1. Política de privacidad y de tratamiento de datos personales

Gabrica es una empresa que se encuentra en diferentes países de América del Sur, entre ellos Colombia, Chile, Perú y Ecuador. Gabrica es respetuosa de los datos personales e información que le suministran sus colaboradores, clientes actuales, pasados y potenciales, aliados comerciales y posibles interesados en los productos de la compañía (en adelante, los Titulares).

En la presente Política de Tratamiento y Protección de Datos Personales se establecen las finalidades, medidas de seguridad y procedimientos de nuestras bases de datos, así como los mecanismos y canales dispuestos para que los Titulares de los datos puedan ejercer de forma efectiva sus derechos de acceso, rectificación, cancelación (o supresión), oposición al tratamiento, portabilidad de sus datos (aplicable solo para Chile) y revocatoria del consentimiento. La adquisición de los productos y servicios ofrecidos en alguno de nuestros puntos de venta o distribuidores (en adelante, los Productos y Servicios) y/o la aceptación expresa o inequívoca de las presentes políticas, implica la aceptación de los Titulares de la presente Política y su autorización para los usos y otros tratamientos que aquí se describen.

2. Responsable y encargado del tratamiento de datos

El responsable del tratamiento de datos personales y otra información de los Titulares es, respectivamente en cada país, el siguiente:

• GABRICA S.A.S., con número de identificación tributaria NIT. 800164767-6; domicilio y dirección en la Calle 164 # 15-37 de Bogotá, Colombia.
• Gabrica Chile SPA, Rol Único Tributario número 76.103.355-7; Av. Providencia # 2331 of 301, Providencia, RM, Santiago, Chile.
• GABRICA S.A.C, RUC 20566331897; domiciliada en Perú en la AV. EMILIO CAVENECIA NRO. 264 DPTO. 701 INT. 26 URB. SANTA CRUZ - San Isidro.

Gabrica Chile SPA, GABRICA S.A.S, GABRICA S.A.C., (en adelante, GABRICA), atenderán peticiones, quejas y reclamos en el correo electrónico tratamientodedatos@gabrica.com.co

3. Finalidad de la base de datos

El tratamiento de los datos, que se encuentran en las bases de datos de GABRICA tiene las siguientes finalidades:

3.1 En relación con la base de datos de empleados, contratistas y aspirantes a empleados de Gabrica

• Conservar y administrar la información de la relación laboral o comercial con los Titulares.
• El cumplimiento de deberes legales, contables, comerciales y regulatorios.
• El control y la preservación de la seguridad de las personas, bienes e información de GABRICA.
• Cumplir el objeto de la relación laboral o civil que se hubiere adquirido con los Titulares.
• Proteger la salud de los empleados y contratistas de GABRICA.
• Prevenir y constatar la comisión de delitos o conductas delictivas por parte de los empleados, contratistas y aspirantes, para lo cual se podrán consultar distintas bases de datos y fuentes, tales como, bases de datos de Interpol, FBI, SDNT list (o "Lista Clinton"), Sistema de Administración del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo (SAGRILAFT), la prevención del soborno y la corrupción nacional y trasnacional, PTEE, Beneficiarios Finales, así como las redes sociales correspondientes, en la forma en la que se encuentren dispuestas.
• Prevenir y contrarrestar un eventual riesgo reputacional que pudiere afectar a GABRICA, para Interpol, FBI, SDNT list (o "Lista Clinton"), SAGRILAFT, así como las redes sociales correspondientes, en la forma en la que se encuentren dispuestas.
• Mantener comunicación directa con los Titulares para temas relacionados con su relación laboral o comercial.
• Selección de personal, administración de contrataciones, manejo de relaciones laborales y cumplimiento de las obligaciones derivadas de la misma, otorgamiento de beneficios a sus empleados por sí mismo o a través de terceros, así como permitir el acceso de los empleados a los recursos informáticos lo cual se podrán consultar distintas bases de datos y fuentes, tales como, bases de datos de GABRICA.
• Llevar un registro de las sanciones disciplinarias impuestas a contratistas y empleados de GABRICA.
• La realización de análisis estadísticos, comerciales, financieros, sociales y técnicos.
• La comunicación con los titulares para efectos contractuales, informativos y comerciales.
• El cumplimiento de deberes legales, contables, comerciales y regulatorios.
• Comprobación y verificación de la identidad y antecedentes penales, disciplinarios financieros y crediticios de los Titulares, así como contactar a las referencias personales de aquellos que estén en procesos de selección, a fin de confirmar la información suministrada por el aspirante.
• El control y la preservación de la seguridad de las personas, bienes e información de GABRICA.
• Transmitir, transferir y suministrar la información y datos personales de los Titulares a aquellos terceros encargados de administrar el sistema de seguridad social en Chile, así como a compañías aseguradoras.
• Transmitir, transferir y suministrar la información y datos personales de los Titulares a terceros, en aquellos casos en que se presente un vínculo de subordinación y dependencia o en aquellos casos en que GABRICA ceda su posición contractual.
• Transmitir, transferir y suministrar la información y datos personales de los Titulares a terceros, con el fin de dar referencias laborales y/o profesionales sobre los Titulares.
• Respecto a los sistemas de seguridad y video vigilancia, dichos datos se usarán para determinar el cumplimiento de las obligaciones contractuales, legales y la seguridad de las personas y bienes. Dichos registros se regraban o borran periódicamente (entre una semana y 4 meses según la zona), a no ser que se necesite la información por aspectos legales, contractuales, investigaciones o procesos.
• En los eventos de la empresa se capturarán datos personales tales como fotos y videos, que se publicarán en la intranet, página y redes sociales de Gabrica.

