Política de Protección de Datos Personales

1. Objetivo

Esta Política de Protección de Datos Personales (en adelante la "Política") establece los criterios para la recolección, almacenamiento, uso, circulación y supresión de los datos personales recolectados y tratados por Arrendati, marca operada por Pagui Colombia S.A.S. (en adelante "Pagui"), en el desarrollo de sus actividades comerciales y operativas.

2. Alcance

Esta Política aplica para toda la información personal registrada en las bases de datos de Pagui, quien actúa en calidad de Responsable del tratamiento de datos personales.

Pagui podrá actuar también como Encargado del tratamiento cuando así lo requiera en el giro ordinario de sus negocios. Para el efecto, tratará los datos personales bajo las finalidades que le sean encargadas por el Responsable de la base de datos recibida y dará cumplimiento a las obligaciones que le correspondan conforme el marco normativo aplicable.

3. Responsable del tratamiento

Pagui Colombia S.A.S. sociedad comercial legalmente constituida, identificada con el NIT 901.876.099-6, con domicilio principal en la Carrera 82 C No. 35A -105 de la ciudad de Medellín, República de Colombia. Página www.pagui.co, teléfono 311-790-16-56, correo electrónico hola@pagui.co.

4. Marco legal

La Política fue elaborada dando estricto cumplimiento a todo lo dispuesto por la normatividad vigente sobre la materia, de esta manera, el presente documento cumple lo dispuesto por los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013 y las demás normas que modifiquen, regulen o adicionen en materia de Protección de Datos Personales.

5. Principios

En virtud de lo dispuesto por la normatividad vigente, Pagui ha incorporado a la Política, los principios generales relativos al tratamiento de datos personales. De esta manera, estos principios ostentan una aplicación general que abarca de manera transversal todo el contenido de la Política. Dichos principios fundamentales son tomados del artículo 4° de la Ley 1581 de 2012.

6. Compromisos de Pagui en el tratamiento de datos personales

  • Los datos deben manejarse y protegerse de acuerdo con sus requisitos de clasificación y siguiendo los estándares de cifrados aprobados, si corresponde.
  • Siempre que sea posible, almacenará datos de la misma clasificación en un repositorio de datos determinado y evitará mezclar datos confidenciales y no confidenciales en el mismo repositorio.
  • Los controles de seguridad, incluyen autenticación, autorización, cifrado de datos y auditoría.
  • Los empleados no tendrán acceso administrativo directo a los datos de producción durante las operaciones comerciales normales. Las excepciones incluyen operaciones de emergencia como análisis forenses y recuperación manual ante desastres.
  • Todos los sistemas de producción deben deshabilitar los servicios que no sean necesarios para lograr el propósito comercial o la función del sistema.
  • Todo acceso a los sistemas de producción debe registrarse.
  • Todos los sistemas de producción deben tener habilitado el monitoreo de seguridad, incluido el monitoreo de actividad e integridad de archivos, escaneo de vulnerabilidades y/o detección de malware, según corresponda.

7. Deberes de Pagui como Responsable del tratamiento

Pagui tendrá los siguientes deberes en su calidad de Responsable del Tratamiento, los cuales se desprenden de la legislación aplicable en la materia, sin perjuicio de todos los otros deberes previstos en las disposiciones que regulen o lleguen a regularla.

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos en relación con sus datos personales.
  • Permitiéndole el acceso a la información de los Titulares únicamente a las personas habilitadas para tener acceso a ella.
  • Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
  • Solicitar y conservar, copia de la autorización otorgada por el Titular para el Tratamiento de sus datos personales.
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos vinculados a éste, procedentes desde la autorización otorgada.
  • Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible. Además, acreditar en todo momento que la información debe corresponder a los datos personales inicialmente otorgados para el Tratamiento.
  • Conservar la información bajo las condiciones de seguridad físicas y digitales que impidan adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, además de cualquier conducta regulada y sancionada en la ley de delitos informáticos.
  • Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto de los datos del Titular.
  • Implementar todas las medidas necesarias para que la información se mantenga actualizada.
  • Implementar un procedimiento del Tratamiento del dato en cuanto a las consultas y reclamos que los Titulares puedan hacer de ella.
  • Identificar cuando determinada información se encuentra en discusión por parte del Titular.
  • Respetar las condiciones de seguridad y privacidad de la información del Titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
  • Informar, a solicitud del Titular, sobre el uso dado a sus datos.
  • Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se obtenga con autorización expresa de su representante legal, del Tratamiento de sus datos.
  • Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012, el Decreto 1377 de 2013 y las demás normas que desarrollen y complementen la materia.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o cualquier otra entidad pública competente en esta toma de decisiones.
  • Usar los datos personales del Titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.

