Política de Tratamiento de datos personales

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE BOHO CHIC S.A.S.

(PORTAL WEB FREESPIRIT.COM.CO)

CAPÍTULO PRIMERO - DISPOSICIONES GENERALES.
1.1.INTRODUCCIÓN.
1.2.CONSIDERANDOS.
2.CAPÍTULO SEGUNDO - TRATAMIENTO DE LOS DATOS PERSONALES.
2.1Tipos de bases de datos Personales
2.2Tipos de Datos Personales que recolecta Bohochic
2.2.1Definición categoría de datos.
2.3Tratamiento al que se someten los datos personales.
2.3.1Recolección.
2.3.2Tratamiento de datos relacionados con las áreas de Recursos Humanos y Selección.
a)Antes de la relación contractual
b)Tratamiento de datos durante la relación contractual.
c)Tratamiento de datos después de terminada la relación contractual.
2.3.3Canales.
2.3.4Tratamiento de datos personales en procesos de contratación con terceros.
2.3.5Tratamiento de datos personales de la comunidad en general.
2.3.6Otras fuentes de recolección de la información.
2.3.7Almacenamiento.
2.3.8Usos y finalidades de la Recolección de la Información.
2.3.9Circulación.
2.3.10Supresión.
2.4Autorización para el tratamiento de datos personales.
2.5Medidas de Protección.
2.6Deberes de Bohochic
2.7Deberes de los Encargados de la Información.
2.8Casos en que Bohochic opere como Encargado de la Información.
2.9Deberes comunes de responsables y encargados del tratamiento.
2.10Deber de secreto y confidencialidad.
3.CAPÍTULO TERCERO - DERECHOS QUE TIENEN LOS TITULARES DE LOS DATOS
PERSONALES.
3.1Derechos que le asiste como titular del dato.
3.2Procedimiento para que el titular de la información pueda ejercer sus derechos.
3.2.1Solicitud.
3.2.2Procedimiento para rectificación y actualización de datos:
3.2.3Consultas.
3.2.4Reclamos.
3.2.5Supresión de datos:
3.3Personas facultadas para realizar una consulta o reclamo.
3.3.1Información que debe acreditar el titular del dato.
3.4Solicitud de imágenes y videos.
3.4.1Procedimiento para trámites por solicitud de imágenes y videos.

3.5Canales habilitados para el ejercicio de los Derechos de Habeas Data.
3.6Responsable del cumplimiento de la Política de Protección de Datos Personales.
3.7Entrega de datos personales a autoridades.
3.8Protección de datos en los contratos.
3.9Transferencia y transmisión de datos a terceros países
3.10Temporalidad de los datos.
3.11Medidas De Seguridad.
3.12Procedimientos y sanciones.
3.13Políticas y procedimientos corporativos globales.
3.14Período de vigencia de las bases de datos
3.15Registro Nacional de Bases de Datos
3.16Aviso de privacidad.
4.CAPÍTULO CUARTO - DISPOSICIONES FINALES.
4.1Medidas permanentes
4.2Vinculatoriedad de la Política.
4.3Manual interno de Políticas y Procedimientos para el Tratamiento de Datos Personales.
4.4Fecha de Aprobación de la Política y Entrada en vigencia.

1. CAPÍTULO PRIMERO - DISPOSICIONES GENERALES

1.1. INTRODUCCIÓN
BOHOCHIC S.A.S., (en adelante “Bohochic ”), es una compañía del sector textil, constituida
en Colombia en el año 2020, que comercializa y expende prendas de vestir, calzado y

accesorios. En desarrollo de su objeto social interactúa con sus proveedores, clientes,
empleados, autoridades y otros terceros, para lo cual requiere realizar Tratamiento de sus
Datos Personales.
En consecuencia, y en cumplimiento de la normatividad aplicable, Bohochic ha decidido
adoptar de forma voluntaria la presente Política para el Tratamiento de Datos Personales y
procedimientos internos, (la “Política”) la cual establece las condiciones bajo las
cuales Bohochic realizará el Tratamiento de Datos Personales, obligaciones de Bohochic y
Encargados, derechos de Titulares, procedimientos aplicables y en general, el marco de acción
que Bohochic tendrá en Colombia en materia de Habeas Data.
Algunos de los datos administrados o tratados por Bohochic son de naturaleza pública. Sin
perjuicio de lo anterior, la organización también trata datos personales que no son de naturaleza
pública, con el fin de llevar a cabo el desarrollo de su objeto social. Por lo anterior, cabe
destacar que Bohochic tiene dentro de sus bases de datos dos grandes grupos:
i. Una es la base de datos de varios de sus clientes, proveedores y prospectos de clientes,
en la cual se recolectan y almacenan datos de naturaleza pública, los cuales son
recogidos por medio de los registros públicos, a los cuales se les excluye, por parte del
Responsable, el deber de solicitar al titular previa autorización para su tratamiento.
ii. Por otra parte, la empresa tiene bases de datos referentes a datos personales que no
son públicos, ni se encuentran excluidos del ámbito de aplicación de la Ley 1581 de
2012, estás bases de datos se encuentran sujetas a todas y cada una de las
obligaciones que dispone la Ley 1581 de 2012, los Decretos Reglamentarios y las
demás normas que lo complementen, adicionen o deroguen, en materia de Protección
de Datos Personales.
En consecuencia, Bohochic en cumplimiento de lo dispuesto por la Ley 1581 de 2012 “Por la
cual se dictan disposiciones generales para la protección de datos personales”, la cual regula la
recolección y tratamiento de los datos de carácter personal, y establece las garantías legales
que deben cumplir todas las personas en Colombia para el debido tratamiento de dicho
información, expide la siguiente norma que desarrolla la política de seguridad de tratamiento de
datos personales dentro de la organización, previos los siguientes:
1.2. CONSIDERANDOS
1.2.1. Que en cumplimiento de la Ley 1581 de 2012, por la cual se dictan disposiciones
generales para la protección de datos personales, Bohochic diseña la presente normativa a
efectos de acreditar la correcta ejecución del deber de adecuarse a estas disposiciones.
1.2.2. Que en cumplimiento de las obligaciones que tiene Bohochic, dentro de las
disposiciones de la Ley 1581 de 2012, debe mejorar su Sistema de Gestión de Seguridad de la
Información, por lo cual se requiere expedir una norma que establezca las reglas aplicables al
tratamiento de datos de carácter personal que estén bajo custodia del ente empresarial.
1.2.3. Que corresponde tanto a los directivos de Bohochic, como a sus empleados y terceros
contratistas, observar, acatar y cumplir las órdenes e instrucciones que de modo particular
imparta la organización respecto de los datos de carácter personal cuya divulgación o indebido
uso pueda generar un perjuicio a los titulares de la misma, en cumplimiento de los derechos

contenidos en el artículo 15 de la Constitución Política de Colombia, de la Ley 1581 de 2012 y
de la Ley 1273 de 2009.
1.2.4. Que las normas legales relacionadas con los datos personales establecen sanciones
económicas, comerciales y privativas de la libertad, por lo cual es fundamental la cooperación
entre Bohochic y los destinatarios de esta norma, con el fin de garantizar el cumplimiento de
los derechos a la intimidad, al habeas data y a la protección de datos personales, evitando así
perjuicios para cualquiera de las partes y/o terceros.
1.2.5. Que la regulación de las políticas de seguridad de la información, en particular respecto
de las relaciones laborales y prestación de servicios, debe incluir la protección de los datos de
carácter personal relacionados con el recurso humano, respetando el mínimo de derechos y
garantías de los empleados y prestadores de servicios, so pena de que las estipulaciones no
produzcan ningún efecto.
1.2.6. Que conforme a la legislación laboral surge para el empleador el deber de proteger a los
empleados, y para estos surge el deber de acatamiento y lealtad para con Bohochic de
manera que estos contribuyan en la gestión segura de la información de carácter personal.
1.2.7. Que esta norma complementa y no contraviene las obligaciones del empleado y
de Bohochic contenidas en la legislación laboral, ni en los contratos de trabajo vigentes, ni en
el Reglamento Interno de Trabajo.
1.2.8. Que es deber de los empleados para con Bohochic prestar toda su colaboración en caso
de siniestro o riesgo inminente que afecte o amenacen los activos de información,
especialmente los relacionados con la información de carácter personal que custodia Bohochic
, de manera que se preste la debida cooperación que la empresa requiera para investigar,
analizar y capturar evidencia de incidentes de seguridad que comprometan ésta información,
tengan o no vocación judicial, acatando para ello las instrucciones contenidas en el protocolo de
cadena de custodia de la organización.
Con base en las anteriores consideraciones que fundamentan la protección de datos
personales en Bohochic , se formulan las siguientes disposiciones para su tratamiento y que
son de obligatorio cumplimiento para los destinatarios de esta norma.
1.3. Identificación del Responsable del Tratamiento
BOHOCHIC S.A.S., en adelante Bohochic actuando como responsable del Tratamiento de la
información personal, y en cumplimiento del artículo 13 del Decreto 1377 de 2013, se permite
identificar a través de los siguientes datos:
Razón Social BOHOCHIC S.A.S.
NIT 901.441.132-4,
Dirección Cra. 21 # 166-53, Usaquén, Bogotá,
Correo electrónico Datos@freespiritcolombia.com
Teléfono (+057) 301 7516676
Página web Freespirit.com.co
1.4. Ámbito de Aplicación

