Base legal y ámbito de aplicación

La presente política de tratamiento de datos personales se desarrolla en cumplimiento de los artículos 15 y 20 de la Constitución Política, así como, con fundamento en los artículos 17 literal k) y 18 literal f) de la Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la Protección de Datos Personales, y en cumplimiento del artículo 2.2.2.25.1.1 sección 1 capítulo 25 del Decreto 1074 de 2015.

Esta política será aplicable a todos los datos personales registrados en bases de datos que sean objeto de tratamiento por el Responsable del tratamiento.

1.1. Alcance

Este documento aplicará para todos aquellos datos personales que sean utilizados o reposen en las bases de datos y archivos de FERRETERÍA RHINO S.A.S., respetando los criterios de recolección, almacenamiento, uso, circulación y disposición final establecidos en la Ley 1581 de 2012 y sus Decretos reglamentarios. Es aplicable a todos los procesos en los que sea necesario el tratamiento de datos públicos, semiprivados, privados, sensibles y de niños, niñas y adolescentes, en calidad de Responsable y/o de Encargado.

1.2. Normatividad aplicable

• Constitución Política de Colombia
• Ley 1581 de 2012
• Decreto 1074 de 2015 — Capítulos 25 y 26 (compilatorios de los Decretos 1377 de 2013 y 886 de 2014)
• Ley 1266 de 2008 — Disposiciones generales del Hábeas Data
• Actos administrativos expedidos por la Superintendencia de Industria y Comercio

Definiciones

Las siguientes definiciones se encuentran establecidas en el artículo 3 de la Ley 1581 de 2012 y artículo 2.2.2.25.1.3 del Decreto 1074 de 2015.

Autorización

Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.

Base de Datos

Conjunto organizado de datos personales que sea objeto de tratamiento, pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso.

Dato Personal

Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Se clasifican en públicos, semiprivados, privados y sensibles.

Dato Público

Es el dato que la ley o la Constitución determina como tal: estado civil, profesión u oficio, calidad de comerciante o servidor público, registros públicos, gacetas, boletines oficiales y sentencias ejecutoriadas no sometidas a reserva.

Dato Semiprivado

No tiene naturaleza íntima ni pública; su conocimiento puede interesar a su Titular y a cierto sector. Ej.: información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

Dato Privado

Dato personal que por su naturaleza íntima o reservada sólo interesa a su titular y para su tratamiento requiere de su autorización previa, informada y expresa.

Dato Sensible

Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación: origen racial o étnico, orientation política, convicciones religiosas o filosóficas, sindicatos, salud, vida sexual y datos biométricos.

Encargado del Tratamiento

Persona natural o jurídica, pública o privada, que realiza el tratamiento de datos personales por cuenta del Responsable del tratamiento.

Responsable del Tratamiento

Persona natural o jurídica, pública o privada, que decide sobre la base de datos y/o el tratamiento de los datos.

Oficial de Protección de Datos

Persona natural que coordina la implementación del marco legal y tramita las solicitudes de los Titulares conforme a la Ley 1581 de 2012.

Titular

Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento

Cualquier operación o conjunto de operaciones sobre datos personales: recolección, almacenamiento, uso, circulación o supresión.

Aviso de Privacidad

Comunicación verbal o escrita generada por el Responsable, dirigida al Titular, que informa la existencia de las políticas de tratamiento aplicables, cómo acceder a ellas y las finalidades del tratamiento.

Transferencia

Envío de datos personales por un Responsable o Encargado ubicado en Colombia a un receptor que también es Responsable, dentro o fuera del país.

Transmisión

Tratamiento que implica comunicación de datos personales dentro o fuera de Colombia con el objeto de realizar un tratamiento por parte del Encargado por cuenta del Responsable.

Principios de la protección de datos

El artículo 4 de la Ley 1581 de 2012 establece principios para el tratamiento de datos personales que se aplican de manera armónica e integral.