8. Cuando Pagui entregue sus bases de datos a Encargados del tratamiento

Para el cumplimiento de su objeto social, Pagui podrá encargar el tratamiento de los datos personales que posea a un tercero, con el fin que éste último realice las gestiones de comunicación, promoción, mercadeo, notificación, actualización de datos, planes de fidelización, programas y proyectos especiales, entre otros, que permitan el cumplimiento de las siguientes finalidades tanto por medios físicos como digitales:

  • Celebración, suscripción o mantenimiento de relaciones contractuales con los Titulares.
  • Otorgamiento de créditos, desembolso de dinero y/o financiación a través de operaciones de crédito de consumo ordinario.
  • Tratamiento de información requerida en materia laboral y societaria de la Compañía.
  • Información de carácter confidencial, privacidad y no divulgable.
  • Cumplimiento de la finalidad del servicio como proveedor.

Todo lo anterior, respetando siempre las finalidades que el Titular de la información haya autorizado a la Compañía o autorizadas por ministerio de la Ley.

El Encargado del Tratamiento sobre cualquiera de las Bases de Datos entregada o compartida por Pagui, deberá cumplir con los siguientes deberes:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Actualizar la información reportada por Pagui dentro de los cinco (5) días hábiles contados a partir de su recibo.
  • Realizar oportunamente la Actualización, Rectificación o Supresión de los datos en los términos establecidos por la Ley.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley.
  • Registrar en las bases de datos las leyendas reclamo en trámite en la forma en que se regula en la normatividad relativa al Tratamiento de datos personales.
  • Insertar en la base de datos la leyenda información en discusión judicial una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Adoptar una política interna de procedimientos para garantizar el adecuado cumplimiento de la normatividad relativa al Tratamiento de datos personales y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

9. Acuerdo de confidencialidad y no divulgación (NDA)

Pagui utiliza acuerdos de confidencialidad o no divulgación para proteger la información confidencial mediante términos legalmente exigibles. Los acuerdos de confidencialidad son aplicables tanto a partes internas como externas. Los acuerdos de confidencialidad tendrán los siguientes elementos:

  • Definición de la información a proteger.
  • Duración del contrato.
  • Acciones requeridas en caso de terminación del contrato.
  • Responsabilidades y acciones para evitar la divulgación no autorizada.
  • Propiedad de la información, secretos comerciales y propiedad intelectual.
  • Uso permitido de la información confidencial y derechos de uso de la información.
  • Auditar y monitorear actividades que involucren información confidencial.
  • Proceso de notificación y reporte de divulgación no autorizada o fuga de información.
  • Condiciones de devolución o destrucción de información en caso de rescisión del contrato.
  • Acciones en caso de incumplimiento del contrato.
  • Revisión periódica.

10. Pagui tratará los datos personales obtenidos para las siguientes finalidades

Todo Tratamiento sobre los datos de los Titulares con los cuales Pagui tuviere establecida una relación como Responsable del tratamiento y de la información transaccional para la oferta de servicios de valor agregado, será realizado por Pagui con base en las prescripciones de la Ley 1581 de 2012 y la Ley 1266 de 2008 en lo que le sea aplicable, y en general para el cumplimiento de su objeto social.

En todo caso, Pagui recolectará y tratará los datos personales de los Titulares, con el propósito de ejecutar ciertas finalidades, las cuales varían conforme la base de datos, según se describe a continuación:

10.1 Colaboradores:

  • Efectuar todas las gestiones necesarias para la inclusión de un candidato en un proceso de selección.
  • Gestionar actividades necesarias para cumplir el objeto social de Pagui y los contratos con el Titular.
  • Establecer canales de comunicación para el envío de información acerca de procesos de selección, contratos laborales, incapacidades, llamados de atención, citación a descargos, realización de descargos, pagos, campañas, productos y servicios de Pagui, información tecnológica, notificaciones de actividades, promociones, ofertas y lanzamientos, usando cualquier medio disponible (conocido o por conocer), como correo electrónico, SMS, llamada, redes sociales (Facebook, Instagram, Tik Tok), WhatsApp y demás aplicaciones de mensajería instantánea.
  • Dar cumplimiento a las obligaciones contraídas por Pagui con el Titular de la Información, con relación al pago de salarios, prestaciones sociales y demás retribuciones consagradas en el contrato de trabajo o según lo disponga la ley.
  • Ofrecer programas o eventos de bienestar corporativo y planificar actividades empresariales, para el titular y sus beneficiarios (hijos, cónyuge, compañero permanente, familiares).
  • Realizar invitaciones a eventos y ofrecer nuevos productos y servicios.
  • Realizar evaluaciones y valoraciones de desempeño.
  • Emitir referencias laborales y/o comerciales cuando el Titular lo requiera.
  • Validar las referencias laborales y/o comerciales que el Titular hubiese aportado.
  • Suministrar información personal de carácter comercial, para la ejecución de las relaciones contractuales adquiridas por la Compañía con terceros.
  • Atender solicitudes, quejas y reclamos.
  • Adelantar trámites de vinculación al sistema de seguridad social.
  • Captación de datos sensibles y datos biométricos en especial el de tomas fílmicas o fotográficas para efectos de: (i) la implementación y uso de sistemas de seguridad, validación de identidad, (ii) cotejar datos biométricos y compararlos a partir de minucias que se extraigan (plantillas biométricas) de datos biométricos contra fuentes de información externas tales como bases de datos en donde se encuentren datos biométricos y respecto de los cuales se pueda realizar el proceso de cotejo biométrico con la finalidad de validar la autenticidad de la información biométrica en administración de terceras entidades que se encuentren en calidad de responsables o encargados del tratamiento de datos personales y/o biométricos, (iii) datos personales de menores de edad, (iv) enfermedades o condiciones de salud.
  • Analizar, evaluar y consultar la información entregada por el Titular en listas para el control de lavado de activos y financiación del terrorismo administradas por cualquier autoridad nacional o extranjera.

10.2 Aliados/Comercios/Consumidores/Clientes potenciales:

  • Gestionar actividades necesarias para cumplir el objeto social de Pagui y los contratos con el Titular.
  • Establecer canales de comunicación para el envío de información acerca de procesos de compras y contratación, solicitud de productos y/o servicios de Pagui o de terceros encomendados a Pagui, envío de extractos, estados de cuenta o facturas, información tecnológica, notificaciones de actividades, promociones, ofertas y lanzamientos, usando cualquier medio disponible (conocido o por conocer), como correo electrónico, SMS, llamada, redes sociales (Facebook, Instagram, Tik Tok), WhatsApp y otras aplicaciones de mensajería instantánea.
  • Analizar hábitos de consumo y preferencias para diseñar ofertas y promociones.
  • Realizar estudios de mercado y encuestas de satisfacción.
  • Atender solicitudes, quejas y reclamos.
  • Digitalizar, almacenar y conservar los documentos firmados o entregados por el Titular a Pagui. Toda aquella información entregada será almacenada durante la vigencia de una relación comercial o negocio jurídico. En caso de que, la prestación de un servicio o negocio jurídico sea desistido por el Titular o negado por Pagui (o un aliado de Pagui), Pagui conservará, según la normatividad aplicable, copia digital de la información hasta por seis (6) meses después de la entrega de los datos personales y se obliga a destruir los documentos físicos originales, de llegar a existir.
  • Recabar, almacenar, transmitir y transferir nacional e internacionalmente datos biométricos en especial el de tomas fílmicas o fotográficas para efectos de: (i) la implementación y uso de sistemas de seguridad, (ii) validación de identidad, (iii) cotejo de datos biométricos y comparación con plantillas biométricas de fuentes de información externas, tales como, bases de datos en donde se encuentren datos biométricos con la finalidad de validar la autenticidad de la información biométrica en administración de terceras entidades que se encuentren en calidad de responsables o encargados del tratamiento de datos personales y/o biométricos.
  • Consultar, reportar, procesar y divulgar toda la información que se refiera a su comportamiento financiero, comercial y de servicios, a cualquier Operador de la Información (Central de Riesgo) o a cualquier entidad o fuente de información pública o privada, nacional, extranjera o multilateral que administre o maneje bases de datos, para fines comerciales y de servicios de crédito.
  • Transferir y/o ceder los datos personales nacional e internacionalmente con empresas aliadas o asociadas de Pagui para la oferta de servicios y/o productos.
  • Analizar, evaluar y consultar la información entregada por el Titular en listas para el control de lavado de activos y financiación del terrorismo administradas por cualquier autoridad nacional o extranjera.

