POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DUCHESS JEANS Fecha entrada en Vigencia: Mayo de 2018. GENERALIDADES. La política que se define en este documento en concordancia con la Ley 1581 de 2012 por medio de la cual se dictan disposiciones generales para la protección de datos personales y que desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos así como lo referido a los artículos 15 y 20 de la Constitución Política, el Decreto Reglamentario 1377 de 2013 y la ley estatutaria 1266 de 2008; por tanto,DUCHESS JEANS teniendo en cuenta que es responsable del tratamiento de datos de carácter personal, presenta el siguiente documento con el objetivo de cumplir con la normatividad mencionada; específicamente para atender las consultas y reclamos acerca del tratamiento de los datos personales que almacene y manipule DUCHESS JEANS. El HÁBEAS DATA es el derecho que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada; el cual garantiza a las personas poder decidir y controlar su información personal. Dado lo anterior, es preciso señalar que para el desarrollo del objeto social deDUCHESS JEANS se está recolectando y desarrollando diversos procedimientos a bases de datos tanto de clientes, proveedores, aliados comerciales y empleados. Ahora bien, dentro del deber legal y corporativo de DUCHESS JEANS, se da el compromiso por parte de la empresa de proteger el derecho a la privacidad de las personas, así como la potestad de conocer, actualizar o solicitar, rectificar la información que sobre ellas se archive en bases de datos, así como de exigir el acceso, inclusión, exclusión, corrección, adición, y certificación de los datos, y limitar su divulgación, publicación o cesión; DUCHESS JEANS diseñó la política de manejo de la información de carácter personal y bases de datos en la que se describe y explica el tratamiento de la Información personal que deposita y a la que tiene acceso a través de nuestro sitio web, correo [email protected], mensajes de texto, mensaje de voz, App, llamadas telefónicas, cara a cara, medios físicos o electrónicos, actuales o que en el futuro se desarrollen como otras comunicaciones enviadas así como por intermedio de terceros que participan en nuestra relación comercial o legal con todos nuestros clientes, empleados, proveedores, accionistas, aliados estratégicos y vinculados. La presente política se ajustará conforme se reglamente la normatividad aplicable a la materia y entren en vigencia nuevas disposiciones legales o por parte de la empresa. OBJETIVO GENERAL Garantizar el manejo que se dará a la información anteriormente descrita de todos los clientes, proveedores, empleados y terceros de quienes DUCHESS JEANS ha obtenido legalmente información y datos personales conforme a los lineamientos establecidos por la legislación aplicable. DEFINICIONES

1. Autorización: consentimiento que de manera previa, expresa e informada, emite el titular de algún dato personal al aceptar los términos y condiciones en el momento de inscribir sus datos en la página, para que la empresa lleve a cabo el manejo de sus datos personales.
2. Titular: persona natural cuyos datos son objeto de tratamiento.
3. Base de datos: conjunto de datos personales que son objeto de tratamiento.
4. Dato personal: es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. No se incluyen los datos impersonales de conformidad con la ley 1266 de 2008. Los datos personales pueden ser públicos, semiprivados o privados.
5. Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales dentro de las cuales se puede incluir su recolección, almacenamiento, uso, circulación o supresión.
6. Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento sobre datos personales por cuenta del responsable del tratamiento.
7. Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
8. Dato público: es aquel dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la ley 1266 de 2008. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales ejecutoriadas que no estén sometidas a reserva y los relativos al estado civil de las personas.
9. Dato semiprivado: es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial de servicios a que se refiere el Título IV de la ley 1266 de 2008.
10. Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular.
11. Dato sensible: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. Esta información podrá no ser otorgada por el Titular de estos datos.
12. Aviso de privacidad: documento físico, electrónico generado por el Responsable del tratamiento que es puesto a disposición del titular con la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los datos personales.
13. Y las demás definiciones que sean aplicables.

DERECHOS QUE TIENEN LOS TITULARES DE DATOS PERSONALES A continuación, se enuncian los derechos que le asisten al titular de los datos:

1. a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
2. b) solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
3. c) ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
4. d) presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
5. e) revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
6. f) acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento;
7. g) los demás que consagre la legislación aplicable a la materia.

CASOS EN LOS CUALES DUCHESS JEANS NO REQUIERE AUTORIZACIÓN

1. Cuando la información sea solicitada a la empresa por una entidad pública o administrativa que esté actuando en ejercicio de sus funciones legales o por orden judicial.
2. Cuando se trate de datos de naturaleza pública debido a que éstos no son protegidos por el ámbito de aplicación de la norma.
3. Eventos de urgencia médica o sanitaria.
4. En aquellos eventos donde la información sea autorizada por la ley Colombiana para cumplir con fines históricos, estadísticos y científicos.
5. Cuando se trate de datos relacionados con el registro civil de las personas.