Las disposiciones contenidas en esta Política, aplicaran al Tratamiento de Datos Personales
que sea efectuado por Bohochic en el territorio colombiano o cuando le sea aplicable la norma
al Responsable y/o Encargado ubicado fuera del territorio colombiano en virtud de tratados
internacionales o relaciones contractuales.
Los principios y disposiciones contenidos en esta Política se aplicarán a cualquier Base de
Datos personal creada, recolectada, almacenada que se encuentre en custodia de Bohochic
, bien sea en calidad de Responsable y/o como Encargado del Tratamiento.
Los términos y condiciones establecidos en la presente Política son aplicables para cualquier
registro de Datos Personales realizado en forma presencial, no presencial y/o virtual que
realice Bohochic . Sin embargo, Bohochic se reserva el derecho de delegar en un tercero tal
tratamiento exigiendo así mismo al Encargado, la atención e implementación de los
lineamientos y procedimientos idóneos para la protección de los Datos Personales y la estricta
confidencialidad de los mismos.
1.5. Definiciones
A continuación, se relaciona las siguientes definiciones para una comprensión adecuada de la
presente política:
1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo
el Tratamiento de sus datos personales a cargo de un tercero
2. Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable,
dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le
informa acerca de la existencia de la Política, Tratamiento de información que serán
aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se
pretende dar a los Datos Personales.
3. Base de Datos: Conjunto organizado de datos personales que sea objeto de
Tratamiento. Bohochic cuenta con Bases de Datos, a las cuales resultan aplicables las
disposiciones previstas por la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de
2013, y en consecuencia la presente política.
4. Base de datos automatizada: Es el conjunto organizado de datos de carácter personal
que son creados, tratados y/o almacenados a través de programas de ordenador o
software.
5. Base de datos no automatizada: Es el conjunto organizado de datos de carácter
personal que son creados, tratados y/o almacenados de forma manual, con ausencia de
programas de ordenador o software.
6. Cesión de datos: Tratamiento de datos que supone su revelación a una persona
diferente al titular del dato o distinta de quien estaba habilitado como cesionario.
7. Custodio de la base de datos: Es la persona física que tiene bajo su custodia la base de
datos personales al interior de Bohochic .
8. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables que se encuentren registrados en una
Base de Datos que los haga susceptibles de Tratamiento. Ciertos Datos Personales
hacen parte de los denominados Datos Públicos, dentro de los cuales se encuentran
aquellos incluidos en el Registro Civil.
9. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados
Datos Públicos, entre otros, los datos relativos al estado civil de las personas, a su

profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza,
los Datos Públicos pueden estar contenidos, entre otros, en registros públicos,
documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente
ejecutoriadas que no estén sometidas a reserva.
10. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del
Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o
que promueva intereses de cualquier partido político o que garanticen los derechos y
garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la
vida sexual, y los datos biométricos.
11. Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni
pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a
cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y
crediticio de actividad comercial o de servicios a que se refiere el Título IV de la Ley
estatutaria 1266 de 2008.
12. Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante
para el titular
13. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del
Responsable del Tratamiento.
14. Fuentes Accesibles al Público: Se refiere a aquellas bases contentivas de datos
personales cuya consulta puede ser realizada, por cualquier persona, que puede incluir
o no el pago de una contraprestación a cambio del servicio de acceso a tales datos.
Tienen esta condición de fuentes accesibles al público las guías telefónicas, los
directorios de la industria o sectoriales, entre otras, siempre y cuando la información se
limite a datos personales de carácter general o que contenga generalidades de ley.
Tendrán esta condición los medios de comunicación impresos, diario oficial y demás
medios de comunicación.
15. Hábeas Data: El derecho de Hábeas Data es aquel que tiene toda persona de conocer,
actualizar y rectificar la información que se haya recogido sobre ella en archivos y
bancos de datos de naturaleza pública o privada.
16. Procedimiento de análisis y creación de Información: Es la creación de información
respecto de una persona, a partir del análisis y tratamiento de los datos personales
recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de
comportamiento, que generan un valor agregado sobre la información obtenida del titular
de cada dato personal.
17. Procedimiento de Disociación: Hace referencia a todo tratamiento de datos
personales de modo que la información que se obtenga no pueda asociarse a persona
identificada o identificable.
18. Principios para el tratamiento de datos: Son las reglas fundamentales, de orden legal
y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de
los cuales se determinan acciones y criterios para dar solución a la posible colisión entre
el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho
a la información.
19. Propietario de la base de datos: Dentro de los procesos de negocios, giro ordinario de
operaciones y desarrollo del objeto social de Bohochic , es propietaria de la base de

datos el área que tiene bajo su responsabilidad el tratamiento de los mismos y su
gestión.
20. Política: Es la presente Política para el Tratamiento de Datos Personales de Bohochic .
21. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los
datos, decide sobre las Bases de Datos y/o el Tratamiento de los Datos Personales.
Para efectos de la presente Política, el Responsable del Tratamiento de los Datos
Personales es Bohochic .
22. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento, así como
las personas jurídicas cuando los datos de las personas naturales que la conforman se
vean involucrados.
23. Tratamiento de Datos: Cualquier operación o conjunto de operaciones y
procedimientos técnicos de carácter automatizado o no que se realizan sobre datos
personales, tales como la recolección, grabación, almacenamiento, conservación, uso,
circulación, modificación, bloqueo, cancelación, entre otros.
24. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o
Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la
información o los datos personales a un receptor, que a su vez es Responsable del
Tratamiento y se encuentra dentro o fuera del país.
25. Transmisión: Tratamiento de datos personales que implica la comunicación de los
mismos dentro o fuera del territorio de la República de Colombia cuando tenga por
objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
26. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, y
procedimientos técnicos de carácter automatizado o no, tales como la recolección,
grabación, almacenamiento, uso, conservación, circulación, modificación, bloqueo o
supresión, entre otros.
27. Usuario: El Usuario es la persona natural o jurídica que, en los términos y
circunstancias previstos en la Ley estatutaria 1266 de 2008, puede acceder a
información personal de uno o varios Titulares de la información suministrada por el
operador o por la fuente, o directamente por el titular de la información. El Usuario, en
cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los
deberes y responsabilidades previstos para garantizar la protección de los derechos del
titular de los datos. En el caso en que el Usuario a su vez entregue la información
directamente a un operador, aquella tendrá la doble condición de Usuario y fuente, y
asumirá los deberes y responsabilidades de ambos.
28. Violación de Datos Personales: Delito que se encuentra consagrado en la Ley 1273 de
2009, contenido en el Artículo 269 F del Código Penal Colombiano. El tipo penal es la el
siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero,
obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte,
divulgue, modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes”.
29. Violaciones de las Medidas de Seguridad de los Datos Personales: Será
considerado incidente de seguridad aquella situación que implique una violación de las
medidas de seguridad adoptadas por Bohochic para proteger los datos personales
entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier
otra conducta que constituya un tratamiento inadecuado de datos personales en

contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad
que comprometa los datos personales en poder de Bohochic deberá ser informado a la
autoridad de control en la materia.
1.6. Objetivo de la Política
La Política de Tratamiento de Datos Personales tiene como propósito establecer los criterios
bajo los cuales Bohochic realiza el tratamiento de la información personal de terceros que
reposa en sus bases de datos y en archivos físicos y electrónicos, en desarrollo de su objeto
social, bien sea en calidad de Responsable y/o Encargado del Tratamiento. Así mismo, detalla
los lineamientos generales corporativos que se tienen en cuenta con el fin de proteger los Datos
Personales de los Titulares, las finalidades de Tratamiento de la información, el área
responsable de atender las quejas y reclamos, y los procedimientos que se deben agotar para
conocer actualizar, rectificar y suprimir la información y los respectivos canales para que estos
puedan ejercer los derechos que les otorga la legislación vigente.
El Tratamiento se realizará en estricto cumplimiento del Marco legal aplicable, incluido sin
limitación la Ley 1581 de 2012, Decreto 1377 de 2013, el artículo 15 de la Constitución Política
de Colombia y normas aplicables en cuanto a la garantía de la intimidad de las personas, el
ejercicio del Habeas Data y protección de Datos Personales, en concordancia con el derecho a
la información, de manera que se regulen proporcionalmente estos derechos en el interior
de Bohochic y se pueda prevenir la vulneración de los mismos, permitiendo que los Titulares
de Datos Personales conozcan sus derechos y la forma de ejercerlos. Así, esta Política aplicará
a los Datos Personales que se encuentren registrados en las Bases de Datos de Bohochic
y que sean objeto de Tratamiento.
1.7. Alcance de la Política
La Política de Tratamiento de Datos Personales, establece los procedimientos que Bohochic
lleva a cabo para el tratamiento de los datos personales, mecanismos para ejercicio del derecho
de hábeas data, así como las finalidades, medidas de seguridad, y otros aspectos relacionados
con la protección de la información personal.
1.8. Titulares y destinatarios a quien va dirigida la Política
La presente Política de Tratamiento de Datos Personales, se encuentra dirigida a:
1. Empleados
2. Proveedores y Clientes Corporativos
3. Consumidor final y en general titulares de datos personales.
4. Encargados de la Información, los Directivos de Bohochic y en general, personal
designado que custodie y trate Bases de Datos
5. Cualquier titular de la información, ya sea actuando en su nombre, o como representante
legal, que, con ocasión, a las actividades que se encuentre vinculado con Bohochic , se
requiera de su información personal para el desarrollo de las mismas.
6. Contratistas y personas naturales o jurídicas que presten sus servicios a Bohochic bajo
cualquier tipo de modalidad contractual, en virtud de la cual se efectué cualquier
Tratamiento de Datos Personales.

7. Aquellas personas con las cuales exista una relación legal de orden estatutario o
contractual.
8. Todas aquellas personas con quienes Bohochic interactúe y para lo cual requiera el
Tratamiento de sus Datos Personales.
9. Las demás personas que establezca la ley.
1.9. Cumplimiento Normativo del Régimen de Protección de Datos Personales y Marco
Legal
La presente Política de Tratamiento de Datos Personales, da cumplimiento al Régimen de
Protección de Datos Personales en Colombia, en especial:
1. Constitución Política de Colombia (artículos 15 y 20)
2. Ley 1266 de 2008
3. Ley 1581 de 2012
4. Decreto Reglamentario 1727 de 2009
5. Decreto Reglamentario 2952 de 2010
6. Decreto Reglamentario 1377 de 2013
7. Decreto Reglamentario 886 de 2014
8. Decreto 1074 de 2015
9. Sentencia de la Corte Constitucional C-1011 de 2008
10. Sentencia de la Corte Constitucional C- 748 de 2011
11. Circular 002 de 2015 de la Superintendencia de Industria y Comercio.
1.10. Principios
1. Acceso y circulación restringida: Los Datos Personales, exceptuando de lo anterior
aquellos que sean públicos, no estarán disponibles en Internet u otros medios de
comunicación masiva, con excepción de aquellos eventos en los cuales sea
técnicamente controlable para brindar un conocimiento restringido a sus Titulares y
terceros autorizados.
2. Confidencialidad: Todas las personas que intervengan en el Tratamiento de los Datos
Personales se encuentran obligadas a garantizar la reserva de la información.
3. Finalidad: El Tratamiento de los Datos Personales recolectados por Bohochic , tendrá
por objeto una o algunas finalidades las cuales serán comunicadas de manera previa a
su titular.
4. Legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la ley
es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás
disposiciones que la desarrollen.
5. Libertad: El Tratamiento de Datos Personales deberá estar precedido de un
consentimiento previo, expreso e informado por el Titular, no siendo posible obtener o
divulgar los mismos sin previa Autorización, o en ausencia de mandato legal o judicial
que releve la Autorización previa del titular.
6. Pertinencia: Los Datos Personales que obtenga Bohochic deberán ser adecuados,
pertinentes y no excesivos, teniendo en cuenta la finalidad del Tratamiento y/o de la
Base de Datos. Se prohíbe la recolección de Datos Personales desproporcionados en
relación con la finalidad para la cual se obtienen.
7. Seguridad: Bohochic adoptará las medidas técnicas humanas y administrativas
necesarias para garantizar la seguridad de los datos objeto de Tratamiento por la

primera, en particular evitar su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
8. Temporalidad: La información del titular no podrá ser suministrada a Usuarios o
terceros cuando deje de servir a la finalidad para la cual se obtuvo los datos.
9. Transparencia: Bohochic garantizará el derecho de su titular de obtener información
acerca de la existencia de los Datos Personales que le conciernan.
10. Veracidad: Los Datos Personales que el titular suministre y a los cuales Bohochic dé
Tratamiento deberán ser veraces, completos, exactos, actualizados, comprobables y
comprensibles. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados
o que induzcan a error.
1.11. Tratamiento
1. En desarrollo de su objeto social y para facilitar el cumplimiento de obligaciones
contractuales o legales a su cargo, Bohochic o realiza directamente o a través de
contratistas o mandatarios, el Tratamiento de Datos Personales de empleados,
Tratamiento de datos de aspirantes a cargos, proveedores personas naturales,
contratistas personas naturales, pacientes, médicos y visitantes a las instalaciones
de Bohochic o páginas web.
2. Para realizar el Tratamiento, es necesaria la Autorización del Titular la cual podrá
constar i) por escrito, ii) de forma oral, o iii) mediante conducta inequívoca del Titular que
permita concluir de forma razonable que se otorgó la Autorización; en ningún caso el
silencio se asimilará a una conducta inequívoca.
3. Bohochic mantendrá registros o mecanismos necesarios para demostrar cuándo y
cómo se obtuvo la Autorización por parte de los Titulares de Datos Personales para
realizar el Tratamiento.
4. El Tratamiento se refiere a la recolección, almacenamiento, administración, utilización,
Transferencia, Transmisión y destrucción de Datos Personales. Bohochic puede
requerir transmitir o transferir dichos Datos Personales a sus compañías matrices, filiales
y/o subsidiarias extranjeras para el eventual manejo en Bases de Datos corporativas, lo
cual realizará en estricto cumplimiento de las obligaciones que la ley establece para ello.
5. Bohochic conservará los Datos Personales objeto de Tratamiento hasta por el término
máximo en que la ley le impone la obligación de guarda y custodia de archivos,
dependiendo de la naturaleza del dato y se obliga a mantenerla confidencialidad de los
Datos Personales y sólo divulgarlos en cumplimiento de solicitudes expresas de
entidades de vigilancia y control y autoridades o entidades que tengan la facultad legal
de solicitarla.
2. CAPÍTULO SEGUNDO - TRATAMIENTO DE LOS DATOS PERSONALES
2.1 Tipos de bases de datos Personales
Bohochic tiene diferentes tipos de bases de datos, las cuales se clasifican en las siguientes
categorías, a saber:

BOHOCHIC

No TIPO DE BASES
DE DATOS FINALIDAD

1 Servicio al Cliente /

Gestión de facturación de clientes en puntos de venta y domicilios, así como
envío de correos con fines comerciales, encuestas y en general estrategias de
mercadeo.

2 Proveedores Manejo de información de proveedores .
3 Recursos Humanos Gestión y Administración de Personal
2.2 Tipos de Datos Personales que recolecta Bohochic
Bohochic recolecta datos personales de carácter público, semiprivado, privado, sensible y de
Niños Niñas y Adolescentes. De acuerdo a la clasificación del Registro Nacional de Bases de
Datos Personales, las categorías de datos que tiene Bohochic , en sus bases de datos, son las
siguientes:
TIPOS DE DATOS
DATOS DE
IDENTIFICACIÓN

SERVICIO
AL
CLIENTE

PROVEEDORES RECURSOS
HUMANOS

Datos Generales de
Identificación de la
persona

O O O

Datos específicos de la
identificación de la
persona

O O

Datos biométricos de la
persona O
Datos de ubicación
relacionados con
actividad comercial o
profesional de las
personas

O O

Datos de ubicación
personal relacionados
con actividad privada
de las personas

O O

Datos relacionados con
la salud de la persona O
Datos financieros,
crediticios y/o derechos
de carácter económico
de las personas

O

Datos de información
tributaria de la persona O O O
Datos relacionados con O O

la actividad económica
de la persona
Datos relacionados con
la historia laboral de la
persona

O

Datos relacionados con
el nivel educativo,
capacitación y/o
historial académico de
la persona

O

Datos generales
relacionados con
afiliación y aportes al
sistema integral de
seguridad social

O

Datos de antecedentes
judiciales y/o
disciplinarios de las
personas

O

Datos personales de
acceso a sistemas de
información
2.2.1 Definición categoría de datos
1. DATOS DE IDENTIFICACIÓN
1. Datos Generales de Identificación de la persona: Nombres, apellido, tipo de
identificación, número de identificación, fecha y lugar de expedición, nombre,
estado civil, sexo, etc.
2. Datos específicos de la identificación de la persona: Firma, nacionalidad,
datos de familia, firma electrónica, otros documentos de identificación, lugar y
fecha de nacimiento, muerte, edad, etc.
3. Datos biométricos de la persona: Huella, ADN, iris, geometría facial o corporal,
fotografía videos, Datos de la descripción morfológica de la persona: Color
de piel, color de iris, color y tipo de cabello, señales particulares, estatura, peso,
complexión, formula dactiloscópica, voz, etc.

2. DATOS DE UBICACIÓN
1. Datos de ubicación relacionados con actividad comercial o profesional de
las personas: dirección, teléfono, correo electrónico
2. Datos de ubicación personal relacionados con actividad privada de las
personas: domicilio, teléfono, correo electrónico, etc.

3. DATOS SENSIBLES

Datos relacionados con el estado de salud de la persona que incluyan resultados de
pruebas, laboratorios, estudios, diagnósticos médicos, psicológicos, psiquiátricos,
medicamentos, tratamientos terapéuticos.
Son “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política,
las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que garanticen los
derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud,
a la vida sexual y los datos biométricos”.
1. Tratamiento de Datos Sensibles:

La Ley 1581 de 2012 prohíbe el Tratamiento de Datos Sensibles con excepción de los
siguientes casos:

1. Cuando el Titular otorga su consentimiento
2. El Tratamiento es necesario para salvaguardar el interés vital del Titular y
éste se encuentre física o jurídicamente incapacitado
3. El Tratamiento es efectuado en el curso de las actividades legítimas y con
las debidas garantías por parte de una fundación, ONG, asociación o
cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política,
filosófica, religiosa o sindical, siempre que se refieran exclusivamente a
sus miembros o a las personas que mantengan contactos regulares por
razón de su finalidad
4. El Tratamiento se refiera a datos que sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
5. El Tratamiento tenga una finalidad histórica, estadística o científica, en
este último caso deben adoptarse las medidas conducentes a la
supresión de identidad de los Titulares.
2. Autorización para Tratamiento de Datos Sensibles:

Cuando Bohochic solicite Autorización al titular respecto a datos de carácter sensible, le
informará al titular que, por tratarse de Datos Sensibles, no está obligado a autorizar su
Tratamiento. Bohochic informará al titular de forma explícita y previa, cuáles datos son
sensibles y cuál será la finalidad del Tratamiento que se les dará. Ninguna actividad realizada
por Bohochic podrá condicionarse a que el titular suministre Datos Personales sensibles.

3. Derechos de Titulares de Datos Sensibles:

Los derechos de los Titulares, el modo de otorgar la Autorización, su prueba y revocatoria
tendrán el mismo procedimiento establecido en la presente Política para el Tratamiento de
Datos Personales.

4. Datos Personales de los niños, niñas y adolescentes:

Aunque la Ley 1581 de 2012 prohíbe el Tratamiento de los Datos Personales de los niños,
niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, la Corte Constitucional

precisó que independientemente de la naturaleza del dato, se puede realizar el Tratamiento de
éstos “siempre y cuando el fin que se persiga con dicho Tratamiento responda al interés
superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus
derechos prevalentes”.
4. DATOS DE CONTENIDO SOCIOECONÓMICO
1. Datos relacionados con la historia laboral de la persona: experiencia laboral,
cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, etc.
2. Datos generales relacionados con afiliación y aportes al sistema integral de
seguridad social: EPS; IPS; ARL, fechas ingreso/retiro EPS, AFP, etc.