10.3 Proveedores:

  • Gestionar actividades necesarias para cumplir el objeto social de Pagui y los contratos con el Titular.
  • Establecer canales de comunicación para el envío de información acerca de procesos de compras y contratación, productos y servicios de Pagui, información tecnológica, notificaciones de actividades, promociones, ofertas y lanzamientos, usando cualquier medio disponible (conocido o por conocer), como correo electrónico, SMS, llamada, redes sociales (Facebook, Instagram, Tik Tok), WhatsApp y otras aplicaciones de mensajería instantánea.
  • Crear y realizar seguimiento a las órdenes de compra.
  • Gestionar el pago a proveedores.
  • Analizar información con fines estadísticos.
  • Solicitar propuestas y cotizaciones.
  • Atender solicitudes, quejas y reclamos.
  • Evaluar calidad de productos y servicios contratados.
  • Realizar actividades de mercadeo y publicidad afines al objeto social de Pagui.
  • Consultar, reportar, procesar y divulgar toda la información que se refiera a su comportamiento financiero, comercial y de servicios, a cualquier Operador de la Información (Central de Riesgo) o a cualquier entidad o fuente de información pública o privada, nacional, extranjera o multilateral que administre o maneje bases de datos, para fines comerciales y de servicios de crédito.
  • Analizar, evaluar y consultar la información entregada por el Titular en listas para el control de lavado de activos y financiación del terrorismo administradas por cualquier autoridad nacional o extranjera.

10.4 Accionistas:

  • Gestionar actividades necesarias para cumplir el objeto social de Pagui y los contratos con el Titular.
  • Establecer canales de comunicación para el envío de información acerca de su condición de accionista, citaciones, comunicaciones societarias, productos y servicios de Pagui, envío de extractos, estados de cuenta o facturas, información tecnológica, notificaciones de actividades, promociones, ofertas y lanzamientos, usando cualquier medio disponible (conocido o por conocer), como correo electrónico, SMS, llamada, redes sociales (Facebook, Instagram, Tik Tok), WhatsApp y otras aplicaciones de mensajería instantánea.
  • Control de registro de accionistas de Pagui y el ejercicio de sus derechos.
  • Control del Libro de Registro de Accionistas de Pagui.
  • Suministro y entrega de información sobre pago de dividendos o utilidades.
  • Analizar, evaluar y consultar la información entregada por el Titular en listas para el control de lavado de activos y financiación del terrorismo administradas por cualquier autoridad nacional o extranjera.
  • Tratar datos biométricos en especial el de tomas fílmicas o fotográficas para efectos de: (i) la implementación y uso de sistemas de seguridad, (ii) validación de identidad, (iii) cotejo de datos biométricos y comparación con plantillas biométricas de fuentes de información externas, tales como, bases de datos en donde se encuentren datos biométricos con la finalidad de validar la autenticidad de la información biométrica en administración de terceras entidades que se encuentren en calidad de responsables o encargados del tratamiento de datos personales y/o biométricos.
  • Consultar, reportar, procesar y divulgar toda la información que se refiera a su comportamiento financiero, comercial y de servicios, a cualquier Operador de la Información (Central de Riesgo) o a cualquier entidad o fuente de información pública o privada, nacional, extranjera o multilateral que administre o maneje bases de datos, para fines comerciales y de servicios de crédito.

11. Tratamiento de datos de niños, niñas y adolescentes

En el Tratamiento de datos personales, Pagui asegurará el respeto a los derechos prevalentes de los menores (niños, niñas, y adolescentes). Por este motivo, en caso de presentarse alguna recolección de datos personales correspondientes a este tipo de personas, se dará cumplimiento a lo señalado en el artículo 7 de la ley 1581 de 2012 y las demás disposiciones concordantes sobre la materia.

12. Tratamiento de datos personales sensibles

Pagui conoce que realiza el tratamiento sobre datos personales que revisten la calidad de sensibles, por lo que asegurará que al momento de la recolección de datos personales correspondientes a este tipo, dará cumplimiento a lo señalado en el Artículo 6° del Decreto 1377 de 2013 y las demás disposiciones concordantes sobre la materia.

