas, incluidas las políticas y procedimientos de la Compañía con respecto a la vigilancia del teléfono, el correo electrónico, internet y otros recursos que pertenezcan a la compañía, y demás actividades de supervisión permitidas por la legislación colombiana. 
  17. Cumplir con los requisitos legales y de otro tipo aplicables a nuestros negocios, incluyendo cumplimiento de inspecciones públicas y otras exigencias del gobierno u otras entidades públicas, respuesta a procesos legales tales como citaciones, defensa de derechos y compensaciones legales, defensa de litigios y gestión de quejas o reclamaciones internas, realización de investigaciones que incluyan denuncias por parte de empleados sobre irregularidades, infracciones de políticas, fraude o asuntos sobre informes financieros, y cumplimiento de las políticas y procedimientos internos. 
  18. Con propósitos de seguridad, prevención, investigación y persecución del fraude, lavado de activos y financiación del terrorismo, revisando listas restrictivas, así como toda la información necesaria para dar cumplimiento en materia de SAGRILAFT y otros sistemas de administración de riesgo según corresponda. 
  19. Gestionar trámites y dar respuesta a consultas, peticiones, quejas y reclamos que sean realizadas por los titulares y a organismos de control y transmitir los datos personales a las demás autoridades en virtud de la ley aplicable. 
  20. Transmitir los datos personales dentro y fuera del país a terceros con los cuales la compañía haya suscrito algún tipo de contrato que requiera procesamiento de datos y sea necesario entregarla para el cumplimiento del objeto contractual.  
  21. Transferir la información recolectada a sus compañías vinculadas dentro y fuera del país cuando ello sea necesario para el desarrollo de sus operaciones. 
  22. Registrar la información de datos personales en los sistemas de información de la compañía, con la finalidad de analizar, evaluar y generar datos estadísticos, así como indicadores para la formulación de políticas, análisis de crecimiento organizacional y actividades de la compañía.  
  23. Publicar, soportar, realizar informes mediante el registro fotográfico, video grabaciones o audio de programas, eventos, capacitaciones y actividades realizadas por la compañía en cumplimiento de sus objetivos misionales y organizacionales. 
  24. Permitir que compañías vinculadas a la compañía, con las cuales ha celebrado contratos que incluyen disposiciones para garantizar la seguridad y el adecuado tratamiento de los datos personales tratados, contacten al Titular con el propósito de ofrecerle bienes o servicios de su interés.  
  25. Controlar el acceso a las oficinas e instalaciones de la compañía, incluyendo la implementación de zonas video-vigiladas u otros sistemas, otros sistemas que usen o puedan llegar usar biométricos para este fin.
  26. Gestionar el uso de herramientas tecnológicas que apoyen el monitoreo, productividad y bienestar laboral, incluyendo herramientas de inteligencia artificial cuando se utilicen con fines de análisis organizacional, siempre bajo criterios de ética, proporcionalidad y transparencia.


Finalidades del Tratamiento de Datos Personales de Clientes:

  1. Registrar la información de datos personales en los sistemas de información de la Compañía, con la finalidad de analizar, evaluar y generar datos estadísticos, indicadores comerciales, patrones de consumo y demás análisis que permitan optimizar la gestión empresarial y comercial. 
  2. Suministrar información de contacto a la fuerza comercial y/o red de distribución, telemercadeo, logística, investigación de mercados y cualquier tercero con el cual la Compañía tenga un vínculo contractual para el desarrollo y ejecución de dichas actividades. 
  3. Enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS, MMS, WhatsApp, etc.), información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o promociones, de carácter comercial o institucional, con el fin de impulsar, invitar, dirigir, ejecutar, informar y, en general, desarrollar campañas comerciales, actividades de mercadeo,  promociones o concursos de carácter comercial o publicitario, con arreglo a la ley.  
  4. Suministrar a las compañías vinculadas o terceros, en calidad de Encargados del Tratamiento, con los cuales la Compañía tenga relación contractual para que estos puedan contactarlo con el propósito de ofrecerle bienes o servicios de su interés y a quienes sea necesario transferir dicha información para el cumplimiento del objeto contractual.
  5. Otorgar garantías sobre los productos adquiridos, cuando sea procedente.  
  6. Realizar todos los trámites internos y dar cumplimiento a obligaciones contables, tributarias y demás exigencias legales. 
  7. Realizar seguimiento de ubicación a través de GPS mediante nuestra aplicación móvil, únicamente cuando el cliente haya otorgado su consentimiento expreso e informado, con el fin de mejorar la experiencia del usuario, personalizar servicios basados en la ubicación y optimizar rutas de entrega o atención. 
  8. Acceder a la dirección IP del Titular con fines de seguridad y para analizar el rendimiento de la aplicación móvil. 
  9. Enviar notificaciones push con el fin de mantener actualizados a nuestros clientes sobre promociones, eventos y actualizaciones relevantes. 
  10. Analizar y registrar los hábitos y el historial de compras, con el fin de personalizar recomendaciones, descuentos, ofertas y promociones que se adapten a las preferencias de los clientes, mejorando la experiencia de usuario. 
  11. Hacer uso de los derechos de imagen (fotografías o videos) recolectados en el marco de la actividad comercial, eventos o campañas publicitarias de la Compañía, siempre informando previamente al Titular y recabando la correspondiente autorización cuando sea exigida por la ley.. 
  12. Gestionar trámites y dar respuesta a consultas, peticiones, quejas y que sean realizadas por los Titulares de los datos personales o por organismos de control y transmitir los datos personales a las demás autoridades en virtud de la ley aplicable. 
  13. Controlar el acceso a instalaciones mediante sistemas de videovigilancia u otros mecanismos tecnológicos permitidos por la ley. 
  14. Compartir la información de los clientes, previo cumplimiento de los requisitos legales, con empresas del grupo empresarial para mejorar la oferta de valor, siempre que se cuente con la debida autorización del Titular o exista otra base legal aplicable.  
  15. Realizar análisis de satisfacción del cliente, encuestas de percepción y estudios de mercado que permitan mejorar la experiencia de usuario y la calidad del servicio, directamente o a través de terceros autorizados.


Finalidades del Tratamiento de Datos Personales de Proveedores: 

  1. Realizar todas las actividades necesarias para el cumplimiento de las diferentes etapas precontractuales, contractuales y poscontractuales derivadas de la relación con proveedores y contratistas. 
  2. Gestionar la información necesaria para dar cumplimiento a las obligaciones tributarias, contractuales, comerciales, corporativas, contables y registrales aplicables. 
  3. Compartir y recibir información estrictamente necesaria con centrales de información, centrales de riesgo y aseguradoras, cuando dicha información se derive de la relación contractual o de cualquier otra naturaleza con la Compañía, con el fin de prevenir y mitigar riesgos, fraudes y realizar análisis de cumplimiento. 
  4. Expedir las certificaciones que sean solicitadas por los Titulares de los datos personales o por terceros autorizados. 
  5. Gestionar el conocimiento de terceros con quienes la Compañía tiene relación y realiza transacciones; registrar a contratistas y proveedores en los sistemas de información; y procesar sus pagos, en cumplimiento de las obligaciones contables y fiscales, así como de la normatividad sobre prevención del lavado de activos y financiación del terrorismo (SARLAFT y SAGRILAFT). Esto incluye la revisión de listas restrictivas y demás información necesaria para el cumplimiento de los sistemas de administración de riesgo aplicables. 
  6. Transmitir o compartir la información con terceros en calidad de Encargados del Tratamiento, con quienes OLÍMPICA S.A tenga relaciones contractuales, incluyendo compañías del grupo empresarial, aliados estratégicos o entidades con vínculo comercial, para que estos puedan contactar al proveedor con el propósito de ofrecer bienes o servicios de su interés, o cuando dicha información sea necesaria para el cumplimiento del objeto contractual. 
  7. Recibir y gestionar ofertas comerciales relacionadas con productos o servicios de interés de la Compañía. 
  8. Dar respuesta a consultas, peticiones, quejas y reclamos que sean realizadas por los titulares y  transmitir los datos personales a las autoridades competentes, cuando así lo exija la ley o lo soliciten entidades de control en ejercicio de sus funciones. 
  9. Transferir la información recolectada a sus compañías vinculadas, dentro y fuera del país, cuando ello sea necesario para el desarrollo de sus operaciones y con sujeción a los requisitos legales aplicables.
  10. Evaluar el cumplimiento contractual, la calidad del servicio prestado y realizar encuestas de satisfacción, auditorías, investigaciones internas o revisiones de antecedentes necesarios en el marco de la relación contractual o precontractual. 
  11. Controlar el acceso a las oficinas e instalaciones de la compañía, incluyendo la implementación de zonas video-vigiladas u otros sistemas que usen o puedan llegar usar biométricos para este fin. 
  12. Gestionar procesos de selección, calificación y evaluación de proveedores, incluyendo visitas técnicas, análisis de cumplimiento, verificación de referencias y validación de requisitos legales y financieros. 

Las finalidades aquí contempladas también abarcan la posibilidad de transferir y/o transmitir los datos personales de los Titulares a las sociedades vinculadas directa o indirectamente con OLÍMPICA S.A, incluyendo pero sin limitarse a: Banco Serfinanza S.A., Sonovista Publicidad S.A., Portales Urbanos S.A., Organización Radial OLÍMPICA S.A, Junior F.C. S.A., Viajar Limitada Lalianxa, Alimentos Concentrados del Caribe S.A., Laboratorios Best S.A., Granos y Cereales de Colombia S.A., Empaques Transparentes S.A., Vigilancia del Caribe Ltda., Gestión y Operación de la Costa S.A.S., Sociedad de Inversiones de la Costa Pacífica S.A., Inversiones y Operaciones Comerciales del Sur, Panificadora del Litoral S.A., Portal de Armenia S.A., Plan B Investments S.A.S, Socinsa (Sociedad Colombiana de Inversiones Comerciales S.A.), Efiventas S.A.S., entre otras que hagan parte del grupo empresarial y demás compañías subordinadas, controlantes, afiliadas, matrices, subsidiarias o con las cuales se tengan vínculos de participación, alianzas, integración o fusión, existentes o futuras. 

La transferencia o transmisión de los datos personales se realizará de acuerdo con las disposiciones legales, garantizando en todo momento los derechos de los Titulares.


VII.Tratamiento de datos sensibles  

El Tratamiento de los datos personales de naturaleza sensible está prohibido por la ley, salvo que se cuente con autorización expresa, previa e informada del Titular, entre otras excepciones consagradas en el Artículo 6º de la Ley 1581 de 2012. En este caso, además de cumplir con los requisitos establecidos para la autorización, OLÍMPICA S.A, informará al Titular al momento de solicitar su autorización para el Tratamiento de este tipo de datos personales:

  • Que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento. 
  • Cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento. 
  • Que la recopilación de Datos Personales de naturaleza sensible es de carácter facultativo y no constituye condición para acceder a ninguno de nuestros productos o servicios.

Adicionalmente, OLÍMPICA S.A tratará los datos sensibles recolectados bajo estándares de seguridad y confidencialidad correspondientes a su naturaleza y en el caso de datos relativos a la salud de los trabajadores, su uso se dará dentro de los programas y políticas establecidos en materia de Seguridad y Salud en el Trabajo, y con el fin de controlar el cumplimiento de requisitos relacionados con el Sistema General de Seguridad Social. 

Para este fin, OLÍMPICA S.A ha implementado medidas administrativas, técnicas y jurídicas contenidas en sus Políticas y Procedimientos, de obligatorio cumplimiento para sus colaboradores y, en tanto sea aplicable, a sus proveedores, compañías vinculadas y aliados comerciales, en aras de buscar la protección, seguridad y confidencialidad de los datos personales a los que se tiene acceso.

OLÍMPICA S.A no tratará datos sensibles, a menos que: 

  • El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.  
  • El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.  
  • El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.  


IX. Derechos de los niños, niñas y adolescentes

En el Tratamiento de los datos personales que reposen en las Bases de Datos de OLÍMPICA S.A sobre niños, niñas y adolescentes, se asegurará el respeto a los derechos prevalentes de los menores, en todo caso, cualquier uso de los datos de los menores de edad que se encuentren registrados en las Bases de Datos de OLÍMPICA S.A o, que eventualmente se soliciten, deberá ser autorizado expresamente por el representante legal del niño, niña o adolescente, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad de entender el asunto. 

De igual manera, OLÍMPICA S.A facilitará a los representantes legales de los menores o tutores acreditados la posibilidad de que puedan ejercer los derechos de acceso, cancelación, rectificación y oposición de los datos de sus tutelados. 

En armonía con lo dispuesto en la Ley 1581 de 2012, el Tratamiento de datos personales de niños, niñas y adolescentes deberá guardar correlación con los derechos prevalentes de los mismos. Debido a esto, se prohíbe el Tratamiento de datos personales de niños, niñas y adolescentes salvo que los datos sean de naturaleza pública y su tratamiento responda a los siguientes parámetros:  

  • Se deberá respetar el interés superior de los niños, niñas y adolescentes. 
  • Se deberá respetar los derechos fundamentales de los niños, niñas y adolescentes. 
  • Se cuente con la autorización por parte del representante o tutor del menor, después de haber sido informado sobre la recolección y tratamiento que se les dará a los datos del menor. 

X. Deberes de OLÍMPICA S.A como Responsable del Tratamiento de Datos Personales

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. 
  • Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular. 
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.  
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.  
  • Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.  
  • Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.  
  • Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.  
  • Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.  
  • Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
  • Mantener un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
  • Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.  
  • Informar a solicitud del Titular sobre el uso dado a sus datos.  
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.  
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio y cualquier otra entidad administrativa competente


XI. Deberes de los Encargados del Tratamiento de Datos Personales

Los Encargados del Tratamiento de datos personales, tendrá los siguientes deberes frente a los Titulares de los datos personales y harán todo su esfuerzo razonable para que los mismos sean garantizados:  

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. 
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.  
  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.  
  • Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.  
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley.  
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.  
  • Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en todos y cada uno de los casos que regula la Ley. 
  • Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.  
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.  
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.  
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. 
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio y cualquier otra entidad administrativa competente.

En el evento en que concurran las calidades de responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.


XII. Deberes respecto de la Superintendencia de Industria y Comercio

  • Informar las eventuales violaciones a los códigos de seguridad y la existencia de riesgos en la administración de la información de los titulares.  
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 
  • Hacer el respectivo registro nacional de las bases de datos que maneje y los reportes periódicos requeridos bajo las normas vigentes.


XIII. Autorizaciones

El Tratamiento que OLÍMPICA S.A realice a los datos personales, tales como recolección, almacenamiento, uso, circulación o supresión, deberá ser autorizada de manera previa, informada y expresa por parte de sus Titulares. Así como, podrá también corresponder al cumplimiento de los deberes legales y contractuales que exigen la conservación de determinada información personal.

OLÍMPICA S.A, pondrá a disposición de los Titulares de los datos personales, la siguiente información, previamente a que los mismos expresen su consentimiento:

La recolección de datos personales deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular.

La autorización del Titular no es necesaria cuando se trate de:

  • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. 
  • Datos de naturaleza pública. 
  • Casos de urgencia médica o sanitaria. 
  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. 
  • Datos relacionados con el registro civil de la persona. 

En aquellos casos en que OLÍMPICA S.A realice el tratamiento de datos personales bajo condiciones especiales previstas en la normativa vigente (como datos sensibles o tratamientos sujetos a normativas específicas), lo manifestará expresamente al Titular y cumplirá con los requisitos establecidos en la ley correspondiente. 

Las autorizaciones para el tratamiento de datos personales deben ser claras y diferenciadas según el tipo de tratamiento, procurando reseñar por separado lo pertinente a cada normativa aplicable, de modo que el Titular no tenga dudas respecto a los derechos que le asisten bajo cada régimen legal. 

La autorización por parte del Titular deberá ser obtenida, como máximo, en el momento de la recolección de los datos personales. 

Tratándose de finalidades distintas a la relación legal o contractual con OLÍMPICA S.A —por ejemplo, el envío de información comercial o publicitaria—, el Titular podrá manifestar en cualquier momento su voluntad de no ser contactado para dichos fines. Para ello, se disponen los siguientes canales:

  • Correo electrónico: habeasdata@olimpica.com.co
  • Dirección física: HABEAS DATA SUPERTIENDAS Y DROGUERÍAS OLÍMPICA S.A., Calle 53 No. 46-192 Piso 3, Barranquilla – Atlántico

La autorización podrá constar en cualquier medio físico o electrónico que permita su posterior consulta, tales como formularios en línea, sitios web, buzones de sugerencias, mensajes de datos o mecanismos tecnológicos que garanticen el consentimiento expreso del Titular (como el uso de clic o doble clic).

OLÍMPICA S.A implementará y mantendrá mecanismos adecuados, físicos o digitales, directamente o mediante terceros autorizados, que permitan conservar prueba del consentimiento otorgado por los Titulares, conforme a lo exigido por la normativa de protección de datos personales.

XIV. Ejercicio de los derechos de los Titulares

  • Consultas: 

Los Titulares de los datos personales y sus causahabientes podrán consultar la información personal que de éstos repose en la base de datos de OLÍMPICA S.A. Para dar cumplimiento a cualquier requerimiento de información, OLÍMPICA S.A ha dispuesto de los siguientes canales en donde los titulares o sus causahabientes pueden hacer ejercicio del mencionado derecho de consulta:

  • Reclamos: 


El Titular o sus Causahabientes que considere que la información personal administrada por OLÍMPICA S.A debe ser sujeta de corrección, actualización o supresión, o si advierten un incumplimiento por parte de esta o de alguno de sus Encargados, podrán presentar un reclamo en los siguientes términos: 

El reclamo se formulará mediante solicitud dirigida a OLÍMPICA S.A. El reclamo, deberá incluir: 

  • La identificación del Titular y en caso su Apoderado. 
  • La descripción de los hechos.
  • La dirección en donde recibirá notificaciones. 

El reclamo deberá incluir los documentos que acrediten la calidad de Titular, Apoderado o Causahabiente:

Titular:

  • Copia de su documento de identificación. 

Apoderado y/o Causahabiente:

  • Poder otorgado por el Titular debidamente autenticado o con firma digital certificada.
  • Copia del documento de identificación de Titular. 
  • Copia del documento de identificación del Apoderado. 
  • Demás documentos que lo acrediten para realizar el reclamo.

Contenido de la solicitud:

  • La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos y la solicitud concreta. 

Términos para resolver los Reclamos: 

Reclamos con los requisitos completos:  El término máximo para responder el reclamo es de quince (15) días hábiles, si no es posible hacerlo en este término se informará al interesado los motivos de la demora y la fecha en que éste se atenderá, la cual no podrá exceder de ocho (8) días hábiles siguientes al vencimiento del primer término.  

Reclamos sin los requisitos: 

  • Si el reclamo resulta incompleto se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.  
  • Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.  
  • Una vez recibido el reclamo completo, se debe marcar la información personal con correspondiente la leyenda “reclamo en trámite” y el motivo del mismo, esto debe ocurrir en un término máximo de dos (2) días hábiles.  

Solicitudes irrespetuosas, oscuras o reiterativas:

  • Únicamente cuando no se comprenda la finalidad u objeto de la petición será devuelta al interesado para que la corrija o aclare dentro de los diez (10) días siguientes a la recepción de la misma, en caso de no corregirse o aclararse, esta se archivará. En ningún caso se devolverán peticiones que se consideren inadecuadas o irrespetuosas. 
  • Respecto de los reclamos ya resueltos, la Compañía podrá remitirse a las respuestas anteriores, salvo que se trate de derechos imprescriptibles o de peticiones que se hubieren negado por no acreditar los requisitos, siempre que en la nueva petición se subsane.

XV. Privacidad, Confidencialidad y Seguridad de los Datos Personales

OLÍMPICA S.A podrá transferir o transmitir datos personales a terceros con quienes tenga relación operativa o contractual, y que le provean de servicios necesarios para el cumplimiento de su objeto social, incluyendo aquellos relacionados con logística, sistemas de información, publicidad, talento humano, análisis de datos, seguridad, soporte jurídico y/o cumplimiento normativo. 

Las finalidades aquí contempladas también abarcan la posibilidad de transferir y/o transmitir los datos personales de los Titulares a las sociedades vinculadas directa o indirectamente con OLÍMPICA S.A, incluyendo pero sin limitarse a: Banco Serfinanza S.A., Sonovista Publicidad S.A., Portales Urbanos S.A., Organización Radial OLÍMPICA S.A, Junior F.C. S.A., Viajar Limitada Lalianxa, Alimentos Concentrados del Caribe S.A., Laboratorios Best S.A., Granos y Cereales de Colombia S.A., Empaques Transparentes S.A., Vigilancia del Caribe Ltda., Gestión y Operación de la Costa S.A.S., Sociedad de Inversiones de la Costa Pacífica S.A., Inversiones y Operaciones Comerciales del Sur, Panificadora del Litoral S.A., Portal de Armenia S.A., Plan B Investments S.A.S, Socinsa (Sociedad Colombiana de Inversiones Comerciales S.A.), Efiventas S.A.S., entre otras que hagan parte del grupo empresarial y demás compañías subordinadas, controlantes, afiliadas, matrices, subsidiarias o con las cuales se tengan vínculos de participación, alianzas, integración o fusión, existentes o futuras. 

En todo caso, OLÍMPICA S.A adoptará las medidas necesarias para que las personas naturales o jurídicas que tengan acceso a los datos personales cumplan con esta Política y con los principios, derechos y deberes previstos en la Ley 1581 de 2012 y demás normas aplicables. 

Cuando OLÍMPICA S.A transmita los datos a uno o varios Encargados ubicados dentro o fuera del territorio nacional, suscribirá contratos de transmisión de datos personales que contengan, al menos, lo siguiente: 

  • El alcance y finalidades del tratamiento. 
  • Las actividades específicas que el Encargado realizará por cuenta de OLÍMPICA S.A. 
  • Las obligaciones del Encargado frente al Titular y al Responsable del Tratamiento. 

En particular, el Encargado se comprometerá a: 

  • Tratar los datos personales conforme a los principios y finalidades autorizadas por el Titular y la legislación vigente. 
  •  Garantizar la seguridad y confidencialidad de la información. 
  • Abstenerse de usar los datos personales para finalidades no autorizadas. 

Cuando se trate de una transferencia internacional de datos, OLÍMPICA S.A dará cumplimiento a los requisitos establecidos en la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, o cualquier norma que la modifique o sustituya.


XVII.Término de vigencia de la conservación de los datos

Los datos serán conservados mientras exista la finalidad por la cual fueron recolectados o conocidos y por el término que establezcan las leyes y obligaciones contractuales que los requieren.

XVIII. Aviso de actualizaciones de la Política

Cualquier cambio sustancial en el contenido de la presente Política, relacionado con la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, serán comunicados a los Titulares a través de este mismo medio, y en caso de ser sustanciales se informarán de manera oportuna anteponiendo siempre los derechos de los Titulares, a través de este mismo medio.

XIX. Consideraciones finales

Esta Política de Tratamiento de datos personales empezó a ejecutarse el 12 de octubre de 2016 y fue actualizada por última vez el 22 de Septiembre de 2025. Cualquier versión anterior queda reemplazada por la presente. Esta política podrá ser modificada en cualquier momento, en cumplimiento de cambios normativos, directrices de la Superintendencia de Industria y Comercio o por necesidades internas en la gestión de los datos personales de la Compañía.

Cualquier cambio sustancial en la Política de Tratamiento de Datos Personales será comunicado a los titulares a través de los canales habituales de contacto que la compañía tenga disponibles, tales como sitio web, aplicativos, puntos de atención, o mediante los mecanismos que se definan para tal fin.

1. OBJETO
Esta política tiene por objeto definir los principios y lineamientos para la solicitud, tratamiento, protección y uso responsable de la información proporcionada por los clientes, garantizando en todo momento su calidad, integridad, disponibilidad, confidencialidad, transparencia y cumplimiento normativo.

2. ALCANCE
La Política de Gobierno de Datos de Clientes aplica a todas las áreas, colaboradores, contratistas, proveedores y terceros que, en el desarrollo de sus funciones o servicios, gestionen, recolecten, accedan, consulten, procesen o almacenen información de clientes en Olímpica.

2.1 Cargos/Roles relacionados:

3. DEFINICIONES

Gobierno de Datos: Conjunto de políticas, procesos, roles y tecnologías que aseguran la gestión adecuada de los datos en una organización, garantizando su calidad, seguridad, disponibilidad y cumplimiento normativo.
Calidad del Dato: Medida de la precisión, completitud, consistencia, actualidad y validez de los datos, que permite su uso confiable en la toma de decisiones.

Ciclo de Vida del Dato: Etapas por las que pasa un dato desde su recolección, almacenamiento, uso, circulación, actualización, hasta su eliminación o anonimización.
Anonimización: proceso de eliminar o modificar datos personales para que no puedan asociarse con un individuo específico, protegiendo así la privacidad.
Trazabilidad del Dato: Capacidad de rastrear el origen, uso, modificaciones y destino de un dato a lo largo de su ciclo de vida.
Dato: Es una representación simbólica (numérica, alfabética, algorítmica, espacial, etc.) de un atributo o variable cuantitativa o cualitativa. Los datos describen hechos empíricos, sucesos y entidades, son considerados activos transversales para el funcionamiento de diversos procesos y operaciones.
Dato Maestro: son aquellos datos estáticos o semi estables que incluye información crítica y centralizada que describe entidades clave del negocio (como clientes, productos o proveedores), utilizada de manera consistente en todos los sistemas y procesos.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Data Owner (Propietario del Dato): Rol responsable de definir las reglas de negocio, calidad y uso del dato, asegurando su correcta administración dentro de la organización.
Data Steward: Persona o equipo encargado de garantizar la calidad, integridad y trazabilidad del dato en los procesos operativos.
Segmentación de Clientes: Clasificación de los clientes según características como tipo de interacción (digital, institucional, atención al cliente), nivel de sensibilidad de los datos, y finalidad de uso.
Canales Oficiales de Captura de Datos: Medios autorizados por la
organización para la recolección de información de clientes, como formularios físicos, portal web, aplicación móvil, entre otros.
Consentimiento Informado: Autorización libre, previa, expresa y clara del titular de los datos para su tratamiento, conforme a lo establecido en la Ley 1581 de 2012.
Ley 1581 de 2012 (Habeas Data): Normativa colombiana que regula el tratamiento de datos personales, estableciendo derechos para los titulares y obligaciones para los responsables del tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

4. CONDICIONES GENERALES
o La presente política se articula con las disposiciones descritas en los siguientes documentos, que colectivamente operacionalizan el gobierno de datos e información:

Procedimiento de creación y modificación de clientes TP
o En el gobierno de datos se tiene en cuenta las fuentes, sistemas, canales y plataformas tecnológicas donde se almacene o trate información de clientes, incluyendo —pero sin limitarse a— los siguientes entornos:
Sistemas corporativos: ERP, CRM, POS, plataformas de fidelización, plataformas de personalización como Salesforce, aplicativos de atención al cliente y sistemas de facturación electrónica.
Canales digitales: portales web, aplicaciones móviles, canales de
autoservicio, kioscos, plataformas omnicanal y cualquier otro canal que surja.
Repositorios de datos y analítica: bases de datos relacionales, data lake, herramientas de inteligencia de negocios y almacenamiento en la nube.
Procesos de negocio: mercadeo, ventas, atención al cliente, facturación, programas de lealtad, operaciones logísticas y gestión farmacéutica. o La política se extiende a todo el ciclo de vida del dato, desde su recolección y registro hasta su almacenamiento, uso, transferencia, circulación, actualización,
retención y eliminación segura, asegurando que cada fase cumpla con los principios de legalidad, calidad, seguridad y consentimiento informado. o El cumplimiento de esta política es obligatorio y su observancia será supervisada por el Comité de Gobierno de Datos enfocados en Maestro de Clientes, en coordinación con las áreas de TI y Seguridad de la Información,
Mercadeo, Cartera, Omnicanal, Servicio al Cliente, Ventas Institucionales y Farmacia, según sus funciones y responsabilidades.

-Políticas de Seguridad de la Información, Privacidad y protección de datos personales.

-Política de Calidad de Datos.

-Procedimiento de Codificación de Clientes.

-Procedimiento de Clientes Institucionales.

-Procedimiento de creación y modificación de clientes TP.

En el gobierno de datos se tiene en cuenta las fuentes, sistemas, canales y plataformas tecnológicas donde se almacene o trate información de clientes, incluyendo —pero sin limitarse a— los siguientes entornos:

Sistemas corporativos: ERP, CRM, POS, plataformas de fidelización, plataformas de personalización como Salesforce, aplicativos de atención al cliente y sistemas de facturación electrónica.
Canales digitales: portales web, aplicaciones móviles, canales de autoservicio, kioscos, plataformas omnicanal y cualquier otro canal que surja.
Repositorios de datos y analítica: bases de datos relacionales, data lake, herramientas de inteligencia de negocios y almacenamiento en la nube.
Procesos de negocio: mercadeo, ventas, atención al cliente, facturación, programas de lealtad, operaciones logísticas y gestión farmacéutica.

La política se extiende a todo el ciclo de vida del dato, desde su recolección y registro hasta su almacenamiento, uso, transferencia, circulación, actualización, retención y eliminación segura, asegurando que cada fase cumpla con los principios de legalidad, calidad, seguridad y consentimiento informado.
o El cumplimiento de esta política es obligatorio y su observancia será supervisada por el Comité de Gobierno de Datos enfocados en Maestro de Clientes, en coordinación con las áreas de TI y Seguridad de la Información, Mercadeo, Cartera, Omnicanal, Servicio al Cliente, Ventas Institucionales y Farmacia, según sus funciones y responsabilidades.

5. CONTENIDO
5.1 Principios Generales para el Gobierno de Datos
o Los siguientes principios orientan la aplicación y el cumplimiento de la presente política, asegurando una gestión ética, transparente y conforme a la normativa vigente en el tratamiento de la información:

  • Calidad de los Datos: Los datos de los clientes deberán mantenerse precisos, completos, consistentes y actualizados, asegurando su adecuación a los fines legítimos y previamente definidos. Se promoverán controles y revisiones periódicas que garanticen la confiabilidad de la información en todos los sistemas y procesos de negocio.
  • Seguridad y Privacidad: Se implementarán controles técnicos, organizativos y administrativos que salvaguarden los datos frente a accesos no autorizados, pérdida, uso, alteración o divulgación indebida. La información será protegida bajo los principios de confidencialidad, integridad y disponibilidad, conforme a los lineamientos de la ISO 27001 y la ISO 27701.
  • Transparencia o confianza: Los clientes serán informados de manera clara, veraz y accesible sobre el tratamiento de sus datos personales, incluyendo las finalidades específicas, los derechos que les asisten (acceso, rectificación, supresión y oposición), y los canales oficiales de contacto para ejercerlos o presentar consultas.
  • Accesibilidad: los usuarios de los datos deben poder acceder a ellos de manera fácil y sencilla, para que los puedan utilizar en la toma de decisiones.
  • Estandarización e interoperabilidad: los datos que integran la
    infraestructura del Estado deben ser estándar, accesibles, interoperables, reusables y de fácil búsqueda.
  • Cumplimiento Normativo: Olímpica garantizará el cumplimiento integral de la normativa nacional en materia de protección de datos personales, en especial la Ley 1581 de 2012, el Decreto 1377 de 2013 y las buenas prácticas establecidas por la Superintendencia de Industria y Comercio (SIC).
  • Responsabilidad: Todas las áreas y colaboradores que gestionan o acceden a datos de clientes son corresponsables de su correcta administración, custodia y uso ético. La protección de los datos constituye un deber institucional compartido, supervisado por el Comité de Gobierno de Datos y respaldado por las áreas de TI, Seguridad de la Información y Mercadeo.

5.2 Roles y Responsabilidades o Con el fin de dar cumplimiento a lo establecido en la presente política y la normativa vigente de acuerdo con la gobernanza del dato, se establecen los siguientes roles y responsabilidades:

5.3 Segmentación de Datos de Clientes o La organización clasificará los datos de sus clientes basándose en tres dimensiones críticas: (1) Nivel de sensibilidad, (2) Tipología del dato (personal, transaccional, demográfica y comportamental) y (3) Finalidad autorizada del tratamiento. Este modelo de segmentación garantiza el cumplimiento estricto de la Ley 1581 de 2012, el Decreto 1377 de 2013 y los estándares internacionales de privacidad y gobernanza (ISO 27701, GDPR, DAMA-DMBOK). o Asimismo, los datos de clientes se gestionarán como activos estratégicos. La organización garantiza su protección, calidad, disponibilidad, integridad y uso ético durante todo el ciclo de vida del dato, desde su captura y procesamiento hasta su disposición final o eliminación segura.
5.3.1 Sensibilidad de los datos:
Toda la información de clientes debe ser categorizada según su nivel de sensibilidad, con el fin de establecer controles de acceso, almacenamiento y disposición final proporcionales al riesgo de su exposición o uso indebido.
Las categorías definidas son:

  • Dato Público: Información que, por su naturaleza, puede ser divulgada sin restricciones, ya que su conocimiento no vulnera la privacidad ni genera riesgos para el titular o la organización (ej. NIT, razón social).
  • Dato Interno: Información operativa y de gestión cuyo uso está restringido al personal de la compañía. Su divulgación no autorizada no genera un impacto legal directo, pero afecta la eficiencia organizacional.
  • Dato Confidencial: Información personal o transaccional protegida bajo la Ley 1581. Incluye datos que permiten identificar a una persona y registros de compra. Su exposición genera un impacto moderado o alto, tanto reputacional como legal.
  • Dato Sensible: Información de categoría especial que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación (ej. biometría, estado de salud, pertenencia a sindicatos u orientación sexual). Su tratamiento requiere condiciones de seguridad extremas y autorización expresa reforzada.

    5.3.2 Tipo de Información:
    Los datos se agrupan según su naturaleza para definir controles técnicos y niveles de acceso específicos:
  • Datos Maestros y de Identificación: Comprenden la Información de Identificación Personal y atributos demográficos. Serán gestionados bajo principios de minimización de datos y controles de acceso restringidos.
    – Identificadores Personales: Nombres, documentos de identidad, correos electrónicos, teléfonos y direcciones que permitan la individualización inequívoca del titular.
    – Datos Demográficos: Edad, género, ubicación geográfica, estrato socioeconómico y segmentación de cliente, utilizados exclusivamente para análisis estadísticos y caracterización de poblaciones.
  • Datos Transaccionales y Comportamentales: Estos registros deben estar vinculados a un Identificador Único de Cliente (Master Key) y se gestionarán bajo estrictos criterios de trazabilidad, auditabilidad y minimización.
    – Datos Transaccionales: Historial de compras, devoluciones, métodos de pago, acumulación/redención de beneficios (Puntos Olímpica) y registros de facturación electrónica.
    – Datos Comportamentales: Preferencias de consumo, canales de interacción preferidos, frecuencia de compra y hábitos digitales. Su uso se limita a modelos de analítica avanzada, motores de recomendación y estrategias de marketing personalizado. Ninguna nueva categoría o atributo de dato podrá ser recolectado o procesado sin la aprobación previa del Comité de Gobierno de Datos y su correspondiente actualización en el Catálogo Corporativo de Datos.

    5.3.3 Finalidad y uso autorizado
    El tratamiento de los datos personales debe restringirse a las finalidades explícitas, legítimas e informadas al titular en el momento de la captura del consentimiento. Las finalidades autorizadas incluyen, pero no se limitan a:
  • Ejecución de programas de fidelización, segmentación, personalización y marketing.
  • Análisis de patrones de consumo para la mejora de la experiencia del cliente (CX).
  • Cumplimiento de obligaciones legales (contables, tributarias y de facturación).
  • Gestión de servicio al cliente, peticiones, quejas y reclamos (PQR).
  • Gestión de procesos comerciales, crediticios y de cobranza.

    Restricciones de Uso:
  • Evaluación de Nuevos Usos: Cualquier expansión de las finalidades originales deberá ser evaluada bajo los principios de necesidad y proporcionalidad, requiriendo el aval del Data Owner (Dueño del Dato) y el Comité de Gobierno de Datos.
  • Prohibiciones: Se prohíbe taxativamente el tratamiento de datos para fines no informados, la creación de perfiles discriminatorios, la transferencia de datos a terceros sin sustento contractual/legal, o cualquier forma de comercialización de bases de datos no aprobada explícitamente.
    5.4 Tipologías de clientes:
    – Los tipos de clientes deberán mantenerse estandarizados y documentados para asegurar una adecuada segmentación, análisis y aplicación de políticas de gobierno de datos.
    – Se deberá mantener un inventario actualizado, documentando su descripción, riesgos y mecanismos de gobierno.

5.5 Ciclo de vida del dato
– Las áreas responsables deberán asegurar la gestión integral del ciclo de vida del dato conforme a las prácticas del dominio Data Lifecycle Management del DAMA-DMBOK.
Las etapas obligatorias incluyen:

1. Recolección

    • Solo podrá recolectarse información estrictamente necesaria para los fines autorizados y bajo consentimiento informado.
    • Los canales de captura deberán garantizar exactitud, trazabilidad y verificación de identidad cuando aplique.

    2. Almacenamiento

      • Los datos deberán almacenarse únicamente en repositorios autorizados, con cifrado en reposo y en tránsito, controles de acceso y retención definida.

      3. Uso y Actualización

        • Los datos deberán ser actualizados, mantenidos y utilizados bajo reglas de negocio aprobadas, dejando trazabilidad de cambios conforme lo gestione el Data Steward.

        4. Monitoreo y Calidad

          • La calidad de los datos deberá medirse mediante indicadores formales (completitud, unicidad, vigencia, consistencia).
          • Los incidentes de calidad deberán ser reportados y corregidos por el Data Steward y monitoreados por el Data Owner.

          5. Retención y Eliminación

            • Los datos deberán conservarse solo durante el tiempo definido por normatividad y procesos internos.
            • La eliminación de datos deberá realizarse mediante métodos seguros, verificables y auditables.

              5.6 Gestión de Calidad de Datos
              – Con el fin de garantizar la integridad, confiabilidad y uso legítimo de la información de los clientes, se adoptan los siguientes lineamientos que complementan la Política de Calidad del Datos vigente en la compañía y se enmarcan en las mejores prácticas internacionales (DAMA-DMBOK, ISO 8000, ISO 27001, ISO 27701):

              5.7 Validación y control de calidad de datos
              – Se implementarán mecanismos de validación periódica sobre las bases de datos de clientes con el propósito de identificar y corregir oportunamente duplicidades, errores de captura, inconsistencias y registros obsoletos.
              – Estas validaciones estarán bajo la responsabilidad del Data Steward de Clientes (Equipo de Datos Maestros), en coordinación con el Data Owner (Dirección Nacional de Mercadeo) y el Comité de Gobierno de Datos, quienes definirán la frecuencia, alcance y herramientas de control automatizado o semiautomatizado.

              5.8 Indicadores y métricas de calidad de datos
              – Se establecerán indicadores clave de calidad que permitan medir y monitorear de forma continua la salud del dato de cliente, entre los que se incluyen:
              Completitud: porcentaje de registros con todos los campos obligatorios diligenciados.
              Exactitud: nivel de concordancia del dato frente a la fuente original o autorizada.
              Consistencia: coherencia entre sistemas, atributos y reglas de negocio.
              Unicidad: ausencia de registros duplicados o identificadores redundantes.
              – Esta medición será basada de acuerdo con los indicadores relacionados en la ficha técnica de maestro de datos. Los resultados de estas métricas serán presentados de manera trimestral ante el Comité de Gobierno de Datos, para la toma de decisiones correctivas o preventivas.

              5.9 Retención, anonimización y eliminación de datos
              – Los datos personales, transaccionales y demás información asociada a los clientes deberán conservarse únicamente durante el periodo estrictamente necesario para cumplir la finalidad autorizada, de acuerdo con los principios de limitación de retención, minimización del dato y finalidad legítima establecidos en la normatividad vigente y en la Política de Tratamiento de Datos Personales.
              – Una vez cumplida la finalidad del tratamiento, la organización deberá proceder a la eliminación segura o anonimización irreversible de la información, abarcando tanto los datos almacenados en medios digitales como aquellos
              contenidos en soportes físicos.
              – La eliminación deberá garantizar la imposibilidad de reidentificación del titular, evitando cualquier riesgo de reconstrucción de la información.
              – Todo proceso de eliminación, anonimización o depuración de datos deberá ser documentado, registrado y susceptible de auditoría, bajo la responsabilidad conjunta del área de Tecnología, Seguridad de la Información y el Data Steward correspondiente, siguiendo las políticas de retención aprobadas por el Comité de Gobierno de Datos.

            5.10 Tiempos de Vida Útil de los Datos de Clientes

            Los plazos deben ser validados y avalados por el Comité de Gobierno de Datos, ajustándose a las políticas internas y normativas legales aplicables. o Los datos transaccionales y de compras de los clientes, no son datos que permitan la segmentación y clasificación del cliente. o La depuración de la base de datos deberá programarse al menos una vez al año, generando evidencias de auditoría, reportes de cumplimiento al Comité y el acta correspondiente, en caso de que llegue a haber una solicitud del ente de control.
            – Las áreas TI y Seguridad de la Información deben garantizar mecanismos de eliminación certificada, trazabilidad y respaldo seguro antes de la destrucción o anonimización.
            – Se recomienda mantener un registro maestro de retención para todos los tipos de datos, vinculado al Inventario de Activos de Información y al Catálogo de Datos Maestros.

            5.11 Canales de captura y actualización de datos
            – La recolección y actualización de los datos de clientes se centralizará en un Formulario establecido por la compañía, garantizando la integridad y unicidad de la información desde el origen. El acceso a dicho formulario estará disponible a través de los canales oficiales autorizados por la organización, los cuales funcionan como puntos de captura legítimos:
            Canales presenciales: Puntos de venta.
            Ecosistema digital propio: Portal corporativo (Olimpica.com) y aplicaciones móviles oficiales (App Olímpica, Kioscos, plataformas asociadas y cualquier otro canal digital que surja).
            – Canales de interacción y redireccionamiento: Redes sociales oficiales (Instagram, Facebook), servicios de mensajería (WhatsApp, mensajes de texto), correo electrónico* y código QR.
            – Para los casos, de los clientes de ventas institucionales, la captura de los datos para la creación de dicho se realiza vía correo electrónico y siguiendo los lineamientos establecidos en el procedimiento de creación de clientes.
            – Queda estrictamente prohibido recolectar o gestionar datos personales de clientes mediante canales no autorizados, no avalados por el área de Mercadeo,TI y Seguridad de la Información. Así mismo cada recolección de datos debe contar con la respectiva autorización de tratamiento de datos y aceptación de la política de privacidad o protección de datos.
            – Cualquier solicitud fuera de los canales oficiales deberá ser rechazada y reportada al Comité de Gobierno de Datos para su evaluación y mitigación de riesgo.

            5.12 Uso Ético y Consentimiento
            – El tratamiento de la información de los clientes deberá realizarse bajo los principios de legalidad, transparencia, finalidad, libertad, veracidad, acceso y circulación restringida, seguridad y confidencialidad, en cumplimiento de la Ley 1581 de 2012 y su normativa complementaria sobre protección de datos personales (Habeas Data).

            5.13 Consentimiento informado y propósito legítimo
            – Toda solicitud, recolección o tratamiento de datos personales debe estar respaldada por el consentimiento previo, expreso e informado del cliente, obtenido a través de los canales oficiales y en formatos autorizados por la organización.
            – La obtención de la autorización previa, expresa e informada del titular constituye un requisito esencial para el tratamiento de los datos personales, salvo en los casos exceptuados por la ley. Dicha autorización garantiza el ejercicio del derecho constitucional al habeas data, otorga legitimidad al tratamiento y
            respalda la trazabilidad y responsabilidad demostrada de la organización frente al uso adecuado de la información de sus clientes, debe especificar claramente la finalidad del uso de los datos, los mecanismos de actualización o revocatoria, y los derechos que asisten al titular en cuanto a acceso, rectificación, oposición o eliminación de su información.

            5.5.2. Uso ético y responsabilidad institucional
            – La información recolectada sólo podrá utilizarse para los fines específicos, legítimos y previamente informados al cliente, tales como fidelización, atención al cliente, facturación, cumplimiento normativo o análisis de comportamiento.
            – El uso de los datos deberá regirse por los principios de ética digital, proporcionalidad y minimización, garantizando que únicamente se recojan y procesen los datos estrictamente necesarios para cumplir el propósito definido.
            Está terminantemente prohibido:
            — Compartir, transferir o divulgar información de clientes a terceros no autorizados o fuera de los fines aprobados.
            — Utilizar los datos personales para fines distintos a los declarados, como campañas no consentidas o transferencias comerciales.
            — Procesar o almacenar información de clientes en canales o plataformas no aprobadas por el área de TI y Seguridad de la Información.
            – Cualquier excepción deberá contar con un soporte jurídico válido (por requerimiento legal, autoridad competente o auditoría) y ser registrada ante el Comité de Gobierno de Datos para trazabilidad y control.

            5.5.3. Principios de seguridad y resguardo
            – La información de los clientes deberá protegerse bajo los principios de confidencialidad, integridad y disponibilidad (CIA), aplicando controles técnicos y organizativos tales como:
            — Accesos basados en roles (RBAC) definidos por el Data Owner.
            — Cifrado en tránsito y en reposo.
            — Monitoreo de incidentes de seguridad y alertas de fuga de información.
            — Mecanismos de respaldo y restauración verificados periódicamente.
            — El uso ético de los datos implica que todos los colaboradores, contratistas y terceros que intervengan en su tratamiento asuman el deber de reserva y confidencialidad, manteniendo la información segura durante y después de su vínculo contractual.

            5.6. Control y Monitoreo
            – Se implementarán controles internos sistemáticos y permanentes para garantizar el cumplimiento integral de esta política y la correcta aplicación de los lineamientos de Gobierno de Datos.
            – Estos controles incluirán procesos de auditoría, revisión periódica y seguimiento continuo sobre la gestión, acceso y tratamiento de la información de clientes.
            – Asimismo, se establecerán mecanismos de trazabilidad y monitoreo automatizado que permitan registrar, analizar y auditar todos los accesos, modificaciones y movimientos de datos dentro de los sistemas corporativos.
            – Dichos mecanismos deberán asegurar la transparencia, rendición de cuentas y detección temprana de anomalías o incumplimientos, manteniendo evidencias verificables para auditorías internas y externas.