5. OTROS DATOS
Datos personales de acceso a sistemas de información: usuarios, IP, claves, perfiles, etc.
2.3 Tratamiento al que se someten los datos personales
Los datos personales que se obtienen están sometidos al siguiente tratamiento:
2.3.1 Recolección
El tratamiento de la información personal que realiza Bohochic se obtiene a través de
diferentes actividades relacionadas con su objeto social, y las obligaciones que tiene como
empleador. La información se solicita de manera directa al titular y en algunas ocasiones es
obtenida por parte de terceros, previa autorización del titular.
Los instrumentos que utiliza Bohochic para recolección de la información, cuentan con todos
los requisitos establecidos en la normatividad en materia de protección de datos personales, y
obedecen a los principios de libertad y finalidad, por lo que, en cada uno de ellos, se encuentra
incorporada la autorización para el tratamiento de los datos personales. Estos instrumentos son:
RECOLECCIÓN DE INFORMACIÓN PERSONAL DE BOHOCHIC
Áreas
Responsables Bases de Datos Instrumentos de recolección de información personal
Administración Administración Formato de Alta de Proveedores
Contratos de Arrendamiento

Recursos Humanos Recursos Humanos

Formato de Autorización en virtud del Contrato de Trabajo.
Contrato de Trabajo suscrito por el trabajador.
Formato de autorización para tratamiento de datos
sensibles para procesos de incapacidades y ARL
Hoja de Vida de los colaboradores

Selección Selección Autorización para el tratamiento de datos de correo

electrónico.
Formato de autorización para tratamiento de datos (
Magneto)
Hojas de vida de los colaboradores en digital, físico o vía

portales de de empleo.

Servicio al cliente /
Alianza

Servicio al cliente /
alianzas Página web (Formulario) Call Center

Gestión documental Gestión documental Formato de Alta de Proveedores y clientes Hojas de vida,

Contratos

Estas son las fuentes de recolección de información personal que cuentan con autorización del
titular de la información, si alguna área o responsable de un proceso genera un nuevo
instrumento, donde se capture información personal, deberá comunicar previamente al Área
que haga las veces de Oficial de Datos Personales.
2.3.2 Tratamiento de datos relacionados con las áreas de Recursos Humanos y Selección
1. Antes de la relación contractual
Bohochic tratará los datos personales de sus empleados, contratistas, así como respecto de
aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después
de la relación laboral y/o de servicios
Bohochic, una vez agote el proceso de selección, entregará a las personas no seleccionadas
los datos personales suministrados, salvo que los titulares de los datos, por escrito autoricen la
destrucción de los mismos, cuando el titular del dato no sea seleccionado. La información
obtenida por Bohochic respecto de quienes no fueron seleccionados, resultados de las
pruebas psicotécnicas y entrevistas, serán destruidos y/o eliminados de sus sistemas de
información, dando así cumplimiento al principio de finalidad.
Bohochic cuando contrate procesos de selección de personal con terceros regulará en los
contratos el tratamiento que se deberá dar a los datos personales entregados por los
interesados, así como la destinación de la información personal obtenida del respectivo
proceso.
Los datos personales e información obtenida del proceso de selección respecto del personal
seleccionado para laborar en Bohochic , serán almacenados en las carpetas personales
correspondientes, aplicando a esta información niveles y medidas de seguridad altas, en virtud
de la potencialidad de que tal información contenga datos de carácter sensible.
La finalidad de la entrega de los datos suministrados por los interesados en las vacantes
de Bohochic y la información personal obtenida del proceso de selección se limita a la
participación en el mismo; por tanto, su uso para fines diferentes está prohibido.
2. Tratamiento de datos durante la relación contractual.
Bohochic almacenará los datos personales e información personal obtenida del proceso de
selección de los empleados en carpetas identificadas con el nombre de cada uno de ellos.
Estas carpetas físicas o digitales solo serán accedidas y tratadas por las áreas
correspondientes (Recursos Humanos, Operaciones y Nómina), y con la finalidad de administrar
la relación contractual entre Bohochic y el empleado.

El uso de la información de los empleados para fines diferentes a la administración de la
relación contractual está prohibido en Bohochic .
El uso diferente de los datos e información personal de los empleados solo procederá por orden
de autoridad competente, siempre que en ella radique tal facultad. Corresponderá a la alta
dirección y a sus asesores, evaluar la competencia y eficacia de la orden de la autoridad
competente, con el fin de prevenir una cesión no autorizada de datos personales.
3. Tratamiento de datos después de terminada la relación contractual.
Terminada la relación laboral, cualquiera que fuere la causa, Bohochic procederá a almacenar
los datos personales obtenidos del proceso de selección y documentación generada en el
desarrollo de la relación laboral, en un archivo central físico, sometiendo tal información a
medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral
pueda contener datos sensibles.
Bohochic tiene prohibido ceder tal información a terceras partes, pues tal hecho puede
configurar una desviación en la finalidad para la cual fueron entregados los datos personales
por sus titulares. Lo anterior, salvo autorización previa y escrita que documente el
consentimiento por parte del titular del dato personal.
2.3.3 Canales
Bohochic utilizará para efectos de los usos y finalidades descritos en el numeral 2.3.8.
siguientes, los siguientes canales de contacto: i) Correo físico; ii) Correo electrónico; iii) Celular
o dispositivo móvil; iv) Vía mensajes de datos (SMS y/o MMS y similares) o vía Whatsapp; v)
Redes Sociales (Instagram, Facebook, TikTok, X, Messenger y similares); vi) Línea de atención
telefónica; vii) Portal web; viii) Cualquier otro canal físico o digital creado o por crear admitido
por la normatividad vigente.
2.3.4 Tratamiento de datos personales en procesos de contratación con terceros
Los terceros que, en procesos de contratación, alianzas, asesorías y/o acuerdos de cualquier
otro tipo o naturaleza con la organización, accedan, usen, traten y/o almacenen datos
personales de empleados de Bohochic de terceros relacionados con dichos procesos
contractuales, adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de
seguridad que le indique Bohochic según el tipo de dato de carácter personal tratado.
Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que
legitima la entrega de los datos personales. Bohochic verificará que los datos solicitados sean
necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento.
2.3.5 Tratamiento de datos personales de la comunidad en general.
La recolección de datos de personas físicas que Bohochic trate en desarrollo de acciones
relacionadas con la comunidad, o de cualquiera otra actividad, se sujetará a lo dispuesto en
esta norma. Para el efecto, previamente Bohochic informará y obtendrá la autorización de los
titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados
con estas actividades.

En cada uno de los casos antes descritos, las áreas de la organización que desarrollen los
procesos de negocios en los que se involucren datos de carácter personal, deberán considerar
en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y
hacer efectiva la norma aquí adoptada, además de prevenir posibles sanciones legales.
2.3.6 Otras fuentes de recolección de la información
1. Grabaciones: Bohochic recolecta datos personales a través de cámaras de seguridad,
para proteger y controlar el ingreso y salida de su personal y activos de sus
instalaciones, así como para fines de seguridad en los puntos de venta.
2. Cookies: Para facilitar el uso del sitio web utiliza "Cookies", que son pequeñas unidades
de información almacenada temporalmente en el disco duro del computador del titular,
útiles para navegar en el Sitio. La información contenida en las 'Cookies' sirve, para el
control de sesiones, en particular navegación mejorada y para obtener un alto
desempeño como usuario amigable de un sitio Web, y para almacenar información
personal relativa a identificación.
3. Aplicaciones: A través de las aplicaciones generadas por Bohochic, los titulares de la
información ingresan sus datos personales básicos, esto, con la finalidad de poder
acceder a las funciones que ofrece las aplicaciones
Tanto la captura de imágenes a través de cámaras de filmación, la captura de información a
través de la página web www.freespirit.com.co y las aplicaciones actuales y las que se generen,
se regirán por la presente política de protección de datos personales.
2.3.7 Almacenamiento
El almacenamiento de la información personal contenida en las bases de datos, se encuentra
en los servidores de Bohochic , y cuenta con todas las medidas de seguridad física, técnicas y
administrativas. Los sistemas de información, cuentan con controles de acceso, garantizando el
principio de acceso y circulación restringida.
En cuanto a imágenes y voz de los titulares, que se capturan a través de las cámaras de
seguridad, la duración del almacenamiento es de veinte (20) días calendario, tiempo en el cual,
es eliminada dicha información por capacidad de memoria.
2.3.8 Usos y finalidades de la Recolección de la Información
El uso y la finalidad de la información recogida y almacenada en las bases de datos, tiene
diferentes objetivos, entre ellos, se encuentran:
1. Gestión de estadísticas internas, atención al ciudadano/cliente (Gestión PQR)
2. Fidelización de clientes, Envío de comunicaciones.
3. Procedimientos administrativos, administración de sistemas de información, gestión de
claves, administración de usuarios, desarrollo operativo.
4. Realizar declaraciones tributarias o gestión de información tributaria y de recaudo.