3.2 En relación con la base de datos de clientes, proveedores y demás partes interesadas de Gabrica

En el desarrollo de la relación con clientes, proveedores y demás partes interesadas, Gabrica se ve en la necesidad de tratar los datos personales de estos, así como los datos de colaboradores, empleados y/o contratistas de dichos clientes, proveedores y demás partes interesadas. Así las cosas, es entendido que los clientes tienen autorización, para transmitir y/o transferir los datos personales a Gabrica.

Estos datos se tratarán con las siguientes finalidades:

• El cumplimiento del objeto social de GABRICA.
• El desarrollo, ejecución y cumplimiento de la relación contractual que el Titular tenga con GABRICA.
• El cumplimiento de deberes legales, contables, comerciales, de ventas, publicitarios, de marketing y regulatorios.
• La realización de análisis estadísticos, comerciales, estratégicos, financieros, sociales y técnicos.
• La comunicación con los Titulares para efectos contractuales, informativos, publicitarios, de ventas, marketing, comerciales o de cobro.
• El cumplimiento de deberes legales, contables, comerciales y regulatorios.
• El control y la preservación de: I) la seguridad de las personas, bienes e información de GABRICA; II) riesgo reputacional. Para estos efectos se podrán consultar y reportar información a distintas bases de datos, operadores, usuarios y fuentes, tales como: listas restrictivas, vinculantes e informativas; centrales de riesgo crediticio; PTEE; Beneficiarios Finales, así como las redes sociales del Titular, en la forma en la que se encuentren dispuestas.
• Respecto a los sistemas de seguridad y video vigilancia, dichos datos se usarán para determinar el cumplimiento de las obligaciones contractuales, legales y la seguridad de las personas y bienes. Dichos registros se regraban o borran periódicamente (entre una semana y 4 meses según la zona), a no ser que se necesite la información por aspectos legales, contractuales, investigaciones o procesos.
• Comprobación y verificación de la identidad y antecedentes penales, disciplinarios financieros y crediticios de los titulares.
• Transmitir, transferir y suministrar la información y datos personales de los Titulares a las sociedades subsidiarias, filiales o afiliadas a GABRICA, aliados comerciales o a otras sociedades o personas nacionales y/o internacionales que GABRICA encargue para realizar el tratamiento de la información y cumplir con las finalidades descritas en la presente Política y el objeto de la relación comercial o civil con los Titulares, o para que dichos terceros asuman la posición de responsables.
• Realizar visitas para fines comerciales, de ventas, marketing y de cobro, para aquellas personas (naturales o jurídicas) que no sean consumidores, sino aliados comerciales, pet shops, groomers, clínicas veterinarias y en general aquellos que usan los productos y servicios de Gabrica para satisfacer necesidades ligadas intrínsecamente a su actividad económica.
• Transmitir, transferir y suministrar, a título gratuito u oneroso, la información y datos personales de los Titulares a aliados comerciales nacionales y/o internacionales para que estos contacten a los Titulares para ofrecerles sus productos, información o servicios que a juicio de GABRICA puedan ser de interés del Titular.
• Transmitir, transferir y suministrar la información y datos personales de los Titulares a terceros nacionales y/o internacionales, en aquellos casos en que GABRICA participe en procesos de fusión, integración, escisión, verificación, liquidación y/o enajenación de activos.
• Con el fin de preservar la seguridad de GABRICA, analizar y verificar la información de los proveedores, clientes y demás partes interesadas de GABRICA y de aquellos que participen en procesos de selección, así como contactar a las referencias personales o empresariales de aquellos que estén en procesos de selección, a fin de confirmar la información suministrada por el aspirante.
• Gabrica contactará para fines de cobro, legales o de marketing a sus proveedores, clientes o posibles clientes (que no sean consumidores, sino aliados comerciales, pet shops, groomers, clínicas veterinarias y en general aquellos que usan los productos y servicios de Gabrica para satisfacer necesidades ligadas intrínsecamente a su actividad económica), de lunes a viernes entre las 7am y las 7pm, sábados entre las 8am y las 3pm; Gabrica no realizará contacto alguno durante los domingos o festivos, a no ser que fuere necesario dadas las circunstancias particulares en ciertos casos. Para el efecto, Gabrica contactará al proveedor o cliente tratando los datos que para el efecto le suministraron.
• En los eventos de la empresa se capturarán datos personales tales como fotos y videos, que se publicarán en la intranet, página y redes sociales de Gabrica.
• En sorteos, rifas, juegos y espectáculos.

