Política de Tratamiento de Datos Personales

1. Identificación del responsable del tratamiento

2. Definiciones

Para efectos de la presente política, se adoptan las definiciones establecidas en el artículo 3 de la Ley 1581 de 2012:

• Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
• Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento.
• Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato sensible: dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación (origen racial o étnico, orientación sexual, convicciones políticas o religiosas, datos de salud, datos biométricos).
• Encargado del tratamiento: persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del responsable.
• Responsable del tratamiento: persona natural o jurídica que decide sobre la base de datos y su tratamiento.
• Titular: persona natural cuyos datos personales sean objeto de tratamiento.
• Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión, entre otras).

3. Principios rectores del tratamiento

Podenza S.A.S. aplica los siguientes principios en el tratamiento de datos personales, conforme al artículo 4 de la Ley 1581 de 2012:

• Legalidad: el tratamiento se sujeta a las disposiciones legales vigentes.
• Finalidad: los datos se recolectan con finalidades determinadas, explícitas y legítimas.
• Libertad: el tratamiento requiere la autorización previa, expresa e informada del titular.
• Veracidad o calidad: los datos deben ser veraces, completos, exactos y actualizados.
• Transparencia: el titular tiene derecho a conocer el tratamiento de sus datos.
• Acceso y circulación restringida: el tratamiento se sujeta a los límites derivados de la naturaleza de los datos y las finalidades autorizadas.
• Seguridad: se adoptan medidas técnicas para proteger los datos contra accesos no autorizados.
• Confidencialidad: se garantiza la reserva de la información.

4. Datos personales objeto de tratamiento

Podenza S.A.S. trata las siguientes categorías de datos personales:

Datos de identificación

• Nombre completo, número de identificación (CC, NIT)
• Información de contacto: teléfono, correo electrónico, ciudad

Datos laborales y comerciales

• Actividad económica, cargo, nombre de la empresa
• Historial de referidos y comisiones generadas

Datos financieros (afiliados)

• Datos bancarios para transferencia de comisiones
• RUT cuando aplique para efectos tributarios

Datos de navegación

• IP, cookies, tipo de dispositivo, comportamiento en el sitio web

Podenza S.A.S. no trata datos sensibles según el artículo 5 de la Ley 1581 de 2012, salvo autorización expresa y justificación legal.

5. Autorización del titular

La recolección de datos personales se realiza previa autorización libre, expresa e informada del titular, la cual se obtiene mediante:

• Aceptación del checkbox de autorización en los formularios del sitio web.
• Firma electrónica de documentos de vinculación para afiliados.
• Manifestación verbal o escrita en procesos de atención al cliente, con constancia de la misma.

La autorización se conserva en los registros de Podenza S.A.S. y puede ser consultada por el titular en cualquier momento.

Excepción: no se requiere autorización cuando el tratamiento es ordenado por entidad pública o judicial, cuando los datos son de naturaleza pública, o cuando median relaciones contractuales previas con el titular.

6. Finalidades del tratamiento

Los datos personales recolectados por Podenza S.A.S. serán tratados para las siguientes finalidades:

• Registrar, identificar y gestionar la vinculación de afiliados a la plataforma.
• Conectar afiliados con oportunidades de crédito vehicular a través de los bancos aliados.
• Liquidar y transferir comisiones a los afiliados activos.
• Verificar la identidad y el perfil crediticio de los clientes referidos (con su autorización separada).
• Atender, gestionar y dar seguimiento a solicitudes de empresas interesadas en la plataforma B2B.
• Cumplir con obligaciones legales, tributarias y regulatorias aplicables a la actividad de Podenza.
• Prevenir el fraude y garantizar la seguridad de las operaciones.
• Mejorar los servicios y la plataforma tecnológica mediante análisis estadístico (con datos anonimizados).
• Enviar comunicaciones relacionadas con el servicio contratado.

7. Derechos de los titulares

Los titulares de datos personales tienen los siguientes derechos, conforme a los artículos 8 y 21 de la Ley 1581 de 2012:

• Conocer, actualizar y rectificar sus datos personales.
• Solicitar prueba de la autorización otorgada.
• Ser informado del uso que se ha dado a sus datos.
• Presentar quejas ante la SIC por infracciones a la normativa.
• Revocar la autorización y solicitar la supresión de sus datos.
• Acceder gratuitamente a sus datos que hayan sido tratados.

8. Procedimiento para el ejercicio de derechos

Para ejercer sus derechos como titular, siga el siguiente procedimiento:

Canal de contacto

Envíe su solicitud a info@podenza.com o al WhatsApp +57 324 560 0683, indicando:

• Nombre completo y número de identificación.
• Descripción clara de los hechos que motivan la solicitud.
• El derecho que desea ejercer (consulta, rectificación, supresión, revocación).
• Documentos de soporte, si aplica.

Plazos de respuesta

• Consultas: máximo 10 días hábiles. Si no es posible atender en ese plazo, se informará al titular dentro del mismo término indicando la fecha de respuesta definitiva, que no puede superar los 5 días hábiles adicionales.
• Reclamos: máximo 15 días hábiles. Si el reclamo es incompleto, se solicitará información adicional dentro de los 5 días hábiles siguientes. El titular tendrá 2 meses para completar la información; si no lo hace, se entenderá que desistió del reclamo.

9. Encargados del tratamiento

Podenza S.A.S. puede contratar encargados del tratamiento para procesar datos en su nombre. Estos encargados deben garantizar el cumplimiento de la Ley 1581 de 2012 y están obligados a:

• Tratar los datos solo conforme a las instrucciones del responsable.
• No subcontratar sin autorización previa.
• Implementar medidas de seguridad adecuadas.
• Eliminar o devolver los datos al término de la relación contractual.

Los principales encargados actuales son: Vercel Inc. (hosting), Supabase Inc. (base de datos), Google LLC (analítica), AUCO S.A.S. (firma electrónica).

10. Conservación y supresión de datos

Los datos personales se conservarán durante el tiempo necesario para cumplir con las finalidades autorizadas y las obligaciones legales aplicables:

• Datos de afiliados activos: durante toda la vigencia de la relación y hasta 5 años después de su terminación, por obligaciones tributarias y contables.
• Datos de contacto empresarial: hasta 2 años desde el último contacto, salvo que se establezca una relación contractual.
• Datos de navegación y cookies: según los plazos definidos en la Política de Cookies.
• Datos requeridos por autoridades: conforme a los plazos exigidos por la normativa aplicable.

Vencidos los plazos de conservación, los datos serán eliminados de forma segura o anonimizados.

11. Medidas de seguridad

Podenza S.A.S. implementa medidas de seguridad técnicas y organizativas para proteger los datos personales, que incluyen:

• Cifrado de datos en tránsito mediante HTTPS/TLS.
• Cifrado de datos en reposo en las bases de datos.
• Control de acceso basado en roles y principio de mínimo privilegio.
• Autenticación multifactor para acceso a sistemas críticos.
• Monitoreo de actividades y registros de auditoría.
• Capacitación periódica al personal en protección de datos.

12. Vigencia

La presente Política de Tratamiento de Datos Personales rige a partir del 1 de abril de 2026 y reemplaza cualquier versión anterior.

Podenza S.A.S. podrá modificar esta política cuando sea necesario. Las modificaciones sustanciales serán informadas a los titulares con al menos 10 días hábiles de anticipación a su entrada en vigor, mediante aviso en el sitio web o comunicación directa.