3.1. Principio de Legalidad

El tratamiento es una actividad reglada que debe sujetarse a la Ley 1581 de 2012, el Decreto 1377 de 2013 (compilado en el Capítulo 25 del Decreto 1074 de 2015) y demás disposiciones que la desarrollen.

3.2. Principio de Finalidad

El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

3.3. Principio de Libertad

El tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial.

3.4. Principio de Veracidad o Calidad

La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

3.5. Principio de Transparencia

Debe garantizarse al Titular el derecho a obtener información sobre la existencia de datos que le conciernen. Al solicitar la autorización se debe informar de manera clara y expresa:

• El tratamiento al cual serán sometidos sus datos y su finalidad.
• El carácter facultativo de la respuesta cuando se traten datos sensibles o de niños, niñas o adolescentes.
• Los derechos que le asisten como Titular.
• La identificación, dirección física, correo electrónico y teléfono del Responsable.

3.6. Principio de Acceso y Circulación Restringida

El tratamiento se sujeta a los límites derivados de la naturaleza de los datos, la Ley 1581 de 2012 y la Constitución. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación masiva, salvo que el acceso sea técnicamente controlable.

3.7. Principio de Seguridad

La información se manejará con las medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Estas medidas se recogen en el PL-02 Políticas Internas de Seguridad, de obligado cumplimiento.

3.8. Principio de Confidencialidad

Todas las personas que intervengan en el tratamiento están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con las labores del tratamiento.

Autorización de uso de datos personales

De acuerdo con el artículo 9 de la Ley 1581 de 2012, para el tratamiento de datos personales se requiere la autorización del Titular. FERRETERÍA RHINO S.A.S. solicitará al Titular su autorización indicando la finalidad del dato, utilizando medios técnicos automatizados, escritos u orales que permitan conservar prueba.

Solicitud de autorización al titular

La autorización será gestionada por FERRETERÍA RHINO S.A.S. a través de mecanismos que garanticen su consulta posterior, mediante:

• Por escrito.
• De forma oral.
• Mediante canales automatizados.
• Mediante conductas inequívocas del titular que permitan concluir razonablemente el otorgamiento de la autorización.

Al momento de la recolección, se informará al Titular de manera clara y expresa: el tratamiento y su finalidad; el carácter facultativo de la respuesta cuando sean datos sensibles o de menores; los derechos que le asisten; y la identificación y datos de contacto de Ferretería RHINO.

Responsable del tratamiento

El Responsable del tratamiento es FERRETERÍA RHINO S.A.S.

Tratamiento y finalidades de las bases de datos

FERRETERÍA RHINO S.A.S., en el desarrollo de su objeto social, lleva a cabo el tratamiento de datos personales relativos a personas naturales contenidos en bases de datos destinadas a fines legítimos, en cumplimiento de la Constitución y la Ley. Dicho tratamiento incluye la recolección, almacenamiento, uso, circulación o destinación final conforme a las finalidades autorizadas por el Titular.

El Anexo 2 — Finalidades de Bases de Datos contiene la información relativa a las distintas bases de datos responsabilidad de la organización y las finalidades asignadas a cada una de ellas.

Vigencia de la base de datos

Los datos personales incorporados estarán vigentes durante el plazo necesario para cumplir las finalidades para el cual se autorizó su tratamiento, de acuerdo con el artículo 2.2.2.25.2.8 del Decreto 1074 de 2015 y las normas especiales que regulen la materia, incluyendo las normas vigentes relacionadas con el período de conservación.

Derechos de los titulares

De acuerdo con el artículo 8 de la Ley 1581 de 2012, los Titulares tienen los siguientes derechos:

1. Conocer, actualizar y rectificar sus datos personales frente a Responsables o Encargados, especialmente datos parciales, inexactos, incompletos, fraccionados o no autorizados.
2. Solicitar prueba de la autorización otorgada al Responsable.
3. Ser informado sobre el uso dado a sus datos personales.
4. Presentar quejas ante la Superintendencia de Industria y Comercio (SIC).
5. Revocar la autorización y/o solicitar la supresión del dato cuando no se respeten los principios constitucionales y legales.
6. Acceder en forma gratuita a sus datos personales objeto de tratamiento.

Estos derechos podrán ejercerse por: el Titular (acreditando identidad), sus causahabientes, el representante o apoderado, o por estipulación a favor de otro. Los derechos de los menores se ejercen por sus representantes.

9.1. Derecho de acceso o consulta

Derecho del Titular a ser informado, previa solicitud, sobre el origen, uso y finalidad dada a sus datos.

9.2. Derechos de quejas y reclamos

La Ley distingue cuatro tipos:

• Reclamo de corrección: actualizar, rectificar o modificar datos parciales, inexactos o no autorizados.
• Reclamo de supresión: suprimir datos inadecuados, excesivos o que no respeten principios y garantías.
• Reclamo de revocación: dejar sin efecto la autorización previamente otorgada.
• Reclamo de infracción: subsanar el incumplimiento de la normativa de Protección de Datos.

9.3. Prueba de la autorización

El titular o causahabiente podrá solicitar el soporte físico o digital del otorgamiento de la autorización para el tratamiento de datos personales.

9.4. Quejas ante la SIC

El Titular o causahabiente sólo podrá elevar la petición ante la Superintendencia de Industria y Comercio una vez agotado el trámite de consulta o reclamo ante el Responsable o Encargado del tratamiento.

Tratamiento de datos de menores

FERRETERÍA RHINO S.A.S., conforme al artículo 7° de la Ley 1581 de 2012 y al artículo 2.2.2.25.2.9 del Decreto 1074 de 2015, realiza tratamiento de datos personales de niños, niñas y adolescentes con observancia de:

1. Que el uso del dato responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los requisitos, se solicitará al representante legal del menor la autorización, previo ejercicio del derecho del menor a ser escuchado. La opinión será valorada según madurez, autonomía y capacidad para entender el asunto.

Deberes como Responsable del Tratamiento

11.1. Frente al Titular

• Garantizar el pleno y efectivo ejercicio del derecho de hábeas data.
• Solicitar y conservar copia de la respectiva autorización otorgada por el Titular.
• Informar sobre la finalidad de la recolección y los derechos que le asisten.
• Tramitar consultas y reclamos en los términos legales.
• Informar, a solicitud del Titular, sobre el uso dado a sus datos.

11.2. Frente al Encargado

• Garantizar información veraz, completa, exacta, actualizada, comprobable y comprensible.
• Actualizar y comunicar oportunamente todas las novedades de los datos.
• Rectificar la información cuando sea incorrecta y comunicarlo al Encargado.
• Informar al Encargado cuando determinada información esté en discusión por el Titular.
• Suministrar únicamente datos cuyo tratamiento esté previamente autorizado.
• Exigir el respeto a las condiciones de seguridad y privacidad.
• Velar porque los Encargados cumplan las Políticas de Tratamiento de Datos.

11.3. Frente a los principios y otras obligaciones

• Observar los principios de legalidad, finalidad, libertad, calidad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
• Adoptar un manual interno para garantizar el cumplimiento de la Ley 1581 de 2012.
• Informar a la autoridad ante violaciones a los códigos de seguridad.
• Cumplir las instrucciones de la Superintendencia de Industria y Comercio.
• Conservar la información bajo condiciones de seguridad necesarias.

Deberes como Encargado del Tratamiento

FERRETERÍA RHINO S.A.S., en calidad de Encargado, cumplirá los siguientes deberes:

• Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data.
• Conservar la información bajo condiciones de seguridad necesarias.
• Realizar oportunamente actualización, rectificación o supresión de datos.
• Actualizar la información reportada dentro de los cinco (5) días hábiles siguientes a su recibo.
• Tramitar consultas y reclamos en los términos legales.
• Adoptar manual interno para la atención de consultas y reclamos.
• Registrar en la base de datos la leyenda "reclamo en trámite".
• Insertar la leyenda "información en discusión judicial" cuando corresponda.
• Abstenerse de circular información controvertida cuyo bloqueo haya sido ordenado por la SIC.
• Permitir el acceso a la información únicamente a personas autorizadas.
• Informar a la SIC sobre violaciones a códigos de seguridad.
• Cumplir las instrucciones y requerimientos de la SIC.
• Cumplir con las Políticas de Tratamiento de los Responsables.

Atención a los titulares de datos

Para la atención de peticiones, consultas y reclamos en materia de protección de datos personales, FERRETERÍA RHINO S.A.S. ha designado un Oficial de Protección de Datos.

Procedimientos para ejercer los derechos del titular

14.1. Derecho de acceso o consulta

FERRETERÍA RHINO S.A.S. garantizará la consulta gratuita de los datos personales (Art. 2.2.2.25.4.2 del Decreto 1074 de 2015):

1. Al menos una vez cada mes calendario.
2. Cada vez que existan modificaciones sustanciales de las políticas de tratamiento.

El Titular podrá ejercer el derecho mediante escrito enviado al correo recursoshumanos@rhino.com.co con asunto "Ejercicio del derecho de acceso o consulta", o por correo postal a CR 25 # 15 58/60, Bogotá D.C. La solicitud deberá contener:

• Nombre y apellidos del Titular.
• Fotocopia de la cédula del Titular y, si aplica, del representante.
• Petición concreta.
• Dirección para notificaciones, fecha y firma.
• Documentos que sustenten la petición, cuando corresponda.

14.2. Derechos de quejas y reclamos

La solicitud deberá contener: nombre y apellidos del Titular; fotocopia de cédula; descripción de los hechos y petición concreta; dirección para notificaciones, fecha y firma; y documentos que sustenten la petición.

14.3. Facultados para recibir información

De acuerdo con el artículo 13 de la Ley 1581 de 2012, se suministrará información a:

• Titulares, sus causahabientes o representantes legales.
• Entidades públicas o administrativas en ejercicio de funciones legales o por orden judicial.
• Terceros autorizados por el Titular o por la ley.

14.3.1. Verificación de la facultad

• Titular: Copia del documento de identidad.
• Causahabiente: Documento de identidad del solicitante, registro civil de defunción del Titular, documento que acredite la calidad y copia del documento de identidad del Titular.
• Representante legal o apoderado: Documento de identidad del solicitante, poder y copia del documento de identidad del Titular.

Tratamiento de datos en sistemas de videovigilancia

FERRETERÍA RHINO S.A.S. informará sobre la existencia de sistemas de videovigilancia mediante anuncios visibles instalados en las zonas vigiladas. Los avisos indicarán: el Responsable del Tratamiento, las finalidades, los derechos del Titular, los canales habilitados y dónde está publicada la Política.

Las imágenes se conservarán solo por el tiempo estrictamente necesario para cumplir con la finalidad. La base de datos se inscribirá en el Registro Nacional de Bases de Datos. El acceso y divulgación de las imágenes solo se permitirá por solicitud escrita de una autoridad judicial o administrativa.

Tratamiento en sistemas de Inteligencia Artificial

FERRETERÍA RHINO S.A.S. podrá emplear tecnologías de Inteligencia Artificial (IA) para el tratamiento de datos personales, siempre que se limite a las finalidades establecidas en la autorización del Titular y cumpla con la Ley 1581 de 2012.

La organización se abstendrá de usar IA cuando se determine que el procesamiento representa un riesgo de afectar significativamente al Titular, una vez analizados los criterios de idoneidad, necesidad, razonabilidad y proporcionalidad descritos en la Circular 002 de 2024 de la SIC.

El uso de estas herramientas contemplará los principios de legalidad, finalidad, libertad, veracidad, seguridad, confidencialidad y responsabilidad demostrada, con medidas técnicas, humanas y administrativas suficientes.

Medidas de seguridad

FERRETERÍA RHINO S.A.S. se compromete a proteger todos los datos personales y sensibles que gestiona, adoptando medidas adecuadas para garantizar su confidencialidad, integridad y disponibilidad. Los datos sensibles incluyen información de salud, financiera, biométrica y cualquier otro dato clasificado como sensible.

La organización ha implementado controles específicos en el Anexo 1 PL-01 Organización Bases de Datos, incluyendo:

• Cifrado de la información en tránsito y en reposo.
• Autenticación multifactorial para sistemas que almacenan o procesan datos sensibles.
• Segregación de redes para minimizar riesgos de exposición.
• Auditorías periódicas para verificar el cumplimiento.
• Capacitación al personal en el manejo adecuado de los datos.
• Pruebas de penetración y vulnerabilidad regulares.
• Plan de respuesta ante incidentes con procedimientos de contención y mitigación.

Cookies o web bugs

FERRETERÍA RHINO S.A.S. puede recolectar información personal de sus usuarios durante el uso de su página web, aplicación o landing pages. Para ello utiliza cookies propias y de terceros como herramientas de análisis para entender la interacción de los visitantes.

Si un usuario no desea que su información sea recolectada mediante cookies, puede modificar las preferencias de su navegador. Al desactivar las cookies, algunas funcionalidades podrían no estar disponibles.

Categorías de cookies

Notificación, gestión y respuesta ante incidentes

FERRETERÍA RHINO S.A.S. cuenta con un procedimiento de reporte de incidentes para la comunicación entre colaboradores, oficial de protección de datos, encargados, titulares, entes de vigilancia y judiciales.

Ejemplos de incidencias: caída de sistemas de seguridad que permitan acceso no autorizado, intento no autorizado de salida de documentos, pérdida o destrucción de soportes, cambio de ubicación física de bases de datos, conocimiento de contraseñas por terceros, modificación de datos por personal no autorizado.

Criterios del equipo de respuesta

• Estrategia: identificar, contener y mitigar el incidente; evaluar impacto en titulares; verificar requisitos legales; determinar nivel de riesgo.
• Línea de tiempo: notificar cuando aplique a Fiscalía General, Procuraduría, Gaula, Policía Nacional, Superintendencia Financiera, Centro Cibernético Policial, colCERT, CSIRT.
• Progreso: monitoreo, plazos y puntos conflictivos.
• Evaluación: revisión de acciones ejecutadas y plan de mejora.
• Acciones correctivas y preventivas: mitigar el impacto y evitar reincidencia.
• Revisión: documentar lecciones aprendidas.

Administración de riesgos asociados al tratamiento

FERRETERÍA RHINO S.A.S. ha identificado riesgos relacionados con el tratamiento y establecido controles para mitigarlos mediante la PL-02 Políticas Internas de Seguridad. Establecerá un sistema de gestión de riesgos cuando los procesos y procedimientos se consideren expuestos a hechos frecuentes o de alto impacto.

El sistema considerará fuentes como tecnología, recurso humano, infraestructura y procesos, valorando el nivel de riesgo y la posibilidad de ocurrencia de eventos como:

• Criminalidad: acciones humanas que violan la ley y están penalizadas.
• Sucesos de origen físico: eventos naturales y técnicos, incluidos los indirectamente causados por intervención humana.
• Negligencia y decisiones institucionales: acciones u omisiones por personas con poder e influencia sobre el sistema.

Entrega de datos personales a las autoridades

Cuando una entidad pública o administrativa, en ejercicio de sus funciones legales o por orden judicial, solicite acceso o entrega de datos personales contenidos en cualquier base de datos, FERRETERÍA RHINO S.A.S. verificará la legalidad de la petición y la pertinencia de los datos en relación con la finalidad expresada por la autoridad.

La entrega se realizará con un documento que advertirá a la autoridad la obligación de garantizar la confidencialidad, seguridad, acceso y circulación restringida, así como los derechos del Titular. El documento se enviará a canales físicos o electrónicos institucionales de la entidad requirente.

Transferencia y transmisión internacional de datos personales

FERRETERÍA RHINO S.A.S. realizará transferencia de datos personales a países que proporcionen niveles adecuados de protección, conforme a los estándares fijados por la Superintendencia de Industria y Comercio. Esta prohibición no regirá cuando se trate de:

• Información con autorización expresa e inequívoca del Titular.
• Intercambio de datos médicos por razones de salud o higiene pública.
• Transferencias bancarias o bursátiles conforme a la legislación aplicable.
• Transferencias acordadas en tratados internacionales con base en el principio de reciprocidad.
• Transferencias necesarias para la ejecución de un contrato entre Titular y Responsable.
• Transferencias legalmente exigidas para el interés público o defensa de un derecho.

Las transmisiones internacionales entre el Responsable y un Encargado no requerirán informarse al Titular ni contar con su consentimiento, siempre que exista contrato de transmisión que defina alcance, actividades y obligaciones.

Tratamiento de datos biométricos

Los datos biométricos se recolectan y tratan estrictamente por motivos de seguridad, para verificar la identidad personal y realizar control de acceso a empleados, clientes y visitantes. Los mecanismos biométricos capturan, procesan y almacenan información sobre rasgos físicos (huellas dactilares, reconocimiento de voz, aspectos faciales) para autenticar la identidad de cada sujeto.

La administración de las bases de datos biométricas se ejecuta con medidas técnicas que garantizan el cumplimiento de los principios de la Ley Estatutaria en Protección de Datos.

Registro Nacional de Bases de Datos — RNBD

FERRETERÍA RHINO S.A.S. cuenta con la inscripción de sus bases de datos y realizará anualmente, entre el 2 de enero y el 31 de marzo, la actualización del inventario en el RNBD habilitado por la Superintendencia de Industria y Comercio.

El RNBD es un directorio público de las bases de datos personales sujetas a tratamiento que operan en el país, conforme al artículo 25 de la Ley 1581 de 2012. Los titulares e interesados podrán consultar la información mínima prevista en el artículo 5 del Decreto 886 de 2014 para facilitar el ejercicio de sus derechos.

Seguridad de la información y datos personales

El cumplimiento del marco normativo, la seguridad, reserva y confidencialidad de la información almacenada es de vital importancia para FERRETERÍA RHINO S.A.S. Las prácticas implementadas incluyen:

• Circulación y almacenamiento de información sensible a través de mecanismos seguros.
• Uso de protocolos seguros.
• Aseguramiento de componentes tecnológicos.
• Restricción de acceso a la información sólo a personal autorizado.
• Respaldo periódico de información.
• Prácticas de desarrollo seguro de software.

Cuando se suministre información a un tercero por vínculo contractual, se suscribe contrato de transmisión que garantiza la reserva y confidencialidad de la información.

Gestión de documentos

Los documentos que contengan datos personales bajo responsabilidad de FERRETERÍA RHINO S.A.S. deben ser fácilmente recuperables. La organización deja documentado el lugar donde reposan los documentos físicos y digitales, realiza inspecciones frecuentes a las rutas de almacenamiento y garantiza su conservación según condiciones ambientales y riesgos identificados.

Los documentos están codificados y son actualizados por personal responsable. Para la eliminación se requiere justificación descrita en el histórico. La distribución se documenta especificando tipo de documento e identificación del receptor. Se designa un responsable de custodiar los documentos y garantizar su trazabilidad.

Vigencia

La presente actualización de la Política estará vigente desde el 11 de marzo de 2026. Las bases de datos responsabilidad de FERRETERÍA RHINO S.A.S. serán objeto de tratamiento durante el tiempo razonable y necesario para cumplir las finalidades para las cuales fueron recabados los datos y de acuerdo con la autorización otorgada por los Titulares.