3.3 En relación con la base de datos de visitantes

• Comprobación y verificación de la identidad, antecedentes penales, disciplinarios de los Titulares.
• El control y la preservación de la seguridad de las personas, bienes e información de GABRICA.
• Respecto a los sistemas de seguridad y video vigilancia, dichos datos se usarán para determinar el cumplimiento de las obligaciones contractuales, legales y la seguridad de las personas y bienes. Dichos registros se regraban o borran periódicamente (entre una semana y 4 meses según la zona), a no ser que se necesite la información por aspectos legales, contractuales, investigaciones o procesos.
• Al ingreso a las sedes se pide información en fin de cumplir normas de seguridad y salud en el trabajo, seguridad física, entre otras normas y estándares de mitigación de riesgos, dicha información se mantendrá mientras sea necesaria para cumplir el mencionado fin.
• En los eventos de la empresa se capturarán datos personales tales como fotos y videos, que se publicarán en la intranet, página web y redes sociales de Gabrica.

3.4 En relación con la base de datos de pet parents

Los pet parents son aquellos quienes adquieren los productos de Gabrica para la satisfacción de una necesidad de su familia a través del canal especializado (pet shops, clínicas veterinarias, groomers, entre otras), quienes están protegidos por el régimen de protección del consumidor y el régimen de protección de datos personales, incluidas las leyes 2300, 1581, 1266 y 1480, así como el decreto 1074 de 2015 y la Circular única de la SIC.

En razón al modelo de negocio de Gabrica (principalmente B2B, pero también B2C, este último particularmente a través del comercio electrónico), Gabrica trata de los datos personales de los pet parents para las siguientes finalidades:

• La comunicación con los Titulares para efectos contractuales, informativos, publicitarios, de ventas, marketing y comerciales. Lo anterior se hará en los horarios establecidos en la ley 2300. Para el efecto Gabrica usará los canales que autoricen los Titulares; dada la relación de Gabrica con estos, por regla general se prefiere el correo electrónico, redes sociales, SMS, chats o WhatsApp, más no es obligatorio la autorización de estos canales.
• Gabrica no visitará a los Titulares, a excepción de alguna promoción o evento promocional.
• En los eventos de la empresa se capturarán datos personales tales como fotos y videos, que se publicarán en la intranet, página web y redes sociales de Gabrica.
• En sorteos, rifas, juegos y espectáculos.
• Serán utilizados para fines relacionados con el comercio electrónico, tales como envíos, actualizaciones, facturación y demás servicios derivados de la transacción.
• Elaborar los informes, documentos o análisis requeridos por la ley, las normas, la regulación, entidades públicas como el ICA, MADR, INVIMA, entre otras, en cumplimiento de las obligaciones de farmacovigilancia y demás obligaciones en cumplimiento de las órdenes de las autoridades. En adición a las bases de datos expuestas, Gabrica en el desarrollo de las obligaciones que tiene de responsabilidad social empresarial, realiza múltiples eventos en fundaciones, barrios, entre otras, en las cuales se capturan datos personales, tales como fotos y videos que se publicarán en la intranet, página web y redes sociales de Gabrica. La finalidad de esto es demostrar ante la sociedad el compromiso de Gabrica para con esta.

4. Datos personales suministrados y forma de obtención

GABRICA podrá pedir expresamente a los Titulares o recolectar de su comportamiento los datos que sean necesarios para cumplir la finalidad de las Bases de Datos, los cuales son - entre otros - los siguientes:

4.1 En relación con la base de datos de empleados y contratistas

Nombre y apellidos, nacionalidad, estado civil, número de cédula de identidad, título profesional, huella dactilar, caligrafía, fecha y lugar de nacimiento, estado civil, dirección, teléfono de contacto, correo electrónico, historial laboral, clínico o de salud, académico y patrimonial, referencias, antecedentes comerciales o información financiera, judiciales y familiares con otras compañías o con entidades públicas, fotografías recientes, imágenes en cámaras de vigilancia, historia clínica ocupacional; lugar de trabajo, cargo o profesión del cónyuge o conviviente y de sus parientes hasta el cuarto grado de consanguinidad, y cualquier otro dato que fuere necesario para lograr las finalidades descritas.