¿A QUIENES SE LES PUEDE ENTREGAR INFORMACIÓN POR PARTE DE DUCHESS JEANS SIN NECESIDAD DE CONTAR CON AUTORIZACIÓN DE LOS TITULARES DE LOS DATOS?

• A los Titulares, sus causahabientes o sus representantes legales.
• A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
• A los terceros autorizados por el Titular o por la ley.

DEBERES QUE TIENE DUCHESS JEANS CON A LOS TITULARES DE LOS DATOS. DUCHESS JEANS sabe que los datos personales son propiedad de los titulares de los mismos y que únicamente tales personas podrán disponer sobre éstos. Dado lo anterior, DUCHESS JEANS hará uso exclusivo para aquellas finalidades para las que sea facultado en los términos de la ley. Deberes que asume en su calidad de responsable del tratamiento:

1. La empresa deberá buscar el medio a través del cual obtener la autorización expresa por parte del titular de los datos para realizar cualquier tipo de tratamiento.
2. La empresa deberá informar de manera clara y expresa a sus clientes, empleados, proveedores y terceros en general de quienes obtenga archivos o bases de datos, el tratamiento al que serán sometidos y el objetivo de tal manejo. Para ello, la empresa deberá diseñar la estrategia a través de la cual, cada evento, mecánica o solicitud de datos que se realice, informará a los mismos el respectivo tratamiento de que se trate. Algunos de estos medios puede ser el envío de mensajes de texto, diligenciamiento de formatos físicos, a través de los sitios web de DUCHESS JEANS,entre otros.
3. La empresa debe informar a los titulares de los datos para cada caso, el carácter facultativo de responder y otorgar la respectiva información solicitada.
4. En todos los casos en los que se recopilen datos, se deberá informar los derechos que le asisten a todos los titulares respecto a sus datos.
5. La empresa debe informar la identificación, dirección física o electrónica y teléfono de la persona o área que tendrá la calidad de responsable del tratamiento, dentro de los cuales se podrá tener la página web de www.duchessjeans.com, la Línea Nacional de Servicio al Cliente y las oficinas de Servicio al Cliente deDUCHESS JEANS de todo el país.
6. La empresa deberá garantizar en todo momento al titular de la información, el derecho al hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, solicitar la actualización o corrección de datos y tramitar consultas, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos previstos en la presente política.
7. La empresa deberá conservar con las debidas seguridades los registros de datos personales almacenados para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento y realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que las fuentes le reporten novedades o solicitudes.
8. Las demás que consagre la legislación aplicable a la materia.

FINALIDADES EN LA CAPTURA, USO Y TRATAMIENTO DE DATOS PERSONALES. DUCHESS JEANS en el desarrollo de su objeto social y sus relaciones con terceros, entiéndase por estos clientes, empleados, proveedores, acreedores, aliados estratégicos, filiales, subordinadas entre otros; recopila constantemente datos para llevar a cabo diversas finalidades y usos dentro de los cuales se pueden enmarcar:

• Fines administrativos, comerciales, promocionales, informativos, de mercadeo y ventas.
• Ofrecer servicios comerciales; así como realizar campañas de promoción, marketing, publicidad.
• Búsqueda de un conocimiento más cercano con todos sus clientes, proveedores, empleados y terceros vinculados.

En relación con lo anterior, DUCHESS JEANS podrá ejecutar las siguientes acciones:

1. Obtener, almacenar, compilar, intercambiar, actualizar, recolectar, procesar, reproducir y/o disponer de los datos o información parcial o total de aquellos titulares que le otorguen la debida autorización en los términos exigidos por la ley y en los formatos que para cada caso estime convenientes.
2. Clasificar, ordenar, separar la información suministrada por el titular de los datos.
3. Efectuar investigaciones, comparar, verificar y validar los datos que obtenga en debida forma con centrales de riesgo crediticio con las cuales se tengan relaciones comerciales.
4. Extender la información que obtenga en los términos de la ley de habeas data, a las empresas con las que contrata los servicios de captura, almacenamiento y manejo de sus bases de datos previas las debidas autorizaciones que en ese sentido obtenga.
5. Transferir los datos o información parcial o total a sus filiales, comercios, empresas y/o entidades afiliadas y aliados estratégicos.