5. Mantener el registro de información de proveedores en cumplimiento de su manual de
Sistema de Autogestión del Riesgo de Lavado de Activos, Financiación del Terrorismo y
Financiación de Armas de proliferación masiva.
6. Gestión de facturación, gestión contable, gestión de proveedores y contratistas, gestión
económica y contable, histórico de relaciones comerciales, requerimientos por
organismos de control.
7. El Tratamiento de Datos Personales de personas con vinculación laboral: Se requiere
durante el vínculo laboral y después de su terminación, y tiene como finalidad facilitar el
cumplimiento de obligaciones laborales a cargo de Bohochic tales como pagos de
nómina, capacitaciones, pagos y reportes al sistema general de seguridad social en
salud, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el
Titular de la información o por sus legitimarios, o por entidades del sistema general de
seguridad social en salud a los que el Titular esté o hubiere estado vinculado. Incluye así
mismo el tratamiento que clientes, proveedores, autoridades o terceros deban realizar
relacionados con el ejercicio del cargo del empleado, cuando es punto de contacto o
encargado de alguna gestión por parte de Bohochic dentro del ejercicio de su objeto
social.
8. Control de horario, formación de personal, gestión de personal, gestión de trabajo
temporal, prestaciones sociales, prevención de riesgos laborales, promoción y selección
de personal
9. El Tratamiento de Datos Personales de Proveedores y Contratistas: Que sean personas
naturales se requiere mientras persista la relación comercial e incluso después de
finalizada, para facilitar el cumplimiento de obligaciones contractuales a cargo
de Bohochic , como pagos de honorarios, reportes de pagos, reportes o interacciones
que por ley o por políticas internas tiene la obligación de realizar, atención de consultas,
peticiones, solicitudes, acciones y reclamos, hechas por el Titular de la información o por
sus legitimarios.
10. El Tratamiento de Datos Personales de visitantes a las instalaciones de Bohochic : Es
requerido para dar cumplimiento a los procesos internos en materia de seguridad
privada, control, registro y/o salida de personal, empleados, visitantes y en general de
todas las personas a las que se les permita la entrada, permanencia y salida de las
instalaciones de Bohochic .
11. Adecuada comunicación con los destinatarios, fidelización (acreditación y redención de
puntos), perfilamiento (conocimiento de sus gustos, hábitos de consumo y saldos),
análisis de características demográficas, y mercadeo.
12. Mejorar la atención, crear promociones, innovar y perfeccionar los productos y servicios
ofrecidos, y dar a conocer noticias de interés y novedades.
13. Utilizar como mecanismo de comunicación para enviar todo tipo de información aquí
mencionada al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de
datos, (SMS y/o MMS) o vía Whatsapp, Facebook, Messenger, o a través de cualquier
otro medio análogo y/o digital de comunicación creado o por crearse, y en general
cualquier medio de contacto que suministre el Titular.
14. Seguimiento y gestión de pedidos, así como gestión de pagos.
15. Tramite y respuestas a PQRS.
16. Gestionar tareas básicas de administración; informar por cualquiera de los medios
proporcionados al momento del suministro de la información, las promociones,
novedades, productos y servicios actuales y futuros relacionados con eventos,
concursos, actividades, entrega de premios, beneficios y productos adquiridos;

responder a solicitudes específicas de los clientes finales y otras finalidades comerciales
directa o indirectamente relacionadas con la actividad propia de Bohochic ,
promociones, novedades, productos y servicios promovidos directamente por los aliados
estratégicos
17. El Tratamiento de Datos Personales de aspirantes a cargos: Se requerirá durante los
procesos de selección que sean desarrollados por Bohochic , dentro de la información
será almacenada las pruebas psicotécnicas y entrevistas. El Tratamiento de los datos
podrá además ser utilizado para informarle al Titular de los datos respecto de nuevos
procesos de selección.
18. Desarrollo de programas de prevención y promoción de la salud y seguridad en el
trabajo con base en la información médica y de salud ocupacional desde el momento del
ingreso, así como durante la ejecución y culminación de la relación laboral.
19. Adecuada comunicación con los destinatarios, fidelización (acreditación y redención de
puntos), perfilamiento (conocimiento de sus gustos, hábitos de consumo y saldos),
análisis de características demográficas, y mercadeo.
20. Entregar la información recolectada a terceros con los que la empresa contrate el
almacenamiento y administración de los datos personales, bajo los estándares de
seguridad y confidencialidad a los cuales Bohochic está obligada según lo contenido en
las leyes pertinentes.
21. Realizar transferencia o transmisión de los datos personales a cualquier país o servidor
ubicado en Colombia o en otro país.
22. Realizar estrategias de mercado mediante el estudio del comportamiento del usuario
frente a las ofertas y con ello mejorar en su contenido, personalizando presentación y
servicio.
23. Presentar reportes ante las autoridades de inspección, vigilancia y control, y tramitar los
requerimientos realizados por entidades administrativas o judiciales.
24. Conservación de la información por los términos establecidos en la Ley, especialmente
el referente a la información de los libros y papeles del comerciante que deberá ser
almacenada por un período de diez (10) años, según lo dispone el artículo 28 de la Ley
962 de 2005.
25. Realizar seguimiento en tiempo real de los colaboradores de la Sociedad, que utilicen
los dispositivos electrónicos y las aplicaciones para control de entregas de domicilios de
la marca Bohochic .
2.3.9 Circulación
Bohochic no comparte y/o transmite los datos personales que recolecta con terceros, e
internamente ha dispuesto controles de acceso para el ingreso de sus empleados a los
sistemas de información de la empresa, exclusivamente a la información que de acuerdo al rol
y/o cargo debe conocer el empleado. De manera excepcional Bohochic transmite a Agencias
de Mercadeo, los datos de contacto de los clientes finales, para fines de mercadeo y
ofrecimiento de los productos y servicios asociados a la marca, garantizando en la transmisión,
medidas de seguridad y confidencialidad adecuadas para evitar perdida, uso no autorizado, o
fraudulento, así mismo, Bohochic tiene procedimientos establecidos, para que una vez
terminada la relación comercial con estos terceros, destruyan la información que se le transmitió
con ocasión a dicho contrato.
2.3.10 Supresión

La supresión de la información personal se realiza una vez ha cumplido la finalidad para la cual
se solicitaron los datos, o en los casos en los cuales el titular de la información solicite la
eliminación de la información, este caso procederá, siempre y cuando la ley lo autorice.
2.4 Autorización para el tratamiento de datos personales
Bohochic solicita de manera libre, previa, expresa y debidamente informada, la autorización
por parte de los titulares de los datos y para ello ha dispuesto mecanismos idóneos
garantizando para cada caso que sea posible verificar el otorgamiento de dicha autorización. La
misma, podrá constar en cualquier medio, bien sea un documento físico, electrónico o en
cualquier formato que garantice su posterior consulta a través de herramientas técnicas,
cumpliendo con los requisitos establecidos en la ley.
2.4.1 Autorización para el tratamiento de datos de Niños, Niñas y Adolescentes
Bohochic recolecta datos de menores de edad, en los siguientes casos:
Por parte del adulto responsable que es padre/madre y que son empleados de Bohochic , para
fines de afiliación a seguridad social.
El proceso de captura de información, se respeta el principio de libertad y finalidad, por lo que
siempre se le solicita al adulto responsable del menor, la autorización, libre, previa, expresa e
informada para la recolección del dato.
De todas formas, en los procesos de recolección, almacenamiento, circulación interna, y
supresión, se respeta y se cumple con los principios para el tratamiento de datos personales,
así como la Constitución Política, como norma suprema que garantiza los derechos
fundamentales de los menores, por sobre cualquier otra población.
2.5 Medidas de Protección
Bohochic tiene adoptado medidas técnicas, jurídicas, humanas y administrativas necesarias
para procurar la seguridad de los datos de carácter personal protegiendo la confidencialidad,
integridad, uso, acceso no autorizado y/o fraudulento. Así mismo, internamente Bohochic
ha implementado protocolos de seguridad de obligatorio cumplimiento para todo el personal con
acceso a datos de carácter personal y a los sistemas de información.
Las políticas internas de seguridad bajo las cuales se conserva la información del titular para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. La Política
de Seguridad Informática de Bohochic aprobada, establece políticas, procesos y controles
respecto a:
1. La seguridad organizacional, lógica, física y jurídica, relativas a la protección de la
información
2. Roles y Responsabilidades de la Estructura Organizacional de Seguridad de la
Información
3. Controles para el acceso de la información por parte de terceros.
4. Respuesta ante incidentes de seguridad
5. Protección contra virus
6. Capacitación a los usuarios en el manejo seguro de la información
7. Identificación del usuario y uso seguro de contraseñas

8. Seguridad perimetral controlada con un Firewall
9. Sistema de Detección de Intrusos y prevención de Fuga de Datos
Otras políticas que tiene implementado Bohochic para la protección de la información son:
1. Políticas de Tratamiento de la Información Personal.
2. Política de seguridad y privacidad de la información
3. Manuales internos de procedimiento para el tratamiento de información personales
4. Cláusulas de confidencialidad en los contratos de trabajo y de outsourcing
5. Autorizaciones para el tratamiento de datos en los formatos y espacios donde se capture
información personal.
2.6 Deberes de Bohochic
1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas
Data.
2. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la
respectiva Autorización otorgada por el Titular.
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la Autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del
Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información
suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado
del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con la Ley 1581 de 2012.
9. Permitir el acceso a la información únicamente a las personas que pueden tener acceso
a la misma.
10. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del Titular.
11. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581
de 2012 y en la presente Política.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentre en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria
y Comercio.
2.7 Deberes de los Encargados de la Información

Las empresas y/o personas externas a Bohochic , que en virtud de una relación comercial
realice el tratamiento de datos personales por cuenta de Bohochic s, deberá cumplir con los
siguientes deberes y adicionalmente con las que por Ley les sean aplicables:
1. Garantizar al titular el acceso, consulta, actualización, rectificación de sus datos
personales.
2. Solicitar y conservar copia de la respectiva autorización para el tratamiento de datos
personales informando la finalidad de la recolección, ya sea en los puntos de servicio
técnico y/o medios electrónicos y/o digitales.
3. Conservar la información bajo las condiciones de seguridad que impida la adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento
4. Realizar oportunamente la actualización, rectificación o supresión de los Datos en los
términos de la ley;
5. Actualizar la información reportada por el Responsable del Tratamiento dentro de los
cinco (5) días hábiles contados a partir de su recibo;
6. Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en esta Política y en la ley;
7. Registrar en la Base de Datos la leyenda "reclamo en trámite" en la forma en que se
regula en la Ley 1581 de 2012;
8. Insertar en la Base de Datos la leyenda "información en discusión judicial" una vez
notificado por parte de la autoridad competente sobre procesos judiciales relacionados
con el Dato Personal en proceso de discusión;
9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
10. Adoptar un manual interno de políticas y procedimientos que garanticen el cumplimiento
de la Ley 1581 de 2012, relativa a la protección de datos personales.
11. Permitir el acceso a la información únicamente a las personas que pueden tener acceso
a ella.
12. Cumplir con las obligaciones establecidas en el artículo 18 de la Ley 1581 de 2012, y
sus respectivos decretos reglamentarios, relativos a la protección de datos personales.
13. Por lo mínimo, una vez al año, deberá informar a Bohochic s sobre las medidas de
protección sobre la información personal que se la ha encargado.
14. Informar a Bohochic cuando se presenten violaciones a los códigos de seguridad y
existan riesgos en la administración de la información de los Titulares;
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria
y Comercio.
2.8 Casos en que Bohochic opere como Encargado de la Información
En los casos de que Bohochic opere como encargado de la información, los Responsables de
la información deberá solicitar y conservar la autorización del titular de la información, para el
tratamiento de los datos personales por parte de Bohochic , por lo que Bohochic presume que
el Responsable de la información, cuenta con las autorizaciones previas y expresas de los
titulares con quien tiene contacto, para hacer uso de sus datos personales y suministrará copia
de tales autorizaciones en caso de que Bohochic lo requiera.
2.9 Deberes comunes de responsables y encargados del tratamiento.

Además de los deberes antes descritos en cabeza de Bohochic y de cualquiera otra persona
que asuma su condición de responsable o encargado del tratamiento de las bases de datos de
propiedad de la organización, de manera complementaria asumirán los siguientes deberes
cualquiera que sea su condición:
1. Aplicar las medidas de seguridad conforme la clasificación de los datos personales que
trata Bohochic .
2. Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos
que contengan datos personales
3. Adoptar procedimientos de Respaldo o Back Up de las bases de datos que contienen
datos personales.
4. Auditar de forma periódica el cumplimiento de esta norma por parte de los destinatarios
de la misma.
5. Gestionar de manera segura las bases de datos que contengan datos personales.
6. Gestionar de manera segura el acceso a las bases de datos personales contenidos en
los sistemas de información, en los que actúe como responsable o encargado del
tratamiento.
7. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las
bases de datos que contengan datos personales.
8. Regular en los contratos con terceros el acceso a las bases que contengan datos de
carácter personal.
2.10 Deber de secreto y confidencialidad
Bohochic garantiza y exige a toda persona que intervenga en cualquier fase del tratamiento de
los datos de carácter personal privado, sensible o de menores, el secreto profesional, respecto
de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar
sus relaciones contractuales con la organización.
El incumplimiento del deber de secreto será sancionado de conformidad con lo previsto en el
Reglamento interno de trabajo y la legislación vigente.
3.CAPÍTULO TERCERO - DERECHOS QUE TIENEN LOS TITULARES DE LOS DATOS

PERSONALES
3.1 Derechos que le asiste como titular del dato.
El Derecho Fundamental de Hábeas Data, faculta al titular del dato solicitar el acceso,
actualización, rectificación y supresión de sus datos personales que se encuentra en posesión
de un tercero, a su vez, puede revocar la autorización que ha otorgado para el tratamiento. Si
un titular, considera que Bohochic tiene acceso a sus datos personales, esta persona puede en
todo momento solicitar la consulta de sus datos, o si considera que Bohochic está haciendo
mal uso de sus datos, puede realizar la respectiva reclamación.
Los Titulares de los datos de carácter personal que se encuentren registrados en Bases de
Datos de Bohochic cuentan con todos los derechos consagrados en la Constitución Política y
en la ley, a saber:
1. Derechos Constitucionales; El artículo 15 de la Constitución Política establece que:
Todas las personas tienen derecho a su intimidad personal y familiar y a su buen

nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen
derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre
ellas en bancos de datos y en archivos de entidades públicas y privadas. En la
recolección, Tratamiento y circulación de datos se respetarán la libertad y demás
garantías consagradas en la Constitución.
En consecuencia, Los Titulares podrán consultar la información de carácter personal que
repose en cualquier Base de Datos de Bohochic , para lo cual Bohochic establecerá las
medidas de autenticación que permitan identificar de manera segura al titular de los Datos
Personales que realiza la consulta o petición.
2. Derechos Legales: Los Titulares de los Datos Personales tienen los siguientes
derechos:
1. Actualización y conocimiento de sus datos personales en caso de encontrarse
fraccionados, incompletos, entre otros.
2. Rectificación y/o corrección de sus datos personales en caso de que se
encuentren errados, parciales o induzcan a error. Este derecho se podrá ejercer,
entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que
induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no
haya sido autorizado.
3. Solicitar prueba de la Autorización otorgada salvo cuando no sea requerido de
conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
4. Ser informado previa solicitud, respecto del uso que les ha dado a sus Datos
Personales.
5. Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la ley y en esta Política.
6. Supresión de sus datos personales de las bases de datos. Se seguirá
conservando la información para los fines determinados por la ley.
7. Revocación de la autorización del tratamiento de sus datos personales, siempre
y cuando no genere incumplimiento por parte de Bohochic con otras
obligaciones legales, relativas a la permanencia del dato y siempre que en el
Tratamiento no se respeten los principios, derechos y garantías constitucionales
y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de
Industria y Comercio haya determinado que en el Tratamiento el Responsable o
Encargado han incurrido en conductas contrarias a la Constitución y la ley.
8. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de
Tratamiento.

3. Bohochic suministrará la información de carácter personal que repose en cualquiera de
sus Bases de Datos a las siguientes personas:
1. A los Titulares de, sus causahabientes (cuando aquellos falten) o sus
representantes legales.
2. A las entidades públicas o administrativas en ejercicio de sus funciones legales o
por orden judicial.
3. A los terceros autorizados por el Titular o por la ley.

3.2 Procedimiento para que el titular de la información pueda ejercer sus derechos

3.2.1 Solicitud
La solicitud de ejercicio de cualquiera de los derechos anteriormente mencionados contendrá la
siguiente información:
1. Nombre e identificación del Titular del Dato Personal, y de sus representantes, de ser el
caso.
2. Petición concreta y precisa de información, acceso, actualización, rectificación,
cancelación, oposición o revocatoria del consentimiento.
3. Dirección física y/o electrónica para notificaciones.
4. Documentos que soportan la solicitud, si a ello hay lugar.
3.2.2 Procedimiento para rectificación y actualización de datos:
Bohochic tiene la obligación de rectificar y actualizar a solicitud del Titular, la información de
éste que resulte incompleta o inexacta. La solicitud podrá ser realizada por los Titulares, o sus
causahabientes, o sus representantes legales previa acreditación de su identidad y de la
calidad en la que actúa.
Al respecto se tendrá en cuenta lo siguiente:
1. En las solicitudes de rectificación y actualización de Datos Personales el Titular debe
indicar las correcciones a realizar y aportar la documentación que avale su petición.
2. Bohochic tendrá la plena libertad de habilitar mecanismos que le faciliten el ejercicio de
este derecho, siempre y cuando estos beneficien al titular. En consecuencia, se podrán
habilitar medios electrónicos u otros que considere pertinentes.
3. Bohochic podrá establecer formularios, sistemas y otros métodos simplificados, mismos
que deben ser informados en la política de privacidad y que se pondrán a disposición de
los interesados en la página web.
4. Los términos para dar respuesta a estos requerimientos de rectificación y actualización
de datos son los mismos establecidos en la presente Política para consultas.
3.2.3 Consultas
A través del mecanismo de la consulta, el titular del dato o sus causahabientes, podrán solicitar
a Bohochic , acceso a su información personal que reposa en las bases de datos.
La consulta será atendida a través de: i) Datos@freespiritcolombia.com Dicha consulta será
atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo
de la misma. En caso de no ser posible dar respuesta a la consulta dentro del término
referenciado, se le informará, los motivos de la demora y se le dará respuesta, máximo cinco (5)
días hábiles siguientes al vencimiento del primer término.
3.2.4 Reclamos
A través del mecanismo de reclamo, el titular del dato o su causahabiente, podrán reclamar
a Bohochic , alguna inconformidad que tenga sobre el uso que se le está dando a sus datos,
cuando consideren que la información contenida en una Base de Datos debe ser corregida,
actualizada o suprimida, o considere que Bohochic ha incumplido sus deberes, lo cual podrán

realizar a través de la presentación de un reclamo el cual será tramitado bajo las siguientes
reglas:
1. El reclamo se formulará mediante solicitud a través de:
Datos@freespiritcolombia.com Para el efecto deberá presentar los documentos que
acreditan su identidad, indicando su nombre y domicilio, describiendo de manera clara y
precisa los hechos que dan lugar al reclamo.
2. El reclamo será atendido en un término máximo de (15) quince días hábiles contados a
partir del día siguiente a la fecha de su recibo. En caso de no ser posible atender el
reclamo dentro de dicho término se le informará, los motivos de la demora y se le dará
respuesta, máximo (8) ocho días hábiles siguientes al vencimiento del primer término.
3. En caso de que el reclamo se encuentre incompleto, se le requerirá, dentro de los cinco
(5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos
dos (2) meses desde la fecha del requerimiento, sin que presente la información
requerida, se entenderá que ha desistido del reclamo.
4. En caso de que Bohochic no sea competente para resolver el reclamo, dará traslado a
quien corresponda en un término máximo de dos (2) días hábiles e informará de la
situación al titular.
5. Cuando los reclamos tengan por objeto la rectificación o actualización, el Titular deberá
indicar las correcciones a realizar y suministrar la documentación que avale su petición.
6. En caso que el reclamo se refiera a supresión total o parcial de la
información, Bohochic deberá proceder a la eliminación de la misma. No
obstante, Bohochic podrá negarse a hacerlo cuando el Titular tenga un deber legal o
contractual de permanecer en la Base de Datos. En el caso en que Bohochic no elimine
los datos dentro de los términos anteriormente establecidos, el Titular tendrá derecho de
solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la
Autorización y/o la supresión de los Datos Personales.
7. El Titular o causahabiente podrá elevar queja ante la Superintendencia de Industria y
Comercio, sólo cuando haya agotado el trámite de consulta o reclamo ante Bohochic .
3.2.5 Supresión de datos:
El Titular tiene el derecho, en todo momento a solicitar a Bohochic , la supresión (eliminación)
de sus Datos Personales cuando:
1. Considere que los mismos no están siendo tratados conforme a los principios, deberes y
obligaciones previstas en la normatividad vigente.
2. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron
recabados.
3. Se haya superado el periodo necesario para el cumplimiento de los fines para los que
fueron recabados.
4. Esta supresión implica la eliminación total o parcial de la información personal de
acuerdo con lo solicitado por el titular de los registros, archivos, Bases de Datos o
Tratamientos realizados por Bohochic .
El derecho de supresión no es absoluto y Bohochic podrá negar el ejercicio del mismo cuando:
1. El titular tenga un deber legal o contractual de permanecer en la Base de Datos.
2. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a
obligaciones fiscales, la investigación y persecución de delitos o la actualización de
sanciones administrativas.

3. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular;
para realizar una acción en función del interés público, o para cumplir con una obligación
legalmente adquirida por el titular.
3.3 Personas facultadas para realizar una consulta o reclamo
Las personas facultadas para solicitar una consulta a Bohochic , son las siguientes:
1. Los empleados
2. Los contratistas y proveedores
3. Los consumidores finales
4. Clientes corporativos
5. A los terceros autorizados por el Titular o por la Ley
6. En general, a cualquier titular de la información personal que sus datos, reposen en las
bases de datos de Bohochic .
Estos casos, son meramente ejemplificativos y no son exclusivos, ni excluyentes.
3.3.1 Información que debe acreditar el titular del dato
Para efectos de consulta y reclamos, el titular del dato debe acreditar sus datos de identificación
como:
1. Nombres completos y apellidos
2. Tipo y número de identificación
3. Dirección de domicilio
4. Teléfono de contacto
5. Correo electrónico
6. Brindar la información necesaria para tramitar su solicitud
En caso de que sea un reclamo, debe adjuntar los documentos que desea valer, soportar o
probar dicha solicitud. En caso de que sea un menor, deberá realizarlo con el adulto
responsable dicha solicitud, sin que en ningún momento se le niegue el ejercicio de sus
derechos.
3.4 Solicitud de imágenes y videos
En caso de que el titular de la información solicite acceso de imágenes y/o videos donde se
capture su información, deberá seguir el siguiente procedimiento:
1. Indicar los hechos de la solicitud, estableciendo fecha y hora.
2. Justificar la necesidad de la solicitud.
3. Aportar los documentos que permitan justificar que el titular es la persona autorizada o
facultada para realizar la solicitud. En caso de que el interesado sea un tercero, deberá
aportar el documento de autorización para el acceso a esta información por parte del
titular del dato.
4. En el evento en que la solicitud verse sobre videos captados por nuestro sistema de
videovigilancia, en los cuales sean visibles personas distintas a quien está realizando la
solicitud, estos sólo podrán ser entregados cuando medie orden de autoridad
competente.
3.4.1 Procedimiento para trámites por solicitud de imágenes y videos
Para que proceda el trámite, Bohochic :

1. Verificará que la información aún se encuentre almacenada en sus servidores, de
acuerdo con lo establecido en el numeral 2.3.3 de la presente política.
2. Revisará dicha solicitud, y verificará si es procedente, revisando que no afecte el
derecho a la intimidad, y otros derechos fundamentales de terceras personas, diferentes
al titular de la información que se encuentren en dichas imágenes y/o videos.
3. Citará al titular de la información en sus instalaciones para que pueda acceder a la
información que requiera, en caso de que no afecte derechos de terceras personas.
4. En el evento en que la solicitud verse sobre videos captados por nuestro sistema de
videovigilancia en los cuales sean visibles personas distintas a quien está realizando la
solicitud, estos sólo podrán ser entregados cuando medie orden de autoridad
competente.
3.5 Canales habilitados para el ejercicio de los Derechos de Habeas Data
Bohochic tiene habilitado los siguientes canales para que los titulares ejerzan su derecho de
Hábeas Data:
1. Portal de servicio al cliente: Datos@freespiritcolombia.com;
clientes@freespiritcolombia.com
2. Para colaboradores de Bohochic a través : Datos@freespiritcolombia.com
3. Para proveedores a través del : Datos@freespiritcolombia.com
Estos son los canales habilitados por Bohochic , para recibir y tramitar las peticiones,
consultas, quejas y reclamos de los titulares de la información para garantizar el ejercicio de su
derecho de habeas data y la protección de sus datos personales.
En el evento en que cualquier áreas o encargados de la información de la compañía reciba una
petición, consulta, queja o reclamo por parte de un titular de la información, este deberá
informar al titular del canal establecido para su presentación, igualmente informará al área de
novedades de datos personales sobre la solicitud formulada. En ningún caso se podrá dejar sin
respuesta al titular de la información
El titular debe acreditar y aportar la información que se referencia en el punto 3.3.1 de la
presente política.
3.6 Responsable del cumplimiento de la Política de Protección de Datos Personales
Las áreas de TI, Auditoría y Jurídica son los responsables del efectivo cumplimiento de la
Política, así como de las consultas y reclamos relacionados con la protección de datos
personales de los titulares.
En todo caso, se podrá requerir a otra área de Bohochic en el marco del comité para efectos
de verificar el cumplimiento de la normatividad relativa a protección de datos personales
En caso de cualquier duda respecto a esta política, puede acudir a
: Datos@freespiritcolombia.com
3.7 Entrega de datos personales a autoridades
Cuando las autoridades de la República de Colombia o de otros países soliciten a Bohochic el
cualquiera de sus Bases de Datos, se verificará la legalidad de la petición, la pertinencia de los

datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la
entrega de la información personal solicitada previendo que la misma cumpla con todos sus
atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre
estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad
para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal,
sobre las medidas de seguridad que aplican a los Datos Personales entregados y los riesgos
que conllevan su indebido uso e inadecuado.
3.8 Protección de datos en los contratos
En los contratos laborales, Bohochic ha incluido cláusulas con el fin de autorizar de manera
previa y general el tratamiento de datos personales relacionados con la ejecución del contrato,
lo que incluye la autorización de recolectar, modificar o corregir, en momentos futuros, datos
personales del Titular correspondientes a personas naturales.
También ha incluido la autorización para que algunos de los datos personales, en caso dado,
puedan ser entregados o cedidos a terceros con los cuales Bohochic tenga contratos de
prestación de servicios, para la realización de tareas terceras. En estas cláusulas, se hace
mención del presente Manual y de su ubicación en el sitio web institucional, para su debida
consulta.
En los contratos de prestación de servicios externos, cuando el contratista requiera de datos
personales, Bohochic le suministrará dicha información siempre y cuando exista una
autorización previa y expresa del Titular de los datos personales para esta transferencia,
quedando excluida de esta autorización, los datos personales de naturaleza pública definido en
el numeral 2° del artículo 3° del Decreto Reglamentario 1377 de 2013 y los contenidos en los
registros públicos. Dado que, en estos casos, los terceros son Encargados del tratamiento de
datos y sus contratos incluirán cláusulas que precisan los fines y los tratamientos autorizados
por Bohochic y delimitan de manera precisa el uso que estos terceros le pueden dar a
aquellos, así como las obligaciones y deberes establecidos en la Ley 1581 de 2012 y el Decreto
Reglamentario 1377 de 2013, incluyendo las medidas de seguridad necesarias que garanticen
en todo momento la confidencialidad, integridad y disponibilidad de la información de carácter
personal encargada para su tratamiento.
Por su parte, Bohochic al momento de recibir datos de terceros y actuar como Encargada del
tratamiento de datos de carácter personal, verifica que la finalidad, o finalidades, de los
tratamientos autorizados por el titular o permitidos por causas legales, contractuales o
jurisprudenciales se encuentran vigentes y que el contenido de la finalidad esté relacionada con
la causa por la cual se va a recibir dicha información personal de parte del tercero, pues solo de
este modo estará facultado para recibir y tratar dichos datos personales.
3.9 Transferencia y transmisión de datos a terceros países
1. La Transferencia de datos tiene lugar cuando Bohochic como Responsable y/o
Encargado del Tratamiento de Datos Personales, envía la información o los Datos
Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra
dentro o fuera del país.

2. La Transmisión de Datos Personales por su parte implica la comunicación de los
mismos dentro o fuera del territorio de la República de Colombia y tiene por objeto la
realización de un Tratamiento por el Encargado por cuenta del Responsable.
3. En concordancia con el artículo 26 de la Ley 1581 de 2012, se prohíbe la Transferencia
de Datos Personales de cualquier tipo a países que no proporcionen niveles adecuados
de protección de datos o estos sean inferiores a los exigidos por la Ley 1581 de 2012.
4. La Superintendencia de Industria y Comercio en Circular Externa 002 de 2018 lista los
considerados como aquellos con nivel adecuado de protección, a quienes en
consecuencia, Bohochic podrá realizar Transferencia de datos a los siguientes países,
y aquellos que en un futuro sean incluidos o listados por al Superintendencia de
Industria y Comercio.
5. En caso de que Bohochic requiera hacer Transmisión de datos a otros países
diferentes a los mencionados en la referida Circular, validará que cuentan con nivel
adecuado de protección. En caso de que la validación no sea positiva y aun así se
requiera la Transmisión, Bohochic deberá solicitar a la Superintendencia de Industria y
Comercio que haga una declaración de conformidad. Por otra parte, en caso de que los
consentimientos dados por los Titulares no tengan Autorización para transmitir sus
datos, Bohochic garantizará que se suscribirá un Contrato de Transmisión de Datos
Personales.
6. La prohibición de Transferencia de datos no regirá cuando se trate de:
1. Información respecto de la cual el Titular haya otorgado su Autorización expresa
e inequívoca para la Transferencia.
2. Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del
Titular por razones de salud o higiene pública.
3. Transferencias bancarias o bursátiles, conforme a la legislación que les resulte
aplicable.
4. Transferencias acordadas en el marco de tratados internacionales en los cuales
la República de Colombia sea parte, con fundamento en el principio de
reciprocidad.
5. Transferencias necesarias para la ejecución de un contrato entre el Titular y el
Responsable del Tratamiento, o para la ejecución de medidas precontractuales
siempre y cuando se cuente con la Autorización del Titular.
6. Transferencias legalmente exigidas para la salvaguardia del interés público, o
para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
7. Bohochic solicitará Autorización expresa a los Titulares para realizar la Transferencia y
Transmisión de la información, lo anterior teniendo en cuenta los requerimientos legales
aplicables, en desarrollo de relaciones entre Bohochic y su matriz.
8. Bohochic adoptara las medidas que considere pertinentes y necesarias para que los
terceros a los que les realice la Transferencia y Transmisión de los Datos Personales
conozcan y se comprometan a observar la presente Política.
3.10 Temporalidad de los datos
Bohochic realizará el tratamiento de datos durante el tiempo razonable y necesario en
cumplimiento de los fines que justifican el mismo, y conservará los datos por el plazo máximo
que la ley establezca para ello. Vencido el plazo que sea mayor, Bohochic procederá a la
supresión de los Datos Personales, documentando tal procedimiento en la forma establecida en
la ley. No obstante lo anterior, los Datos Personales deberán ser conservados por Bohochic
cuando así se requiera para el cumplimiento de una obligación legal o contractual.

3.11 Medidas De Seguridad
Bohochic en calidad de Responsable o Encargado del Tratamiento de Datos Personales,
según sea el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas
que resulten pertinentes para garantizar los atributos de integridad, autenticidad y confiabilidad
de los Datos Personales y la seguridad de sus Bases de Datos, evitando con ello su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Respecto de las Bases de Datos que se encuentran en medios electrónicos, Bohochic emplea
métodos de cifrado con los cuales se logra garantizar en mayor medida la privacidad e
integridad de los Datos. Adicionalmente, como medida de precaución complementaria, todos los
Datos Personales se conservan en servidores de Bohochic protegidos por altos estándares de
seguridad informática, entre otros, dominios privados de red, puertos de acceso bloqueados y
alertas en caso de acceso a estos por personas no autorizadas.
1. Controles de seguridad en el Tratamiento de Datos Personales:
Bohochic aplica estrictos controles de seguridad durante el Tratamiento que se encuentran en
sus Bases de Datos, entre otros Bohochic mantiene y emplea:

1. Procedimientos de asignación de responsabilidades y autorizaciones para el
Tratamiento de los Datos Personales recolectados, sujetos a las finalidades del
Tratamiento a efectuar en cada caso particular.
2. Mecanismos de seguridad para el Tratamiento de los Datos Personales que
encargue a terceros, los cuales garantizan que dicha información será procesada
de conformidad con los principios y estipulaciones señalados en la presente
Política y en la ley aplicable.
3. Herramientas de gestión de riesgos para el Tratamiento de los Datos Personales
y un sistema general de gestión de seguridad de la información con los cuales
procura y mantiene bajo estricto control de seguridad la información recopilada
en sus Bases de Datos.
4. Controles se seguridad, implementados por el área de Recursos Humanos, para
el Tratamiento de los Datos Personales requeridos antes de efectuarse una
vinculación laboral y una vez finalizado el contrato laboral respectivo.
5. Controles de acceso a la información personal que se encuentra en sus Bases
de Datos, aplicables incluso cuando el acceso se efectúa de manera
remota. Bohochic aplica controles de acceso más estrictos en las Bases de
Datos que contienen información personal sensible.
6. Así mismo, de manera periódica, Bohochic realiza copias de respaldo y
recuperación de la información personal que se encuentra en sus Bases de
Datos.
7. Finalmente, en cuanto al procesamiento de la información personal, Bohochic
implementa en las diferentes etapas de vida del Dato un correcto Tratamiento a
estos desde su recolección, el cual incluye: (i) validación por parte del Titular de
Datos de entrada y procesamiento de la información personal, la cual se obtiene
con su firma o aceptación tácita una vez la información ha sido recolectada; (ii)
validación de Datos de salida, mediante los controles de seguridad necesarios;
(iii) aplicación de medidas de seguridad para el intercambio físico y electrónico

de Datos, y para el transporte y almacenamiento de la información personal; y
(iv) implementación de controles y procesos para la disposición final de la
información personal (supresión, archivo, destrucción, etc.).

2. Gestión de incidentes de seguridad:
Bohochic cuenta con mecanismos y procedimientos para la gestión de incidentes de seguridad
de la información. En estos se establecen procedimientos para mejorar la seguridad de la
información personal a partir de los incidentes o vulnerabilidades detectados.
3. Auditorias de seguridad de la información personal:
Bohochic tiene incluido dentro de su proceso de auditoría, el monitoreo de los controles de la
seguridad de la información personal que se encuentra en sus Bases de Datos.
3.12 Procedimientos y sanciones
Bohochic comunica a los destinatarios de la presente Política acerca del régimen de sanciones
previsto por la Ley 1581 de 2012 en su Artículo 23, en el cual se materializan los riesgos que se
asume por un indebido Tratamiento de Datos Personales:
“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los
Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:
Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios
mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas
podrán ser sucesivas mientras subsista el incumplimiento que las originó.
Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6)
meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el
término de suspensión sin que se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio.
Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.”
1. La notificación de cualquier investigación por parte de cualquier autoridad, relacionado
con el Tratamiento de Datos Personales, deberá ser comunicada de manera inmediata
al área jurídica de Bohochic , con el fin de que Bohochic pueda tomar las medidas
tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones
previstas en la legislación colombiana, en particular las consignadas en el Título VI,
Capítulo 3 de la Ley 1581 de 2012 antes descritas.
2. Teniendo en cuenta los riesgos que asume Bohochic bien sea en su calidad de
Eesponsable y/o Encargado del Tratamiento de los Datos Personales, el incumplimiento
de esta norma por parte de sus destinatarios, se considera una falta grave y dará lugar a
la terminación del contrato respectivo sin perjuicio de las demás acciones que
legalmente procedan.
3.13 Período de vigencia de las bases de datos
Bohochic realizará el Tratamiento durante el tiempo razonable y necesario en cumplimiento de
los fines que justifican el mismo, y conservará los datos por el plazo máximo que la ley
establezca para ello. Vencido el plazo que sea mayor, Bohochic procederá a la supresión de
los Datos Personales, documentando tal procedimiento en la forma establecida en la ley. No

obstante, lo anterior, los Datos Personales deberán ser conservados por Bohochic cuando así
se requiera para el cumplimiento de una obligación legal o contractual.
3.14 Registro Nacional de Bases de Datos
Bohochic está dando cumplimiento a la obligación legal que le asiste de realizar el registro
nacional de Bases de Datos de las cuales es Responsable, lo cual puede evidenciarse con una
simple consulta en el sitio web de la Superintendencia de Industria y Comercio.
Así mismo, Bohochic se compromete a registrar cualquier Base de Datos nueva dentro del
término legal, y a cumplir las obligaciones de actualización de información en la forma
establecida por la normatividad vigente.
3.15 Aviso de privacidad
En cumplimiento de lo dispuesto en la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013,
BOHOCHIC S.A.S., sociedad legalmente constituida de conformidad con la legislación
colombiana, e identificada con el Nit. 901.441.132-4, , con domicilio principal en la ciudad de
Bogotá D.C., según certificado de existencia y representación legal expedido por la Cámara de
Comercio de Bogotá, informa a sus grupos de interés:
1. Que el Tratamiento de Datos Personales bajo su custodia se realiza con sujeción a lo
dispuesto en el marco jurídico indicado en la presente Política.
2. Que para efectos de la implementación de esta Política Bohochic de forma directa o
indirecta, se dirige a los Titulares de los Datos Personales cuya Autorización se requiera
a la luz del marco jurídico indicado, para que autoricen el tratamiento y circulación,
conforme los datos de contacto suministrados por ellos.
3. Que la protección de Datos Personales de los Titulares que conforman nuestros grupos
de interés es un compromiso de gran importancia en el marco de la relación de negocios
y/o confianza existente con ellos.
4. Que los Titulares de los Datos Personales pueden autorizar el Tratamiento y circulación,
conocer, actualizar o rectificar su información a través de los siguientes medios:
Datos@freespiritcolombia.com

. CAPÍTULO CUARTO - DISPOSICIONES FINALES

4.1 Medidas permanentes
En el tratamiento de datos personales, Bohochic de manera permanente, verificará en sus
procesos, protocolos, procedimientos y políticas, que se garantice el derecho de hábeas data a
los titulares de la información y que se obtenga con los requisitos de ley, la autorización del
titular para el tratamiento de los datos personales. Si alguna área y/o proceso, establece otra
fuente de recolección de información personal, diferentes a las mencionadas en el punto 2.3.1,
deberá informar previamente al Comité de Datos Personales.
4.2 Vinculatoriedad de la Política
Cualquier titular de la información que tenga alguna relación con Bohochic , deberá acatar la
presente política.
4.3 Manual interno de Políticas y Procedimientos para el Tratamiento de Datos
Personales

La presente política de tratamiento de datos personales, se articula con el Manual interno de
Políticas y Procedimientos para el tratamiento de datos personales, el cual, establece los
criterios, requisitos y procedimientos para que se haga efectiva la presente política.
4.4 Fecha de Aprobación de la Política y Entrada en vigencia
Esta política entrará en vigencia a partir del 2 de febrero de 2025 y actualiza las versiones
anteriores

Representante Legal
BOHOCHIC S.A.S