4.2 En relación con la base de datos de clientes, proveedores y demás partes interesadas de Gabrica

Nombre y apellidos, número de cédula de identidad, fecha de nacimiento, dirección, teléfono de contacto, correo electrónico, antecedentes comerciales, judiciales, relaciones comerciales y familiares con otras compañías o con entidades públicas, necesidades e intereses, lugar de trabajo.

4.3 En relación con la base de datos de visitantes

Nombres y apellidos, número de cédula de identidad, huellas dactilares, fotografía o imágenes del rostro y corporales, firma, necesidades e intereses, fechas y horas de acceso a las instalaciones de GABRICA, sistema de salud donde esté afiliado, teléfono de contacto.

Los datos podrán ser suministrados explícitamente por los Titulares, o recolectados al inicio y/o durante la relación laboral o civil entre los Titulares y GABRICA. Para tales eventos, se informa a los Titulares que no están obligados a suministrar los referidos datos o a autorizar su tratamiento. Una vez suministrados dichos datos y otorgado el correspondiente consentimiento, los datos serán recopilados y tratados únicamente para las finalidades descritas en la presente Política de Tratamiento.

4.4 En relación con la base de datos de pet parents

Gabrica trata datos personales de pet parents en promociones, actividades relacionadas con el comercio electrónico, cumplimiento legal ante las autoridades correspondientes, sorteos, rifas, juegos, espectáculos, bloques, página de internet, redes sociales, clientes, proveedores y demás partes interesadas de Gabrica.

Los datos que se tienen de pet parents son: nombre, número de identificación, correo electrónico, número celular, datos de redes sociales, fotos (particularmente de redes sociales o en promociones, sorteos, rifas, juegos y espectáculos), comportamiento, compras, dirección, entre otros.

5. Niños, niñas y adolescentes (NNA)

GABRICA SAS reconoce la especial protección que merecen los datos personales de los niños, niñas y adolescentes. En consecuencia, su tratamiento se realiza bajo el estricto cumplimiento del principio del interés superior del menor y el respeto a sus derechos fundamentales.

• Como regla general, GABRICA SAS no realiza tratamiento de datos personales de niños, niñas y adolescentes. Excepcionalmente, podrá tratar dichos datos únicamente cuando sea estrictamente necesario y para las siguientes finalidades explícitas: Obligaciones Legales y Laborales: Para el cumplimiento a normativas de seguridad social y beneficios laborales que involucren a los hijos y/o dependientes menores de edad de colaboradores y contratistas;
• Actividades de Bienestar y Responsabilidad Social: En el marco de eventos de bienestar o actividades de responsabilidad social empresarial dirigidas a niños, niñas y adolescentes (vinculados a programas con fundaciones, colegios u otras instituciones), siempre que su participación sea voluntaria.

Para cualquier tratamiento de datos de menores de edad, GABRICA SAS se compromete a:

• Obtener la autorización previa, explícita e informada del padre, madre o representante legal del menor. Dicha autorización deberá detallar la finalidad específica, los datos a tratar y el alcance del tratamiento.
• Informar sobre el carácter facultativo de responder a preguntas sobre datos de NNA.
• Asegurar que el tratamiento responde inequívocamente al interés superior del menor y no a intereses comerciales o de marketing de la compañía.

En la captura y uso de fotografías, grabaciones de voz o videos, objeto de publicación en redes sociales, página web e intranet, se exigirá siempre la autorización expresa y previa de los representantes legales. Adicionalmente Gabrica trata el nombre y datos de identificación, según el caso.

Gabrica respeta los derechos de los menores de edad a ser oídos y tenidos en cuenta.

6. Datos sensibles

Se consideran datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, tales como los que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, la salud, la vida sexual, así como los datos biométricos (huella dactilar, imágenes faciales, voz, iris, entre otros).

El tratamiento de datos sensibles está prohibido, salvo en circunstancias expresamente permitidas por la ley, entre estas:

• El Titular otorgue su autorización explícito, previo e informado para dicho tratamiento.

En el caso de Perú y Chile, cuando:

• Sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado.
• Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
• Lo autorice expresamente una ley.

En ningún caso el Titular estará obligado a autorizar el tratamiento de datos sensibles. Siempre que GABRICA recolecte este tipo de información, indicará cuáles de los datos que serán objeto de tratamiento son sensibles, especificará la finalidad del tratamiento y recordará el derecho a no suministrar dichos datos y su negativa no implicará ninguna consecuencia desfavorable.

Finalmente, GABRICA implementará medidas reforzadas de seguridad de carácter técnico, administrativo y jurídico para garantizar la protección de los datos sensibles frente a pérdida, uso no autorizado o fraude.

7. Transferencias y transmisión de datos personales

GABRICA podrá transmitir o transferir datos personales a aliados comerciales, subsidiarias, matrices, conglomerados, terceros, nacionales o internacionales, siempre que se respeten los principios y obligaciones previstas en la normatividad vigente de tratamiento de datos personales en Colombia, Chile y Perú, así como las que la modifiquen o complementen. Para el caso de transmisiones nacionales e internacionales a Encargados del Tratamiento, GABRICA celebrará contratos de transmisión de datos, en los cuales se establecerán de manera expresa las obligaciones de confidencialidad, seguridad y el deber de dar tratamiento a los datos conforme a la finalidad autorizada y bajo las instrucciones del Responsable, así como los demás requisitos indicados en el régimen legal vigente de protección de datos personales. Lo anterior incluye procesos de fusión o escisión.

Transferencia Internacional de Datos Personales:
GABRICA podrá realizar transferencias internacionales de datos personales a empresas del grupo empresarial, aliados comerciales o proveedores ubicados en el extranjero, sujetándose a las siguientes reglas:

A. Principio de Nivel Adecuado de Protección: La transferencia solo se realizará a países u organismos internacionales que proporcionen un nivel de protección de datos personales adecuado, conforme a los estándares definidos por la autoridad de protección de datos competente en cada país de origen (Colombia, Chile y Perú).

B. Transferencias sin Decisión de Adecuación: En caso de que el país de destino no cuente con una declaración de adecuación, la transferencia se legitimará a través de la implementación de garantías apropiadas, tales como:

• La suscripción de Cláusulas Contractuales o el instrumento contractual que apruebe la autoridad local.
• Políticas internas de protección de datos adoptadas por grupo empresarial o para permitir transferencias internacionales de datos personales dentro del mismo grupo), si aplicara.
• Otros mecanismos que autorice la legislación de cada país.

C. Excepciones: Se podrán realizar transferencias internacionales sin las garantías anteriores solo en los casos excepcionales previstos en la ley, como el consentimiento explícito e informado del Titular para la transferencia específica, la ejecución de un contrato, o el interés público.

En todos los casos, GABRICA garantizará que los terceros receptores de la información apliquen medidas técnicas, humanas y administrativas de seguridad para la adecuada protección de los datos personales. El Titular podrá solicitar en cualquier momento información, sobre los terceros nacionales o extranjeros a quienes se hayan transmitido o transferido sus datos, acerca del tratamiento de sus datos personales.

8. Autorización para recolección y tratamiento de datos personales y otra información

Mediante el suministro voluntario de alguno de los datos personales en la forma señalada en el numeral anterior, y/o la autorización expresa verbal o por escrito, el Titular autoriza expresa e inequívocamente a GABRICA para recolectar datos personales y cualquier otra información que suministre, así como para realizar el tratamiento sobre sus datos personales, de conformidad con esta Política y las leyes sobre tratamiento de datos personales en Colombia, Chile y Perú.

9. Tratamiento de los datos personales almacenados en las bases de datos de Gabrica

GABRICA solo usará, procesará y circulará los datos personales y otra información de los Titulares para las finalidades descritas y para los tratamientos autorizados en esta Política de Tratamiento o en las leyes vigentes. En adición a lo mencionado en otras cláusulas, el Titular expresamente autoriza a GABRICA para la recolección, uso y circulación de sus datos personales y otra información para los siguientes propósitos y en las siguientes circunstancias:

1. Establecer comunicación entre GABRICA y los Titulares para cualquier propósito relacionado con las finalidades que se establecen en la presente Política, ya sea mediante llamadas, mensajes de texto, correos electrónicos y/o físicos.
2. Auditar, estudiar y analizar la información de las Bases de Datos para diseñar y ejecutar estrategias administrativas, laborales, de seguridad y financieras relacionadas con los trabajadores de GABRICA.
3. Suministrar la información y datos personales de los Titulares a las sociedades subsidiarias, filiales o afiliadas a GABRICA, aliados comerciales o a otras sociedades o personas que GABRICA encargue para realizar el tratamiento de la información y cumplir con las finalidades descritas en la presente Política y el objeto de la relación laboral o civil con los Titulares.
4. Con el fin de preservar la seguridad de GABRICA, analizar y verificar la información de los trabajadores y colaboradores de GABRICA y de aquellos que participen en procesos de selección.
5. Transferir, transmitir y suministrar, a título gratuito u oneroso, la información y datos personales de los Titulares a aliados comerciales nacionales y/o extranjeros para que estos contacten a los Titulares para ofrecerles sus productos, información o servicios que a juicio de GABRICA puedan ser de interés del Titular.
6. Transferir, transmitir y suministrar la información y datos personales de los Titulares a terceros, en aquellos casos en que GABRICA participe en procesos de fusión, integración, verificación o liquidación.
7. Verificar conflictos de interés o posibles irregularidades en los nuevos contratistas y/o trabajadores de GABRICA.
8. Realizar calificación de riesgo financiero, jurídico comercial y de seguridad.
9. Consultar, almacenar y usar la información financiera obtenida que terceros administradores de bases de datos, previa autorización del Titular para dicha consulta.
10. Combinar los datos personales con la información que se obtenga de otros aliados o compañías o enviarla a los mismos para implementar estrategias comerciales conjuntas.
11. Cuando la información deba ser revelada para cumplir con leyes, regulaciones o procesos legales, para asegurar el cumplimiento de los términos y condiciones, para detener o prevenir fraudes, ataques a la seguridad de GABRICA o de otros, prevenir problemas técnicos o proteger los derechos de otros.
12. Auditar, estudiar y analizar la información de las Bases de Datos para diseñar estrategias comerciales y aumentar y/o mejorar los Productos y Servicios que ofrece GABRICA.
13. Auditar, estudiar, analizar y utilizar la información de la Base de Datos para diseñar, implementar y desarrollar, programas, proyectos y eventos.
14. Auditar, estudiar, analizar y utilizar la información de la Base de Datos para la socialización de políticas, proyectos, programas, resultados y cambios organizacionales.
15. Transmitir, transferir y suministrar la información y datos personales de los Titulares a aliados estratégicos nacionales y/o extranjeros para que estos contacten los Titulares para ofrecerles bienes y servicios de su interés, recibir ofertas de los titulares, invitar a la participación en programas, proyectos eventos, socializar políticas, proyectos, programas, resultados y cambios organizacionales.
16. Vender o ceder los datos a terceros nacionales y/o extranjeros.
17. Las demás que sean necesarios para cumplir las finalidades descritas en la presente Política.

10. Solicitud de autorización para nuevos usos

GABRICA podrá solicitar autorización de los Titulares para el uso o circulación de sus datos o información para propósitos diferentes a los expresados en la presente Política y en los Términos y Condiciones, para lo cual publicará los cambios en la presente Política de Tratamiento en su página web o en cualquier medio que estime conveniente según el caso.

11. Almacenamiento de datos personales

El Titular autoriza expresamente a GABRICA para que este lo almacene de la forma que considere más oportuna y cumpla con la seguridad requerida para la protección de los datos de los Titulares.

12. Medidas de seguridad para la protección de los datos personales y otra información

12.1 Compromiso con la seguridad

Gabrica se compromete a proteger la confidencialidad, integridad y disponibilidad de la información personal de los Titulares. Para ello, ha implementado y mantiene un Sistema de Gestión de Seguridad de la Información, que considera la naturaleza de los datos tratados y el impacto que podría generar una vulneración. Las medidas de seguridad con las que cuenta GABRICA buscan proteger los datos de los Titulares en aras de impedir su adulteración, pérdida, usos y accesos no autorizados. Para ello, GABRICA de forma diligente implementa medidas físicas, administrativas y técnicas.

A. Medidas Técnicas: Incluyen, entre otras:

• Antivirus en usuario final y en servidores.
• Firewall (No aplica en Perú).
• Control de acceso mediante contraseñas.
• Doble factor de autenticación para usuarios administradores.
• Log de acceso, donde se reportan intentos de acceso inusuales por parte de los usuarios de los dominios gabrica.com.co y gabrica.co.
• Sistema de detección de vulnerabilidades que se ejecuta mensualmente y se realiza el parchado de los equipos que lo necesitan.

Backup incremental y total semanal a las bases de datos de las aplicaciones core (D365, Bodega de datos, staging area).

B. Medidas Organizativas y Administrativas: Comprende la Política de protección de datos, programas de formación y concienciación continua para todo el personal, la designación de roles y responsabilidades en materia de privacidad, la suscripción de acuerdos de confidencialidad con colaboradores y proveedores.

C. Medidas Físicas: Controles de acceso a las instalaciones, protección de equipos informáticos y almacenamiento seguro de documentos físicos para prevenir el acceso no autorizado.

El Titular acepta expresamente esta forma de protección y declara que la considera conveniente y suficiente para todos los propósitos.

12.2 Principio de privacidad desde el diseño y por defecto

Gabrica adopta los principios de Privacidad desde el Diseño y por Defecto en sus nuevos proyectos, productos y servicios. Esto significa que la protección de datos personales es un requisito integral desde la concepción de cualquier iniciativa que implique su tratamiento, aplicando por defecto las configuraciones más respetuosas con la privacidad.

12.3 Gestión de incidentes de seguridad

En caso de que un incidente pueda generar un riesgo significativo para los derechos y libertades de los Titulares, se realizarán las notificaciones correspondientes a la autoridad de protección de datos competente y a los propios Titulares afectados, conforme a los plazos y requisitos establecidos en la legislación aplicable de cada país.

13. Derecho de los titulares

GABRICA informa a sus titulares que, conforme a las legislaciones aplicables en Colombia, Chile y Perú, estos tienen el derecho de acceso, rectificación, cancelación (o supresión), oposición al tratamiento, portabilidad de sus datos (solo aplicable a Chile) y revocatoria del consentimiento para su tratamiento. En particular, los derechos consagrados en la Ley 1581 de 2012 de Colombia, la Ley 19.628 y 21.719 de Chile y la Ley N° 29733 de Perú, así como aquellas que las modifiquen:

1. Derecho de Acceso: Usted tiene derecho a solicitar y obtener información de manera gratuita, sobre los datos personales suyos que son objeto de tratamiento por parte de Gabrica, incluyendo el origen de dichos datos, la finalidad del tratamiento, y las comunicaciones que de ellos se hayan realizado o se prevea hacer.
2. Derecho de Actualización y Rectificación: Podrá solicitar la actualización o rectificación de sus datos personales cuando estos resulten parciales, inexactos, incompletos, fraccionados, o aquellos cuya exactitud no pueda ser establecida o que induzcan a error.
3. Derecho de Cancelación (Supresión o Eliminación): Tiene el derecho a solicitar la eliminación o supresión de sus datos personales cuando considere que no se están tratando conforme a los principios, deberes y obligaciones previstas en la normativa vigente, cuando hayan dejado de ser necesarios para la finalidad para la cual fueron recabados, o cuando haya vencido el plazo establecido para su tratamiento. Lo anterior, siempre y cuando no lo impida una disposición legal o contractual.
4. Derecho de Oposición: Usted puede oponerse al tratamiento de sus datos personales cuando existan motivos fundados y legítimos relativos a una concreta situación personal que así lo justifiquen, siempre que una ley no disponga lo contrario. Lo anterior, siempre y cuando no lo impida una disposición legal o contractual.
5. Derecho a ser Informado: Tiene derecho a ser informado de manera clara y previa sobre la finalidad para la cual serán tratados sus datos personales y las condiciones de su tratamiento.
6. Derecho de Revocación del Consentimiento: Podrá revocar en cualquier momento el consentimiento otorgado para el tratamiento de sus datos personales, siempre y cuando no lo impida una disposición legal o contractual.
7. Derecho a la Portabilidad de los Datos (Aplicable en Chile): Conforme a la legislación chilena, tiene derecho a solicitar y recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.
8. Derecho a presentar Quejas y Reclamos: Podrá presentar quejas y reclamos ante la autoridad de protección de datos competente en su país de residencia, en caso de considerar que se ha vulnerado su derecho a la protección de datos personales. Las autoridades competentes son:
   • Colombia: La Superintendencia de Industria y Comercio (SIC).
   • Chile: La Agencia de Protección de Datos Personales.
   • Perú: La Autoridad Nacional de Protección de Datos Personales (ANPD).

13.1 Área encargada de peticiones, consultas y reclamos

El área encargada de atender las peticiones, consultas y reclamos de los titulares para ejercer sus derechos de acceso, rectificación, cancelación (o supresión), oposición al tratamiento, portabilidad de sus datos y revocatoria del consentimiento es el Área de Gestión de Riesgos de GABRICA.

13.2 Procedimiento para ejercer sus derechos

En caso de que desee ejercer sus derechos, el Titular deberá enviar un correo electrónico o físico a las direcciones de contacto establecidas en la presente Política de Tratamiento y Protección de Datos Personales. El procedimiento que se seguirá para dichas comunicaciones, serán los que se indican a continuación:

A. Información Mínima Requerida para la Solicitud:

Para garantizar una atención adecuada y verificar la identidad del solicitante, toda solicitud deberá contener la siguiente información y estar acompañada de los documentos que se detallan a continuación. Este es un requisito indispensable para dar trámite a su petición:

I. Identificación del Titular:

• Nombres y apellidos completos del Titular de los datos.
• Documento de Identidad: Copia legible del documento de identidad válido en su país.

Solicitud de un Representante o Apoderado: Si la solicitud es presentada por una persona distinta al Titular, se deberá acreditar la representación mediante poder especial o el documento legal que certifique la representación (ej. registro civil de nacimiento para menores de edad, sentencia judicial para curadores). El representante también deberá adjuntar copia de su propio documento de identidad.

II. Contenido de la Solicitud:

• Descripción clara y precisa del derecho que se desea ejercer.
• Descripción de los hechos que fundamentan la solicitud.
• Documentos que se quieran hacer valer como prueba, si aplica (ej. documentos que acrediten el dato correcto en una solicitud de rectificación).

III. Datos de contacto para notificaciones:

• Dirección física o correo electrónico donde desea recibir la respuesta a su solicitud. Si no se especifica, se responderá por el mismo medio por el cual recibió la solicitud.

B. Subsanación de Solicitudes Incompletas:

Si la solicitud resulta incompleta por no cumplir con los requisitos aquí descritos, será requerido al solicitante que subsane las omisiones conforme a los plazos y requisitos establecidos en la legislación aplicable de cada país. Si transcurrido el plazo el solicitante no presenta la información requerida, se entenderá que ha desistido de su solicitud.

C. Plazos de Respuesta:

Para garantizar la claridad y el cumplimiento normativo en cada país, los plazos de respuesta para las solicitudes de los titulares se gestionarán de la siguiente manera:

Una vez recibido la solicitud y/o reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

Improcedencia del Retiro o Supresión: La supresión o la revocatoria de la autorización no procederá cuando exista un deber contractual de permanecer en la base de datos de GABRICA.

14. Utilización de cookies y device fingerprinting

La presente autorización para el tratamiento de datos personales incluye, al igual que otros sitios web, la utilización de cookies y device fingerprinting. GABRICA utiliza tecnologías como cookies y device fingerprinting, que permiten hacer de su visita a nuestros sitios más fácil y eficiente, suministrándole un servicio personalizado y reconociéndole cuando usted vuelva a nuestro sitio. Para estos efectos "cookies" son archivos de texto de información que un sitio web transfiere al disco duro de la computadora de los usuarios con el objeto de almacenar ciertos registros y preferencias.

Los sitios web pueden permitir publicidad o funciones de terceros que envíen "cookies" a las computadoras de los titulares.

Las cookies se asocian únicamente con un usuario anónimo y su computador, y no proporcionan por sí el nombre y apellidos del mismo. Cuando usted accede a cualquier sitio web de GABRICA, se graba su dirección IP, para que nos dé una idea de qué partes del sitio web visita y cuánto tiempo pasa en cada sección. Con todo, GABRICA no vincula su dirección IP a ninguna información personal suya, salvo que usted se haya registrado con nosotros y haya entrado al sistema utilizando su perfil.

Las cookies no pueden leer los archivos cookie creados por otros proveedores. GABRICA cifra los datos identificativos del usuario para mayor seguridad. Para utilizar el sitio web de GABRICA, no es necesario que el usuario permita la instalación de las cookies de GABRICA ni del fingerprinting, sin perjuicio de que en tal caso será necesario que el usuario se registre en cada uno de los servicios cuya prestación requiera el previo registro.

GABRICA no será responsable por las transacciones u operaciones que se lleguen a realizar en otros enlaces o plataformas que salgan en nuestra página. Sin perjuicio de lo anterior, a fin de que el usuario tome las medidas de seguridad pertinentes, si el usuario decidiera seleccionar una ventana o link expuesta en la página web de GABRICA esta última informará al usuario que está saliendo de su página web a través de una ventana emergente. GABRICA cuenta con las seguridades razonables en su página web, sin embargo, su responsabilidad se limita a la información y herramientas contenidas en su página. Todo evento o aviso en plataformas externas, aun cuando se ingresa a ellas desde la página de GABRICA, es independiente, autónomo, y la responsabilidad será exclusiva del titular de dicha página o plataforma. Si el usuario llegare a tener dudas respecto de la legalidad o procedencia de una página web, lo invitamos a cerrar dicha página e informárnoslo.

15. Contacto

Cualquier duda o información adicional será recibida y tramitada mediante su envío a las direcciones de contacto establecidas en la presente Política de Tratamiento y Protección de Datos Personales.

16. Periodo de vigencia de la base de datos

Los datos personales incorporados en las Bases de Datos estarán vigentes durante el plazo necesario para cumplir sus finalidades. Por regla general, Gabrica tratará los datos durante diez (10) años, pero puede haber situaciones especiales que se informarán al titular.

17. Cambios en la política de tratamiento y protección de datos personales

Cualquier cambio sustancial en las políticas de Tratamiento, será comunicado oportunamente a los Titulares mediante la publicación en nuestros portales web.

18. Legislación vigente

En Chile, la legislación nacional vigente en materia de protección de datos personales está contenida en la Ley 21.719 del 2024 y las normas que lo modifiquen o complementen.

En Colombia, la legislación nacional vigente en materia de protección de datos personales está contenida en la Ley 1581 de 2012, el Decreto 1074 de 2015, la Ley 1266 de 2008, la Circular Única de la SIC y las normas que lo modifiquen o complementen.

En Perú, la legislación vigente en materia de protección de datos personales está contenida en la Ley N°29733 y el Decreto Supremo N° 016-2024-JUS y las normas que lo modifiquen o complementen.

Es fundamental resaltar que la petición, queja o reclamo del Titular se atenderá correspondiendo a la legislación del país donde se originó dicha solicitud.

19. Vigencia

A efectos de dar publicidad y de obtener las autorizaciones respectivas, previo a su vigencia, la presente política se publica el 4 de diciembre de 2025 e inicia su aplicación el 1 de enero de 2026.