  LA AUTORIZACIÓN. A efectos de llevar a cabo los fines anteriormente mencionados, DUCHESS JEANS requiere de manera libre, previa ,expresa y debidamente informada de la autorización por parte de los titulares de los datos, y para ello se han dispuesto en la página web, mecanismos técnicos idóneos que garantizan para cada caso que sea posible verificar el otorgamiento de dicha autorización. La misma podrá constar en cualquier medio, bien sea un documento físico, electrónico o en cualquier formato que garantice su posterior consulta a través de herramientas técnicas, tecnológicas y desarrollos de seguridad informática. La autorización es una declaración que informa al titular de los datos la siguiente información:

• Quien es el responsable o encargado de recopilar la información.
• Datos recopilados.
• Finalidades del tratamiento.
• Procedimiento para el ejercicio de los derechos de acceso, corrección, actualización o supresión de datos.
• Información sobre recolección de datos sensibles.
• La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.

  PROTECCION DATOS PERSONALES DE MENORES DE EDAD Y ADOLESCENTES En atención a lo dispuesto en la Ley Estatutaria 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, DUCHESS JEANS asegura que el Tratamiento de los datos personales de niños, niñas y adolescentes será realizado respectando sus derechos, razón por la cual, en las actividades comerciales y de mercadeo que realice DUCHESS JEANS deberá contar con la autorización previa, expresa e informada del padre o la madre o del representante legal de la niña, niño o adolescente. FORMA DE PROCEDER RESPECTO A LOS RECLAMOS, CONSULTAS Y SOLICITUDES HECHAS POR LOS TITULARES DE LOS DATOS: Todo titular de datos personales tiene derecho a realizar consultas y elevar solicitudes a la empresa respecto al manejo y tratamiento dado a su información. A). PROCEDIMIENTO PARA EL TRÁMITE DE RECLAMOS O SOLICITUDES Toda solicitud, petición, queja o reclamo (PQR) que sea presentada a DUCHESS JEANS por parte de cualquier titular o sus causahabientes respecto al manejo y tratamiento dado a su información será resuelta de conformidad con la ley regulatoria al derecho al habeas data y será tramitado bajo las siguientes reglas:

1. La petición o reclamo se formulará mediante escrito o cualquier otro de los medios definidos en la presente política para tal fin: [email protected], línea de servicio al cliente 57 (4) 3221941 ext. 105y el celular (57) 350 4516993, dirigido a  DUCHESS JEANS, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección o medio a través del cual desea obtener su respuesta, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer. En caso de que el escrito resulte incompleto, la empresa solicitará al interesado para que subsane las fallas dentro de los cinco (5) días siguientes a la recepción del reclamo. Transcurridos dos meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación o petición.
2. Una vez recibida la petición o reclamo completo, la empresa incluirá en el registro individual en un término no mayor a dos (2) días hábiles una leyenda que diga “reclamo en trámite”y la naturaleza del mismo. Dicha información deberá mantenerse hasta que el reclamo sea decidido.
3. El solicitante recibirá una respuesta por parte de DUCHESS JEANSdentro de los diez (10) días hábiles siguientes contados a partir de la fecha en la cual ha tenido conocimiento efectivo de la solicitud.
4. Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

CONSULTAS: La Política de manejo de la información personal por parte de DUCHESS JEANS y los derechos básicos que los titulares de los datos tienen en relación con la misma podrán ser consultados a través de los siguientes medios:

• Página web: duchessjeans.com
• Correo electrónico: [email protected]
• Líneas de atención al cliente: 57(4)3221941 ext. 105 – y el celular (57) 350 4516993

Cualquier consulta que tenga un titular sobre su información o datos personales o cuando considere necesario instaurar una solicitud de información o considere que sus derechos han sido vulnerados en relación con el uso y el manejo de su información; podrá hacerlo a través del siguiente correo electrónico: [email protected]. Si dentro de los diez (10) días señalados, no fuere posible para la empresa atender la consulta, el área correspondiente deberá informar al interesado, los motivos de la demora e indicarle la fecha en que se atenderá la misma, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. RESPONSABLE DEL TRATAMIENTO: DUCHESS JEANS tiene la calidad de responsable del tratamiento, a través de la presente política se permite informar sus datos de identificación: Razón social:DUCHESS JEANS. NIT: XXXXXXX. Domicilio principal: Transversal. 49c #59-24. Medellín, Antioquia. Persona o dependencia responsable de la atención de peticiones, consultas y reclamos: el área encargada de recibir y canalizar todas las solicitudes e inquietudes es la Gerencia de servicio y atención al Cliente a través del correo electrónico [email protected] ENCARGADO DEL TRATAMIENTO: Eventualmente, DUCHESS JEANS podrá tener la calidad de encargado del tratamiento, caso en el cual los datos de identificación son los siguientes: Razón social: DUCHESS JEANS. NIT: 900 917 748-8. Domicilio principal: Transversal. 49c #59-24,piso 7,  Medellín, Antioquia. Persona o dependencia responsable de la atención de peticiones, consultas y reclamos: el área encargada de recibir y canalizar todas las solicitudes e inquietudes es la Gerencia de servicio y atención al Cliente a través del correo electrónico [email protected] POLÍTICAS DE SEGURIDAD INFORMÁTICA. Para DUCHESS JEANS es de gran importancia acoger medidas técnicas, jurídicas, humanas y administrativas necesarias para lograr la seguridad de los datos de carácter personal, protegiendo la confidencialidad, integridad, uso, acceso no autorizado y/o fraudulento. Del mismo modo, se informa que internamente la empresa posee protocolos de seguridad de obligatorio cumplimiento para todo el personal con acceso a datos de carácter personal y a los sistemas de información. Todo lo anterior, con el fin de imposibilitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Las políticas de seguridad son las siguientes:

1. Políticas en la Infraestructura tecnológica perimetral en la red de datos (Sistema de prevención de intrusos (IPS), Firewalls, correo seguro, control de contenido, control de acceso a la red NAC, antivirus y anti X).
2. Políticas de Infraestructura tecnológica y políticas de control para el pago online, mediante el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data SecurityStandard) o PCI DSS.
3. Políticas de implementación tecnológica que minimizan el riesgo de las plataformas críticas ante desastres (DRP Disaster Recovery Plan).
4. Políticas de implementación tecnológica que protegen los computadores y servidores de la organización de malware.
5. Políticas de implementación tecnológica que impide la utilización de dispositivos USB de almacenamientos no autorizados. Política Manejo de Información y Datos Personales 13/14
6. Políticas de implementación tecnológica que controla el envío y transmisión electrónica caracterizada como confidencial (DLP – Data Loss Prevention-, Transfer).
7. Certificados de Seguridad (SSL) que garantizan la seguridad del sitio web mediante el cifrado de las comunicaciones entre el servidor y la persona que visita duchessjeans.com.
8. Políticas de implementación tecnológica que respalda la información contenida en las distintas plataformas.
9. Política escrita sobre seguridad de la información y uso de las herramientas de información.
10. Acuerdo de confidencialidad con proveedores y terceros.
11. Cláusula de confidencialidad en los contratos laborales de empleados.
12. Procedimientos de Autocontrol y respuesta a Auditoría interna y Externa.
13. En todos los eventos que se realizan, en los cuales se captura información del cliente se incluye el párrafo de Habeas data, con sus respectivas implicaciones.
14. Aviso Habeas Data. Por el hecho de participar en el Evento, todo participante declara conocer y autorizar de manera libre, previa, voluntaria, expresa y debidamente informada a DUCHESS JEANS para recolectar, registrar, procesar, difundir, compilar, intercambiar, actualizar y disponer de los datos o información parcial que le suministró, y a efectos de participar en el Evento; así como para transferir dichos datos o información parcial o total a sus comercios y empresas con el fin de que DUCHESS JEANS pueda ofrecer sus productos y/o servicios a sus clientes de una manera más personalizada y directa, y además a contactar a la persona en caso tal de resultar ser el ganador del Evento, a hacer envío de información publicitaria de las marcas propias, mailing, sms, correo directo y, comercializar todos los datos e información que de forma voluntaria suministró al momento de participar en el Evento. La utilización de la base de datos será desde el inicio del Evento hasta el día en que DUCHESS JEANS entre en liquidación.

DUCHESS JEANS garantiza el cumplimiento de las normas de protección de los datos personales provistos por sus clientes, en línea con la normatividad que regula el derecho al HABEAS DATA, informa que:

1. El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar de forma gratuita la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.
2. Que el cliente, titular de la información podrá acceder a sus datos en cualquier momento, pudiendo modificarlos, corregirlos, actualizarlos, revocar y solicitar prueba de la autorización dada, si así lo considera por medio del correo electrónico [email protected] y la línea de servicio al cliente 57 (4) 444 9423.
3. Que el cliente, titular de los datos tiene la facultad de informar aquellos datos que libremente disponga y de solicitar mediante alguno de los medios dispuestos la información respecto al uso que se le haya dado a sus datos.

Que para el desarrollo efectivo de este derecho por parte de todos sus clientes,DUCHESS JEANS ha dispuesto los siguientes medios a través de los cuales podrán presentar sus solicitudes y/o quejas y/o reclamos: [email protected]  Teléfono Medellín: , 444 9423, celular: (57) 300 422 9474.