13. Derechos de los titulares

El Titular de la información tiene derecho a:

  • Acceder de forma gratuita a los datos proporcionados que hayan sido objeto de tratamiento.
  • Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
  • Solicitar prueba de la autorización otorgada.
  • Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la normatividad vigente.
  • Revocar la autorización y/o solicitar la supresión del dato, siempre que no exista un deber legal o contractual que impida eliminarlos.
  • Abstenerse de responder las preguntas sobre datos sensibles.
  • Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas y niños y adolescentes.

14. Personas legitimadas para ejercer los derechos

De conformidad con las normas aplicables a la materia, se encuentran legitimados para radicar una consulta o un reclamo ante Pagui, las siguientes personas:

  • Los Titulares de los datos personales.
  • Los causahabientes de los Titulares.
  • Los representantes legales.
  • Las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
  • Los terceros autorizados por el Titular o por la ley.

15. Atención de peticiones, consultas y reclamos

El área de servicio al cliente de Pagui es la dependencia que tiene a cargo dar trámite a las solicitudes de los titulares para hacer efectivos sus derechos.

Para la atención de peticiones, consultas y reclamos relativos al Tratamiento de Datos Personales, podrán formularse a través de los siguientes canales:

  • Correo electrónico: datospersonales@pagui.co
  • Diligenciando el formulario web publicado en la página web www.pagui.co

16. Procedimiento para el ejercicio del derecho de habeas data (peticiones, consultas y reclamos)

En cumplimiento de las normas sobre protección de datos personales, Pagui presenta el procedimiento y requisitos mínimos para el ejercicio de sus derechos:

Para la radicación y atención de su solicitud le solicitamos suministrar la siguiente información:

  • Nombre completo y apellidos.
  • Datos de contacto (Dirección física y/o electrónica y teléfonos de contacto).
  • Medios para recibir respuesta a su solicitud.
  • Motivo(s)/hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información).
  • Firma (si aplica) y número de identificación.

El término máximo previsto por la ley para resolver su reclamación es de quince (15) días hábiles, contados a partir del día hábil siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, Pagui informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Cuando el solicitante suministre una dirección física y una electrónica, o más de una dirección de aquellas o de estas, será a discreción de la Compañía la decisión sobre a cuál dirección enviar la respuesta.

Una vez cumplidos los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocatoria podrá poner su caso en conocimiento de la Superintendencia de Industria y Comercio –Delegatura para la Protección de Datos Personales-.

17. Actualización de las bases de datos

Pagui actualizará sus Bases de Datos de manera permanente, de conformidad con lo señalado en la Ley 1581 de 2012.

18. Transferencias de datos para tratamiento por terceros, nacionales e internacionales

Pagui puede transmitir o transferir de manera parcial o total los datos personales y la información transaccional a terceros en el país o en el exterior, en desarrollo de su objeto social, para lo cual solicita autorización de su titular e implementa las acciones necesarias para el cumplimiento de los preceptos normativos consagrados en la legislación Nacional Colombiana, mediante la suscripción de Acuerdos de Transferencia y Tratamiento de Datos Personales.

19. Seguridad de la información

La Compañía cuenta con una Política de Seguridad de la Información, la cual hace parte integral de esta Política.

20. Eliminación de datos personales por Pagui

Los datos confidenciales almacenados que ya no sean necesarios se eliminarán de manera adecuada de acuerdo con los objetivos comerciales de Pagui, las políticas de retención, las leyes y regulaciones aplicables y los acuerdos con terceros pertinentes. Se conservará un registro de dicha eliminación.

Los materiales impresos que contengan datos confidenciales se destruirán cuando ya no sean necesarios por razones comerciales o legales mediante medios seguros (por ejemplo, trituración, despulpado, incineración, etc.) de modo que los datos no se puedan reconstruir. Los materiales impresos se almacenarán en contenedores seguros antes de su destrucción.

Los medios electrónicos que contengan datos confidenciales se destruirán o se volverán irrecuperables cuando ya no sean necesarios por razones comerciales o legales. Los datos almacenados en el hardware (por ejemplo, los discos duros) se eliminarán mediante medios seguros, como el borrado o la destrucción del disco duro.

21. Vigencia

La Política rige a partir del 15 de Enero de 2026. Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta Política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos.