POLÍTICA DE TRATAMIENTO DE INFORMACIÓN Y DATOS PERSONALES

INVERSIONES SEDY S.A.S

Versión 3.1 – Vigente a partir del 21 de abril de 2026

El presente documento contiene las políticas de Tratamiento de la Información y de Datos Personales adoptadas por INVERSIONES SEDY S.A.S, sociedad identificada comercialmente en una de sus líneas de negocio como OKAPOLLO, en cumplimiento de la Constitución Política de Colombia (artículo 15), la Ley Estatutaria 1581 de 2012, el Decreto 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio, Industria y Turismo), el Decreto 090 de 2018, la Circular Externa 002 de 2022 de la Superintendencia de Industria y Comercio (SIC) — Guía para la Implementación del Principio de Responsabilidad Demostrada —, la Ley 2300 de 2023 y demás normas concordantes y lineamientos expedidos por la SIC como Autoridad Nacional de Protección de Datos Personales.

INVERSIONES SEDY S.A.S, en su calidad de Responsable del Tratamiento, define mediante esta política los principios, finalidades, derechos, procedimientos, canales y medidas aplicables al Tratamiento de los datos personales bajo su control, y adopta de manera expresa el principio de Responsabilidad Demostrada como eje rector de su gestión, garantizando el ejercicio del derecho fundamental al habeas data.

1. DEFINICIONES

Para los efectos de la presente política, se adoptan las definiciones contenidas en la Ley 1581 de 2012 y el Decreto 1074 de 2015, entre las cuales se destacan:

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.

Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento que le serán aplicables y los medios para conocerlas.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación: origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político, datos relativos a la salud, vida sexual y datos biométricos.

Dato Público: Aquel que no sea semiprivado, privado o sensible; son públicos, entre otros, los relativos al estado civil, a su profesión u oficio y a su calidad de comerciante o de servidor público.

Encargado del Tratamiento: Persona natural o jurídica que, por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable.

Oficial de Protección de Datos: Persona designada formalmente por INVERSIONES SEDY S.A.S mediante acto interno, para velar por el cumplimiento efectivo de la normativa de protección de datos personales y actuar como punto de contacto ante los Titulares y ante la Superintendencia de Industria y Comercio.

Responsable del Tratamiento: INVERSIONES SEDY S.A.S.

Titular: Persona natural cuyos datos personales son objeto de Tratamiento.

Transferencia: Envío de datos personales efectuado por el Responsable o el Encargado ubicado en Colombia, a un receptor que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales realizado por un Encargado por cuenta del Responsable, incluyendo la comunicación de los datos entre ambos, y que se rige por un contrato de transmisión en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Incidente de seguridad: Violación de los códigos de seguridad, pérdida, robo, acceso no autorizado, destrucción, divulgación o uso indebido de los datos personales administrados por el Responsable o sus Encargados.

2. RESPONSABLE DEL TRATAMIENTO

INVERSIONES SEDY S.A.S es una persona jurídica legalmente constituida que decide sobre el Tratamiento de los datos personales contenidos en sus bases de datos. La información general del Responsable y sus canales oficiales de atención en materia de protección de datos personales es la siguiente:

3. ÁMBITO DE APLICACIÓN

La presente política aplica al Tratamiento de los datos personales que realice INVERSIONES SEDY S.A.S, directamente o a través de sus Encargados, en el marco de su operación comercial, laboral, societaria y administrativa, incluyendo las actividades desarrolladas bajo la marca OKAPOLLO. La política es obligatoria y vinculante para todos los empleados, contratistas, proveedores y terceros que por cualquier motivo tengan acceso a datos personales bajo la responsabilidad de la empresa.

4. INVENTARIO DE BASES DE DATOS

Para la prestación de sus servicios, el cumplimiento de obligaciones legales y la operación de la compañía, INVERSIONES SEDY S.A.S administra las siguientes categorías de bases de datos, cada una con finalidades, canales de recolección, tiempos de conservación y medidas de seguridad diferenciadas, conforme al inventario maestro interno de la compañía:

•       Clientes de puntos de venta físicos y canales presenciales.

•       Clientes de canales digitales propios: sitio web, aplicaciones móviles, plataformas de pedidos y WhatsApp Business.

•       Clientes vinculados a programas de fidelización, puntos, recompensas y membresías, cuando se encuentren activos.

•       Prospectos, leads y clientes potenciales captados en campañas comerciales y actividades de mercadeo.

•       Participantes en concursos, sorteos, actividades promocionales y experiencias de marca.

•       Proveedores personas naturales y contactos de proveedores personas jurídicas.

•       Candidatos y aspirantes en procesos de selección.

•       Empleados activos, incluidos sus beneficiarios y familiares registrados para fines de seguridad social y bienestar.

•       Ex empleados, retenidos por el tiempo exigido por obligaciones laborales, pensionales, tributarias y probatorias.

•       Accionistas y representantes legales.

•       Visitantes y control de acceso a instalaciones.

•       Titulares capturados por sistemas de videovigilancia instalados en las sedes de la empresa.

•       Datos biométricos, únicamente cuando se utilicen medios de identificación que involucren huella, rostro, iris u otros, previa evaluación de necesidad, proporcionalidad y autorización expresa del Titular.

•       Grabaciones de llamadas, chats y conversaciones en canales de atención al cliente, cuando la empresa las implemente.

•       Usuarios registrados en el sitio web y aplicativos digitales, incluyendo datos recolectados por cookies y herramientas de analítica.

INVERSIONES SEDY S.A.S mantiene un inventario maestro interno de bases de datos con la información detallada de cada una (finalidad específica, tipo de titulares, categorías de datos, encargados, transferencias, retención y medidas de seguridad), disponible para consulta de la SIC cuando esta lo requiera, en cumplimiento del principio de Responsabilidad Demostrada.

5. FINALIDADES DEL TRATAMIENTO

El Tratamiento de los datos personales se realizará para finalidades específicas, legítimas, previamente informadas y diferenciadas según el tipo de Titular.

5.1. Finalidades comunes a todos los Titulares

•       Cumplir obligaciones legales, contables, fiscales, tributarias, comerciales, societarias y regulatorias de la empresa.

•       Atender requerimientos de autoridades judiciales y administrativas en ejercicio de sus funciones.

•       Reportar información a entidades de control y vigilancia (DIAN, SIC, UIAF, Ministerio de Trabajo, Superintendencia de Sociedades y demás que corresponda).

•       Gestionar consultas, peticiones, quejas, reclamos, sugerencias y felicitaciones (PQRSF).

•       Ejecutar procesos de auditoría interna y externa y actividades de control interno.

•       Prevenir y controlar riesgos de Lavado de Activos y Financiación del Terrorismo, cuando la empresa se encuentre obligada conforme a la normativa aplicable.

•       Gestionar la seguridad de la información, continuidad del negocio, soporte tecnológico y mejora de procesos internos.

•       Administrar los canales de atención, contacto, comunicación y relacionamiento con los Titulares.

•       Proteger la integridad, los bienes y la información de la empresa, sus empleados, clientes y visitantes.

5.2. Finalidades específicas para clientes

•       Registrar, identificar, verificar y mantener histórico de clientes.

•       Emitir facturas electrónicas, recibos y documentos contables conforme a la normativa tributaria.

•       Gestionar cartera, cobro, recaudo y pagos asociados a la relación comercial.

•       Prestar servicio postventa, atención al cliente y gestión de garantías cuando correspondan.

•       Ejecutar obligaciones contractuales derivadas de la relación comercial.

•       Gestionar pedidos, reservas, entregas, domicilios, reclamaciones, devoluciones y encuestas de satisfacción.

•       Administrar la relación comercial de los clientes vinculados a OKAPOLLO, incluyendo atención en punto de venta, pedidos físicos o digitales, campañas de servicio y acciones de experiencia del cliente.

•       Registrar, cuando el Titular lo manifieste voluntariamente, información relacionada con alergias, intolerancias alimentarias o restricciones dietarías, con el único fin de garantizar la seguridad en la prestación del servicio, previa autorización expresa por tratarse de dato sensible.

•       Gestionar programas de fidelización, lealtad, membresías, acumulación de puntos, redención de beneficios, premios, incentivos, cupones, bonos, descuentos y demás estrategias comerciales, cuando el Titular otorgue la autorización correspondiente.

•       Analizar hábitos de consumo, historial de compra, frecuencia, ticket promedio, productos de interés, preferencias y patrones de comportamiento comercial, con autorización previa y separable del Titular.

•       Realizar perfilamiento comercial, segmentación de clientes y personalización de promociones, con fines de mercadeo y optimización del servicio, con autorización expresa cuando legalmente sea exigible.

•       Adelantar estudios de mercado, analítica comercial, inteligencia de negocios, evaluación de tendencias de consumo y medición de resultados de campañas.

•       Verificar, actualizar y consolidar datos de contacto e información comercial suministrada directamente por el Titular o recolectada a través de interacciones autorizadas.

•       Gestionar clientes potenciales, prospectos comerciales y usuarios interesados en recibir información sobre productos o servicios.

•       Ejecutar concursos, sorteos, dinámicas comerciales y experiencias de marca, con identificación y contacto de los participantes.

5.3. Finalidades específicas para empleados y candidatos

El Tratamiento de los datos personales de candidatos se realizará de forma diferenciada del Tratamiento de los datos de empleados, con bases legales y tiempos de conservación independientes.

5.3.1. Candidatos

•       Adelantar procesos de selección, evaluación y eventual vinculación laboral.

•       Verificar referencias laborales, académicas y comerciales, previa autorización del candidato.

•       Conservar la hoja de vida por el tiempo estrictamente necesario para futuros procesos, cuando el candidato así lo autorice expresamente.

5.3.2. Empleados

•       Elaborar, ejecutar y terminar contratos laborales y documentos derivados.

•       Liquidar nómina, aportes parafiscales, seguridad social y prestaciones sociales.

•       Afiliar al Sistema de Seguridad Social Integral (EPS, AFP, ARL, Caja de Compensación Familiar).

•       Administrar el Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST), incluidos exámenes médicos ocupacionales, incapacidades, reporte de accidentes de trabajo y enfermedades laborales.

•       Tratar datos biométricos, cuando la empresa implemente sistemas de control de acceso o marcación de turnos que los requieran, previa autorización expresa del empleado y bajo estrictos criterios de necesidad, idoneidad y proporcionalidad.

•       Capacitar, evaluar desempeño y gestionar el desarrollo del personal.

•       Expedir certificaciones laborales y atender requerimientos judiciales (embargos, libranzas, alimentos y similares).

•       Gestionar bienestar, auxilios y beneficios del personal, incluyendo el tratamiento de datos de familiares beneficiarios.

•       Ejercer las facultades de supervisión y control empresarial con respeto al derecho a la intimidad y dignidad del trabajador.

5.4. Finalidades específicas para proveedores

•       Evaluar, seleccionar, contratar y gestionar proveedores.

•       Administrar órdenes de compra, pagos y facturación.

•       Verificar el cumplimiento contractual, tributario y, cuando aplique, el cumplimiento del SG-SST de contratistas.

•       Adelantar procesos de debida diligencia y conocimiento del proveedor.

5.5. Finalidades específicas para accionistas

•       Administrar el libro de registro de accionistas conforme al Código de Comercio.

•       Convocar y desarrollar asambleas ordinarias y extraordinarias.

•       Pagar dividendos, rendimientos y demás derechos económicos.

•       Cumplir obligaciones societarias, contables y tributarias derivadas de la calidad de accionista.

5.6. Finalidades específicas para visitantes y videovigilancia

•       Controlar e identificar el ingreso a las instalaciones y dejar registro auditable.

•       Garantizar la seguridad de personas, bienes e infraestructura mediante sistemas de videovigilancia debidamente señalizados.

•       Atender emergencias, siniestros o situaciones que requieran identificación de personas presentes en las sedes.

•       Servir como soporte probatorio en investigaciones administrativas, disciplinarias, judiciales o de seguros.

6. ENVÍO DE INFORMACIÓN COMERCIAL Y PUBLICITARIA

El envío de información comercial, publicitaria, promocional, de mercadeo y fidelización constituye una finalidad adicional, opcional y separable de las demás finalidades descritas. Por tanto, el Titular podrá autorizarla o no, sin que ello afecte la relación contractual, laboral o comercial que lo vincule con INVERSIONES SEDY S.A.S.

Cuando el Titular otorgue la autorización correspondiente, podrá recibir información por correo electrónico, SMS, WhatsApp, llamadas telefónicas u otros medios digitales sobre productos, servicios, promociones, programas de lealtad, cupones, descuentos, lanzamientos, concursos, sorteos, campañas estacionales, beneficios de cumpleaños, encuestas de satisfacción y demás actividades de mercadeo propias de la empresa y de la marca OKAPOLLO.

Las autorizaciones de marketing serán granulares y separables, de modo que el Titular podrá autorizar de manera independiente, cuando ello sea implementado por la empresa:

•       Recepción de publicidad general.

•       Recepción de promociones, beneficios u ofertas personalizadas.

•       Participación en programas de fidelización, puntos y recompensas.

•       Perfilamiento comercial y segmentación para campañas adaptadas al comportamiento de consumo.

•       Contacto por canales específicos como WhatsApp, correo electrónico, SMS o llamada telefónica.

Ley 2300 de 2023 (Ley Antillamadas). INVERSIONES SEDY S.A.S se compromete a respetar las restricciones de horario, frecuencia, canal y contenido establecidas en la Ley 2300 de 2023 para el contacto comercial con consumidores, absteniéndose de realizar comunicaciones comerciales fuera de los horarios legalmente permitidos y respetando la decisión del Titular de ser excluido de estas comunicaciones.

El Titular podrá revocar en cualquier momento esta autorización, de forma total o parcial, sin que ello afecte la relación principal con la empresa, mediante solicitud al correo oficial de protección de datos con el asunto «Revocatoria de autorización de marketing».

7. AUTORIZACIÓN DEL TITULAR

La autorización podrá otorgarse por escrito, de forma oral, mediante mensaje de datos o a través de conductas inequívocas del Titular que permitan concluir razonablemente que la otorgó. Se podrán emplear mecanismos idóneos tales como formularios físicos o digitales, casillas de aceptación, páginas web, plataformas tecnológicas, sistemas de pedidos, aplicaciones, canales de atención, llamadas grabadas u otros mecanismos verificables que permitan conservar prueba del consentimiento.

INVERSIONES SEDY S.A.S conservará la prueba de la autorización por el tiempo que dure el Tratamiento y por el término adicional exigido por la normativa aplicable para la defensa de sus intereses legítimos.

No se requerirá autorización en los casos previstos en el artículo 10 de la Ley 1581 de 2012:

(i) información requerida por entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

(ii) datos de naturaleza pública;

(iii) casos de urgencia médica o sanitaria;

(iv) Tratamiento con fines históricos, estadísticos o científicos; y

(v) datos relacionados con el Registro Civil de las personas.

8. REVOCATORIA DE LA AUTORIZACIÓN

El Titular podrá revocar la autorización en cualquier momento, de manera total o parcial, a través del correo oficial de protección de datos, indicando:

•       Nombre completo y número de identificación.

•       Datos de contacto para notificaciones.

•       Descripción clara del alcance de la revocatoria (total, parcial o limitada a marketing, fidelización, perfilamiento, canales específicos u otras finalidades).

La revocatoria se atenderá en los términos legales. No procederá cuando exista un deber legal o contractual que obligue al Titular a permanecer en la base de datos (por ejemplo, obligaciones tributarias, laborales, contables o probatorias).

9. DATOS SENSIBLES, DATOS DE MENORES Y DATOS DE ESPECIAL PROTECCIÓN

9.1. Datos sensibles

INVERSIONES SEDY S.A.S se abstendrá de recolectar datos sensibles, salvo cuando exista autorización expresa, explícita e informada del Titular, una finalidad legítima y la actividad los requiera estrictamente. En tales casos, el Titular no está obligado a autorizar el Tratamiento y será informado previamente sobre el carácter sensible de los datos y la finalidad específica de su Tratamiento.

9.2. Datos de salud y Sistema de Gestión de Seguridad y Salud en el Trabajo

En el marco de la relación laboral, la empresa podrá tratar datos de salud de sus empleados (exámenes médicos ocupacionales de ingreso, periódicos y de retiro, incapacidades, accidentes de trabajo, enfermedades laborales y restricciones médicas) con la finalidad exclusiva de cumplir las obligaciones derivadas del Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST), la Ley 1562 de 2012, el Decreto 1072 de 2015 y demás normas concordantes. Estos datos serán tratados con estricta confidencialidad, acceso restringido al personal estrictamente autorizado y medidas reforzadas de seguridad.

9.3. Datos biométricos

Cuando la empresa implemente sistemas que involucren el Tratamiento de datos biométricos (huella dactilar, reconocimiento facial u otros), lo hará únicamente previa evaluación de necesidad, idoneidad y proporcionalidad, y con autorización previa, expresa e informada del Titular. Se adoptarán medidas de seguridad reforzadas, incluido cifrado, control de acceso estricto y bitácoras de consulta, en aplicación del principio de Responsabilidad Demostrada.

9.4. Datos de niñas, niños y adolescentes

El Tratamiento de datos personales de niñas, niños y adolescentes solo se realizará cuando: (i) la finalidad responda a su interés superior; (ii) se respeten sus derechos fundamentales; y (iii) se cuente con la autorización previa, expresa e informada del representante legal, previa escucha de la opinión del menor cuando ello sea posible, atendiendo a su grado de madurez, autonomía y capacidad para comprender el asunto, conforme a la Sentencia C-748 de 2011 y pronunciamientos de la Corte Constitucional.

Cuando en las actividades comerciales de OKAPOLLO existan campañas, concursos, eventos promocionales, experiencias de marca, celebraciones de cumpleaños o contenidos dirigidos o accesibles a menores de edad, la empresa adoptará las medidas necesarias para verificar la mayoría de edad del Titular o, en su defecto, obtener la autorización del representante legal, limitando estrictamente el Tratamiento a la finalidad autorizada y absteniéndose de perfilamiento comercial sobre menores.

10. ENCARGADOS Y TRANSFERENCIA O TRANSMISIÓN DE DATOS

INVERSIONES SEDY S.A.S podrá contratar Encargados del Tratamiento para el desarrollo de actividades tales como: proveedores de software contable y de nómina, hosting, almacenamiento en la nube, servicios de mensajería, plataformas tecnológicas, pasarelas de pago, plataformas de domicilios, CRM, sistemas de fidelización, herramientas de automatización de marketing, call center, analítica digital, correo masivo, WhatsApp Business, soporte tecnológico, agencias de publicidad, operadores logísticos y demás terceros que resulten necesarios para la operación.

Con cada Encargado se suscribirá un contrato de transmisión de datos personales, en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015, que establecerá las finalidades, los deberes del Encargado, las medidas de seguridad exigibles, la prohibición de usar los datos para fines distintos, la confidencialidad, la devolución o supresión al término del contrato, y la colaboración en la atención de solicitudes de los Titulares.

Transferencia internacional. Cuando el Tratamiento implique transferencia de datos a un receptor ubicado fuera de Colombia, la empresa verificará que el país de destino cuente con un nivel adecuado de protección conforme a los estándares fijados por la SIC o, en su defecto, implementará los mecanismos habilitantes previstos en la ley (cláusulas contractuales tipo, declaración de conformidad o autorización expresa del Titular).

11. SEGURIDAD, CONFIDENCIALIDAD Y GESTIÓN DE INCIDENTES

INVERSIONES SEDY S.A.S garantiza la reserva de la información, inclusive con posterioridad a la finalización de las labores que comprenden el Tratamiento. Los datos personales administrados por la empresa se encuentran protegidos mediante medidas técnicas, humanas y administrativas proporcionales al nivel de riesgo, entre ellas: control de accesos lógicos y físicos, copias de seguridad, cifrado cuando corresponda, segregación de funciones, políticas internas de confidencialidad, capacitación periódica al personal y cláusulas de confidencialidad en los contratos con terceros.

11.1. Gestión de incidentes de seguridad

En caso de presentarse un incidente de seguridad, INVERSIONES SEDY S.A.S aplicará el siguiente protocolo interno:

•       Detección y escalamiento inmediato al Oficial de Protección de Datos.

•       Contención y mitigación del incidente en el menor tiempo posible.

•       Evaluación del alcance, datos afectados, titulares involucrados y riesgos derivados.

•       Reporte a la Superintendencia de Industria y Comercio a través del Registro Nacional de Bases de Datos (RNBD) tan pronto como sea posible, y en todo caso dentro del plazo máximo establecido por la normativa vigente.

•       Notificación a los Titulares afectados cuando el incidente implique un riesgo significativo para sus derechos.

•       Documentación del incidente, acciones tomadas y lecciones aprendidas en el registro interno de incidentes.

•       Implementación de medidas correctivas y preventivas para evitar la repetición.

12. PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA

De conformidad con el artículo 26 de la Ley 1581 de 2012, el Capítulo 26 del Título 2, Libro 2, Parte 2 del Decreto 1074 de 2015 y la Circular Externa 002 de 2022 de la SIC, INVERSIONES SEDY S.A.S adopta el principio de Responsabilidad Demostrada mediante la implementación de medidas apropiadas, efectivas y verificables. En desarrollo de este principio, la empresa cuenta con:

•       Una estructura organizativa interna con asignación de responsabilidades, liderada por el Oficial de Protección de Datos.

•       Un Manual Interno de Políticas y Procedimientos de Protección de Datos Personales.

•       Un inventario maestro de bases de datos con finalidades, titulares, encargados y tiempos de conservación.

•       Una matriz de riesgos y, cuando corresponda, evaluaciones de impacto en la protección de datos personales (PIA).

•       Procedimientos documentados para la atención de consultas, reclamos, revocatorias, supresiones e incidentes.

•       Capacitación periódica al personal que trata datos personales.

•       Evaluación, monitoreo y actualización continua de los controles y medidas de seguridad.

•       Auditorías internas periódicas sobre el cumplimiento del programa.

13. DEBERES DEL RESPONSABLE

INVERSIONES SEDY S.A.S cumplirá los deberes establecidos en el artículo 17 de la Ley 1581 de 2012, entre ellos:

•       Garantizar al Titular, en todo momento, el pleno y efectivo ejercicio del derecho al habeas data.

•       Solicitar y conservar copia de la respectiva autorización otorgada por el Titular.

•       Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten.

•       Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

•       Actualizar la información cuando sea reportada una novedad y rectificar los datos cuando proceda.

•       Tramitar las consultas y los reclamos formulados por los Titulares en los términos legales.

•       Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley.

•       Informar a la SIC los incidentes de seguridad que ocurran.

•       Cumplir las instrucciones y requerimientos de la SIC.

14. DERECHOS DEL TITULAR

Con la aceptación de esta política, el Titular manifiesta haber sido informado sobre los derechos que la ley le concede frente al Tratamiento de sus datos personales:

•       Conocer, actualizar y rectificar sus datos personales.

•       Solicitar prueba de la autorización otorgada al Responsable, salvo cuando expresamente la ley la exceptúe.

•       Ser informado, previa solicitud, del uso que se le ha dado a sus datos personales.

•       Presentar ante la SIC quejas por infracciones a la Ley 1581 de 2012, una vez agotado el trámite ante el Responsable.

•       Revocar la autorización y solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

•       Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

•       Oponerse al Tratamiento cuando exista causa legítima y justificada, salvo cuando sea necesario para el cumplimiento de una obligación legal o contractual.

Los derechos podrán ser ejercidos por el Titular, sus causahabientes debidamente acreditados, su representante legal o apoderado, o por estipulación a favor de otro conforme a la ley.

Tabla resumen de derechos y canales:

15. PROCEDIMIENTO PARA CONSULTAS Y RECLAMOS

15.1. Consultas

Los Titulares, sus causahabientes o cualquier persona con interés legítimo podrán solicitar información sobre los datos personales que reposan en las bases de datos de la empresa a través del correo oficial de protección de datos. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de su recibo. Cuando no sea posible atenderla dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá la consulta, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término (artículo 14, Ley 1581 de 2012).

15.2. Reclamos

Los reclamos por corrección, actualización, supresión o por incumplimiento de los deberes legales deberán presentarse al correo oficial de protección de datos y contener:

•       Identificación del Titular o de quien presenta el reclamo (nombre y número de identificación).

•       Descripción clara y expresa de los hechos que originan el reclamo.

•       Documentos soporte de la pretensión.

•       Acreditación del interés legítimo, cuando se actúe en representación.

•       Dirección física o electrónica y teléfono para notificaciones.

Si el reclamo se presenta incompleto, la empresa requerirá al interesado dentro de los cinco (5) días hábiles siguientes para que subsane las fallas. Transcurridos dos (2) meses sin respuesta del interesado, se entenderá desistido el reclamo.

Cuando INVERSIONES SEDY S.A.S no sea competente para resolver el reclamo, dará traslado a quien corresponda dentro de los dos (2) días hábiles siguientes e informará al interesado.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a su recibo. Cuando no sea posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la nueva fecha de atención, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término (artículo 15, Ley 1581 de 2012).

El Titular solo podrá presentar queja ante la SIC una vez haya agotado el trámite ante INVERSIONES SEDY S.A.S.

16. OFICIAL DE PROTECCIÓN DE DATOS

INVERSIONES SEDY S.A.S designa formalmente, mediante acto interno, al Oficial de Protección de Datos, quien es responsable de velar por el cumplimiento de la normativa de protección de datos personales y actúa como punto de contacto con los Titulares y con la Superintendencia de Industria y Comercio.

Funciones del Oficial de Protección de Datos:

•       Atender consultas, quejas y reclamos de los Titulares.

•       Velar por el cumplimiento de la Ley 1581 de 2012 y normas complementarias.

•       Mantener actualizada la política, el Manual Interno de Políticas y Procedimientos y los formatos de autorización.

•       Capacitar al personal que realiza Tratamiento de datos personales.

•       Supervisar los contratos de transmisión con Encargados.

•       Liderar la gestión y reporte de incidentes de seguridad.

•       Liderar la inscripción y actualización de bases de datos en el Registro Nacional de Bases de Datos (RNBD), cuando la empresa se encuentre obligada.

•       Ser el punto de contacto ante la SIC y demás autoridades en temas de protección de datos.

•       Promover auditorías internas periódicas y la mejora continua del programa.

El nombre, cargo y datos de contacto del Oficial constarán en el acto interno de designación y podrán ser consultados a través del correo oficial de protección de datos.

17. VIDEOVIGILANCIA Y CONTROL DE ACCESO

INVERSIONES SEDY S.A.S cuenta con sistemas de videovigilancia y control de acceso en sus instalaciones con la finalidad exclusiva de garantizar la seguridad de personas, bienes e infraestructura. Estos sistemas se rigen por las siguientes reglas:

•       Señalización: las áreas con videovigilancia están debidamente señalizadas mediante avisos visibles que informan a los Titulares, antes de su ingreso, sobre la existencia del sistema, la finalidad y el Responsable.

•       Áreas excluidas: no se instalarán cámaras en zonas de intimidad, tales como baños, vestieres, áreas de descanso privadas o espacios análogos.

•       Conservación: las grabaciones se conservan por un período de noventa (90) días, salvo que deban preservarse por más tiempo como soporte probatorio en investigaciones administrativas, judiciales, disciplinarias o de seguros.

•       Acceso restringido: las grabaciones solo pueden ser consultadas por el personal expresamente autorizado por el Oficial de Protección de Datos y por las autoridades judiciales o administrativas competentes.

•       Cadena de custodia: la entrega de grabaciones a autoridades se realizará con acta de cadena de custodia que deje registro del solicitante, fecha, alcance y funcionario receptor.

•       Finalidad limitada: las imágenes no se utilizarán para fines distintos a los de seguridad, y en ningún caso para fines comerciales, publicitarios o de perfilamiento.

18. CONSERVACIÓN Y SUPRESIÓN DE LA INFORMACIÓN

Los datos personales serán conservados durante el tiempo necesario para cumplir las finalidades del Tratamiento y las obligaciones legales aplicables. En particular:

•       Información contable, laboral y tributaria: se conserva por el término mínimo de diez (10) años, conforme al artículo 28 de la Ley 962 de 2005 y el artículo 60 del Código de Comercio.

•       Hojas de vida de candidatos no seleccionados: se conservan únicamente por el tiempo autorizado por el Titular, no superior al término razonable requerido por la finalidad del proceso de selección.

•       Grabaciones de videovigilancia: noventa (90) días, salvo cuando deban preservarse como soporte probatorio.

•       Grabaciones de llamadas y chats de atención al cliente: por el tiempo establecido en el procedimiento interno, sin exceder el necesario para la finalidad autorizada y la defensa de la empresa ante reclamaciones.

•       Información asociada a campañas comerciales, fidelización, CRM y marketing autorizado: mientras subsista la finalidad autorizada o la relación comercial, sin perjuicio del derecho del Titular a revocar las autorizaciones en cualquier momento.

Vencidos los términos aplicables, o cuando el Titular solicite válidamente la supresión y no exista deber legal o contractual que lo impida, los datos serán eliminados mediante mecanismos seguros que impidan su recuperación.

19. REGISTRO NACIONAL DE BASES DE DATOS (RNBD)

INVERSIONES SEDY S.A.S cumplirá la obligación de inscripción y actualización de sus bases de datos en el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio, en los términos del Decreto 090 de 2018 y la Circular Única de la SIC, cuando se encuentre obligada conforme a los umbrales allí establecidos. El Oficial de Protección de Datos es responsable de liderar la inscripción inicial, las novedades y los reportes periódicos que exige la normativa.

20. POLÍTICA DE COOKIES

INVERSIONES SEDY S.A.S utiliza cookies propias y de terceros en su sitio web y aplicativos digitales con el fin de optimizar la experiencia del usuario, monitorear información estadística y presentar contenidos y publicidad relacionados con sus preferencias, dentro de los límites legales aplicables.

20.1. Definición

Las cookies son pequeños archivos de texto que se almacenan en el dispositivo del usuario al visitar un sitio web y permiten reconocer preferencias, sesión y configuración para mejorar la experiencia de navegación.

20.2. Tipos de cookies utilizadas

•       Cookies técnicas o necesarias: imprescindibles para el funcionamiento del sitio. No requieren consentimiento.

•       Cookies de personalización: permiten recordar preferencias del usuario (idioma, región, configuración visual).

•       Cookies analíticas o de medición: recogen información sobre el uso del sitio con fines estadísticos.

•       Cookies publicitarias o de marketing: muestran publicidad basada en intereses del usuario.

•       Cookies de terceros: instaladas por dominios distintos al de la empresa (redes sociales, analítica externa, plataformas publicitarias).

20.3. Consentimiento y gestión

Al ingresar por primera vez al sitio web, se mostrará un banner de cookies donde el usuario podrá aceptar, rechazar o configurar las cookies no esenciales de manera granular. Las cookies no técnicas solo serán instaladas previo consentimiento expreso del usuario. El consentimiento podrá ser modificado o retirado en cualquier momento desde el panel de configuración de cookies del sitio.

20.4. Cómo desactivar las cookies

El usuario puede configurar o eliminar las cookies desde su navegador, siguiendo las instrucciones del proveedor correspondiente (Google Chrome, Mozilla Firefox, Safari, Microsoft Edge y otros). La desactivación de cookies técnicas puede afectar el correcto funcionamiento del sitio web.

20.5. Información recolectada

La información recopilada mediante cookies se encuentra cifrada y no se utilizará para identificar de forma directa al usuario, salvo cuando ello sea estrictamente necesario y exista la autorización correspondiente. No se recopilan datos financieros ni crediticios a través de cookies.

21. MODIFICACIONES A LA POLÍTICA

INVERSIONES SEDY S.A.S se reserva el derecho de modificar la presente política. Los cambios sustanciales serán comunicados a los Titulares con antelación razonable a su entrada en vigor, a través de los canales oficiales. Se conservará el histórico de versiones para trazabilidad. Cuando la modificación afecte la finalidad del Tratamiento o implique una modificación esencial, se solicitará nueva autorización al Titular.

22. VIGENCIA

La presente política rige a partir del veintiuno (21) de abril de dos mil veintiséis (2026) y deja sin efecto cualquier versión anterior. Las bases de datos administradas por INVERSIONES SEDY S.A.S tendrán vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas, sin perjuicio de los términos legales de conservación.

Versión: 3.1

Fecha de última actualización: 21 de abril de 2026

COMUNÍQUESE Y CÚMPLASE.

Expedida por INVERSIONES SEDY S.A.S en DUITAMA, el veintiuno (21) de abril de dos mil veintiséis (2026).

SEBASTIÁN ALEJANDRO RIVERA CANARIA

C.C. 1.002.527.792

Representante Legal

INVERSIONES SEDY S.A.S