POLÍTICA DE PRIVACIDAD, PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

En cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013 (compilado en el decreto 1074 de 2015) , el Decreto 886 de 2014 y 090 de 2018 y garantizando los derechos fundamentales establecidos por la Constitución Política de Colombia, en especial, el derecho constitucional de habeas data (Artículo 20) y el derecho a la intimidad de las personas (Artículo 15) que tienen todas las personas para conocer, actualizar y rectificar las informaciones que hayan recogido sobre ellas en las bases de datos, así como la de suprimir y revocar la autorización para el tratamiento de los datos personales que haya sido otorgada por el titular; La empresa, TWENTYNINE® COMPANY SAS., (en adelante “TWENTYNINE®”, “Nosotros”, “Nuestro/a” ó “Nuestras”) sociedad comercial debidamente constituida conforme a las leyes de la República de Colombia, domiciliada en Bogotá D.C, ubicada en la dirección Calle 53 sur No. 11a-35 e identificada con NIT. 902.000.385-2, actuando en calidad de Responsable del tratamiento de Datos Personales obtenidos a través de este sitio web www.twentynine.com.co (en adelante “página web”), redes sociales, formularios de compra y cualquier otro canal de contacto (en adelante denominado de manera colectiva “servicios”), adopta, comunica y publica para todos los interesados, la presente Política de Privacidad, Protección y Tratamiento de Datos Personales (en adelante “Política de Privacidad”), aplicable al tratamiento de los datos personales de clientes, trabajadores, usuarios, proveedores y visitantes (en adelante “titular/es”, “usted”, “usuario” ó “sus”) de nuestra página web y servicios, en el marco de nuestras actividades comerciales, administrativas, legales, laborales, y de marketing en desarrollo de nuestro objeto social.

Los Encargados del Tratamiento (como se define más adelante) serán también todos aquellos terceros a quienes TWENTYNINE® les transmita los Datos Personales de los Titulares. Los Encargados del Tratamiento se sujetarán a la presente Política de Privacidad y realizarán el Tratamiento (como se define más adelante) de la forma en que TWENTYNINE® estrictamente les ordene, contando con el consentimiento de los Titulares. Asimismo, TWENTYNINE®, en ocasiones, fungirá como Encargado del Tratamiento de Datos Personales cuyos Responsables del Tratamiento son los clientes de TWENTYNINE®; en estos casos, el Tratamiento que se realice sobre tales Datos Personales, estará supeditado a las instrucciones y la Política de Privacidad del cliente, así como a los principios que rigen el derecho de Hábeas Data en Colombia; en cualquier caso, velará, en la mayor medida posible, por la conservación y seguridad de los Datos Personales, usando para ello, los medios técnicos y tecnológicos razonables e idóneos. La presente Política de Privacidad se aplicará a todas las Bases de Datos (como se define más adelante) o archivos que contengan Datos Personales que sean objeto de Tratamiento por parte de nosotros, en los eventos en los cuales se nos considere como Responsables o Encargados del Tratamiento de Datos Personales de personas naturales, conforme a las disposiciones de la Ley Estatutaria 1266 de 2008, la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 y demás normas que en adelante las modifiquen y/o adicionen.

Esta Política de Privacidad permite informar a los diferentes usuarios y Titulares de Datos Personales las directrices que el responsable del Tratamiento adoptó en cuanto al Tratamiento de sus Datos Personales, teniendo como prioridad el cumplimiento de la normativa vigente desde la privacidad, confidencialidad y seguridad al realizar el Tratamiento de los Datos Personales recolectados.

Lea atentamente la presente Política de Privacidad. Al acceder o usar la página web, usted en calidad de usuario, aprueba haber leído, entendido y aceptado nuestros términos y condiciones de uso. Si no está de acuerdo con nuestros términos, condiciones y políticas, no utilice ni acceda a ninguno de nuestros servicios o solicite la supresión de sus datos personales de nuestras bases de datos, comunicándose al teléfono, o al correo servicioalcliente@twentynine.com.co

Establecer los lineamientos que garantizan que el tratamiento de datos personales realizado por TWENTYNINE® (en Condición de Responsable del Tratamiento de Datos Personales), bajo esta Política de Privacidad, sean acorde a la ley, respeten los derechos de los titulares, sean transparentes, seguros y controlados, minimicen riesgos legales y operativos, permitan responder con solvencia ante cualquier reclamación de los titulares o inspección de la Superintendencia de Industria y Comercio, así como brindar una adecuada recolección, almacenamiento, tratamiento, administración, transferencia, transmisión, protección y supresión de la información, que se reciba de los titulares de datos personales o de terceros a través de los diferentes canales de recolección de datos que ha dispuesto en desarrollo de sus operaciones administrativas y comerciales.

A) Constitución Política de Colombia, artículo 15 y 20.
B) Ley 1266 de 2008 y Ley 1581 de 2012.
C) Decreto 1727 de 2009 y Decreto 2952 de 2010.
D) Decreto 1377 de 2013 y Decreto 886 de 2025.
E) Decreto Único Reglamentario del Sector Comercio 1074 de 2015, capítulos 25 y 26.
F) Circular externa 01 del 8 de noviembre de 2016 de la Superintendencia de Industria y Comercio.
G) Decreto 090 de 2018.
H) Circular externa del 08 de agosto de 2020 de la Superintendencia de Industria y Comercio.
H) Sentencias de la corte Constitucional C-1011 de 2008 y C-748 del 2011.

En aplicación del artículo 4 la ley 1581 de 2012 y las demás disposiciones normativas que la desarrollen, modifiquen y/o complementen, mediante las cuales se dictan disposiciones generales para la protección de datos personales, y en concordancia con el compromiso adoptado por TWENTYNINE® para el adecuado tratamiento de los Datos Personales, en la presente política de privacidad, se deberá garantizar la aplicación de manera integral de los siguientes principios:
1. Principio de Legalidad: En todo proceso de Tratamiento de Datos Personales, desde el momento de su captura, almacenamiento y eliminación, se debe cumplir con las disposiciones normativas, empleando los Datos Personales para fines que estén bajo la Ley y las disposiciones reglamentarias que la desarrollen.
2. Principio de finalidad: El tratamiento de Datos adoptado por TWENTYNINE® en ejercicio de las operaciones comerciales o administrativas, debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular con el propósito de que éstos conozcan las actividades que desarrollará TWENTYNINE® con los Datos Personales que está entregando.
3. Principio de libertad: La recolección, el almacenamiento y el Tratamiento de los Datos solo puede ejercerse con la autorización previa, expresa, e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento o lo habilite, está prohibido.
4. Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error en la ejecución del Tratamiento para el cuál fueron recolectados.
5. Principio de transparencia: En el Tratamiento de los Datos Personales, debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
6. Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas por la ley, así como por los terceros que hayan celebrado contratos de Transmisión o Transferencia de Datos Personales con TWENTYNINE®. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.
7. Principio de seguridad: Toda la información sujeta a tratamiento por TWENTYNINE®, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad y protección a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
8. Principio de confidencialidad: TWENTYNINE®, está obligada a garantizar la reserva de la información, y los Datos Personales que no estén bajo la categoría de Datos públicos, inclusive después de finalizada su relación vinculante que origina el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley. Por lo cuál, todas las personas que tengan acceso al Tratamiento de los Datos Personales deberían promover prácticas de manejo de Datos Personales que eviten su exposición o suministro a terceros no autorizados.

La ley 1581 de 2012 desarrolla el derecho constitucional a conocer, actualizar y rectificar la información recogida en bases de datos y los demás derechos, libertades y garantías a que se refieren los artículos 15 y 20 de la Constitución Política.

La citada ley aplica a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de entidades públicas o privadas. Considerando el modo de conservación de una base de datos, se puede distinguir entre bases de datos automatizadas y bases de datos manuales o archivos.

Las bases de datos automatizadas son aquellas que se almacenan y administran con la ayuda de herramientas informáticas. Las bases de datos manuales o archivos son aquellas cuya información se encuentra organizada y almacenada de manera física.

La ley exceptúa del régimen de protección (1) los archivos y las bases de datos pertenecientes al ámbito personal o doméstico; (2) los que tienen por finalidad la seguridad y la defensa nacional, la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, (3) los que tengan como fin y contengan información de inteligencia y contrainteligencia; (4) los de información periodística y otros contenidos editoriales; (5) los regulados por la Ley 1266 de 2008 (Información financiera y crediticia, comercial, de servicios y proveniente de terceros países) y; (6) los regulados por la Ley 79 de 1993 (sobre censos de población y vivienda).

A) Derechos del Titular de la Información. Usted, como titular de los Datos Personales que nos suministra, tendrá los siguientes derechos: 1. Conocer, actualizar y rectificar sus Datos Personales frente a TWENTYNINE® o las personas naturales o jurídicas que TWENTYNINE® designe como Encargadas del Tratamiento de sus Datos Personales.

1. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

2. Consultar de forma gratuita sus datos personales al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento.

3. Solicitar prueba de la Autorización otorgada a TWENTYNINE® salvo cuando expresamente se exceptúe en la Ley como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012 en los siguientes casos: - Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. - Datos de naturaleza pública. -Casos de urgencia médica o sanitaria. - Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. - Datos relacionados con el Registro Civil de las Personas.

4. Ser informado sobre la existencia y el uso que TWENTYNINE® o alguna de las compañías encargadas del tratamiento de los Datos Personales le ha dado a éstos, previa solicitud.

5. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

6. Revocar la Autorización y/o solicitar la supresión de los Datos Personales cuando en el Tratamiento, no se respeten los principios, derechos y garantías constitucionales y legales o no se haga un uso conforme a la finalidad.

7. Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas y niños y adolescentes

8. Presentar, ante la Superintendencia de Industria y Comercio (SIC), quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.

B) Legitimación para el ejercicio del derecho del titular. Los derechos de los titulares podrán ejercerse por las siguientes personas:

1. Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición de TWENTYNINE®. Por los causahabientes del titular (en los casos que este falte por muerte o incapacidad), quienes deberán acreditar tal calidad.

2. Por el representante y/o apoderado del titular, previa acreditación de la representación o poder correspondiente.

3. Por estipulación a favor de otro o para otro.

C) Deberes del Titular de la Información. El Titular de los Datos Personales tendrá el deber de mantener actualizada su información y garantizar, en todo momento, la veracidad de ésta. TWENTYNINE ® COMPANY SAS. no se hará responsable, en ningún caso, por cualquier tipo de responsabilidad derivada por la inexactitud de la información.

TWENTYNINE® como responsable y/o encargado del Tratamiento de Datos Personales, deberá cumplir los siguientes deberes sin perjuicio de las demás disposiciones previstas en las leyes aplicables y otras que rijan su actividad:
1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
4. Respetar las condiciones de seguridad y privacidad de la información del titular.
5. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
6. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
7. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
8. Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
9. Informar a solicitud del titular sobre el uso dado a sus datos.
10. Actualizar la información oportunamente, rectificación o supresión de los Datos Personales, en lol términos señalados por esta política de Privacidad en el acápite de procedimientos, atendiendo de esta forma todas las novedades respecto de los datos del titular, dentro de los 10 días hábiles siguientes al recibo de la novedad. Adicionalmente, se deberán implementar todas las medidas necesarias para que la información se mantenga actualizada.
11. Habilitar medios de comunicación electrónica y otros que considere pertinentes que permitan atender de forma oportuna las consultas y reclamos presentados por los Titulares de los Datos Personales.
12. Tramitar las consultas y reclamos formulados por los titulares.
13. Registrar en la base de datos la leyenda "reclamo en trámite" dentro de los dos días hábiles siguientes a la recepción del reclamo completo.
14. Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
15. Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
16. Identificar cuando determinada información se encuentra en discusión por parte del titular.
17. Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
18. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
19. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en las leyes.
20. La información solicitada debe ser suministrada de forma gratuita y por cualquier medio, accesible por parte TWENTYNINE®, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder estrictamente a aquella que repose en la Base de Datos.
21. En el evento en que la certificación de la información autorizada sea solicitada físicamente y/o ésta necesite ser enviada por correo certificado, la empresa TWENTYNINE® podrá requerir al solicitante para que pague la suma que en gastos corresponda, sin que en ningún momento se pueda cobrar más de lo realmente facturado; en el evento de ser requerido, la empresa TWENTYNINE® deberá demostrar a la SIC el soporte de dichos gastos.
22. Adoptar las medidas necesarias y que estén a su alcance para que los Datos Personales suministrados se mantengan actualizados.
23. Rectificar los Datos Personales cuando sean incorrectos.
24. Cumplir las instrucciones y requerimientos que imparta la SIC.
25. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la SIC.
26. Permitir el acceso a los Datos Personales únicamente a las personas que pueden tener acceso a ella, es decir: (1) Los Titulares de los mismos, sus causahabientes o sus representantes legales, (2) Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial y (3) A los terceros autorizados por el Titular o por la Ley.
27. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad establecidos por TWENTYNINE ® y existan riesgos en la administración, confidencialidad, integridad o disponibilidad de los Datos Personales de los Titulares.
28. Establecer los mecanismos necesarios para obtener la Autorización de los Titulares para el Tratamiento de sus Datos Personales, que podrá ser otorgada a través de documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta.
29. Es obligación de TWENTYNINE® conservar la prueba de la Autorización y entregar copia al Titular en caso de requerirla.
30. Establecer mecanismos sencillos y gratuitos que permitan al Titular solicitar el reporte, modificación, supresión o actualización de sus Datos Personales, que pueden ser los mismos mecanismos utilizados para el otorgamiento de la Autorización sin perjuicio de los gastos que se puedan presentar con ocasión a la expedición y envío del mismo.
31. Los Datos Personales sujetos a Tratamiento debe ser protegidos mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Para ello, TWENTYNINE® mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los Datos Personales y a los sistemas de información.
32. El personal de TWENTYNINE® que intervenga en el Tratamiento está obligado a garantizar la reserva de los Datos Personales, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento de acuerdo con lo dispuesto en el contrato laboral o demás disposiciones sujetas en la relación entre funcionario y la empresa.
33. Designar a un “Oficial de Datos Personales” o área dentro de TWENTYNINE® que asuma la función de protección de Datos Personales y quien además velará por que a través de los canales de atención se tramiten las solicitudes de los Titulares.
34. La empresa TWENTYNINE® utilizará los Datos Personales de acuerdo con la Autorización dada por el Titular y solamente los trasmitirá o transferirá a aliados, filiales o subsidiaria, terceros que podrán utilizar la información para el desarrollo de sus labores actuando en nombre de TWENTYNINE® o dando cumplimiento a los requerimientos de las autoridades, acogiéndonos a las leyes que aplican sobre la materia.
35. Sólo podrán recolectar, almacenar, usar o circular los Datos Personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron su Tratamiento, teniendo en cuenta las disposiciones legales y aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
36. Una vez cumplida la Finalidad del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, TWENTYNINE ® deberá suprimir los Datos Personales. No obstante, lo anterior, los Datos Personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
37. Acreditar la existencia de la “Política de Privacidad y Protección de Datos” y la forma de acceder a la misma, la cual será publicada en la página web de la empresa y en la sede principal.
38. Las demás establecidas por la Ley.

Aviso de privacidad: El aviso de privacidad es el documento físico, electrónico o en cualquier otro formato, que es puesto a disposición del titular para el tratamiento de sus datos personales, cuando no se pueda poner a disposición la política de privacidad. En este documento se comunica al titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. A efectos de garantizar en todos los casos, que la autorización incluye la totalidad de elementos que permiten al titular ejercer en debida forma sus derechos, en el aviso de privacidad de TWENTYNINE® COMPANY SAS., se debe incluir la siguiente información:

1. Razón social de TWENTYNINE® COMPANY SAS. y sus datos de contacto. 2. El Tratamiento al cual serán sometidos los datos y la finalidad de este. 3. Los derechos que le asisten al titular. 4. Los mecanismos dispuestos por TWENTYNINE® COMPANY SAS. para que el titular conozca la política de tratamiento de la información recolectada. 5. El carácter facultativo de la respuesta a las preguntas que sean hechas, cuando estas versen sobre datos sensibles. Autorización. Sin perjuicio de las excepciones previstas en la ley, toda captura, recolección almacenamiento, uso, circulación o supresión de datos personales por parte de TWENTYNINE® COMPANY SAS. En desarrollo de sus actividades, requiere del consentimiento libre, previo, expreso e informado del titular de estos. Por tanto, TWENTYNINE® COMPANY SAS. en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares garantizando siempre la posibilidad de verificar el otorgamiento de dicha autorización.

B) Forma y mecanismos para otorgar la autorización: La autorización se solicitará a más tardar al momento de recolección de los datos personales, esta autorización podrá constar en un documento físico, electrónico o en cualquier otro formato, que permita garantizar su posterior consulta. La autorización puede ser otorgada por el titular (1) por escrito, (2) de forma oral o (3) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca y TWENTYNINE® debe conservar y custodiar las Autorizaciones obtenidas para el Tratamiento de los Datos Personales, dado que ésta hace parte de las pruebas exigidas por la SIC.

Para todos los efectos, se entiende que la Autorización previa, expresa e informada que usted otorga a favor de nosotros para el Tratamiento de sus Datos Personales, cualquiera que haya sido su medio (escrito, oral, electrónico o por medio de conductas inequívocas), implica el entendimiento y la aceptación plena de todo el contenido de la presente política de privacidad. Es fundamental manifestar que, en el evento de venta, fusión, consolidación, cambio en el control societario, transferencia de activos sustancial, reorganización o liquidación de TWENTYNINE®, esta última podrá transferir los Datos Personales a las partes involucradas, para lo cual se entiende autorizada en virtud de la presente Política de Privacidad. La formatos y textos de autorización serán emitidos por TWENTYNINE® COMPANY SAS. y serán puestos a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2102 y sus decretos reglamentarios.

Con el fin de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal. Los formatos y textos de autorización son una declaración que informa al titular de los datos personales: 1. Identificación, dirección física o electrónica y teléfono del responsable del tratamiento. 2. La mención de la presente política de tratamiento de datos personales y su ubicación en la web institucional. 3. Discriminación de datos personales que se recopilan. 4. Tratamiento y finalidad de los datos personales que recopila. 5. Cómo ejercer derechos de acceso, corrección, actualización o supresión de los datos personales suministrados 6. En caso de que se recopilen datos sensibles la indicación del carácter facultativo de suministrar estos datos. 7. Los Derechos que le asisten como titular. 8. Medios de atención dispuestos por TWENTYNINE®.

Con dicho procedimiento de autorización consentida se garantiza que se ha puesto en conocimiento del titular de los datos personales, el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como también que tiene la opción de conocer cualquier alteración de estos y el uso específico que de ellos se ha dado.

B) Prueba de la autorización: Las áreas responsables del tratamiento en TWENTYNINE® deben contar con las medidas necesarias para mantener registros de cuándo y cómo se obtuvo autorización por parte de los titulares de datos personales para el tratamiento de estos. La organización mantendrá los registros en archivo físico o digital, de acuerdo con el modo de adquisición de la autorización para el tratamiento de datos, con el fin de probar la existencia de la misma como mecanismo de garantía del derecho a la intimidad del titular, en atención a lo dispuesto por el artículo 8 del Decreto 1377 de 2013.

C) Eventos en los cuales no es necesaria la autorización del titular de los datos personales. La autorización del titular de la información no será necesaria cuando se trate de: 1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. 2. Datos de naturaleza pública. 3. Casos de urgencia médica o sanitaria. 4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. 5. Datos relacionados con el Registro Civil de las personas. 6. Las demás descritas en las leyes aplicables.

D) A quiénes se les puede entregar información por parte de TWENTYNINE ® sin necesidad de contar con Autorización del Titular: 1. A los titulares, sus herederos o representantes en cualquier momento y a través de cualquier medio cuando así lo soliciten a TWENTYNINE®. Tratándose del ejercicio de derechos por parte de los causahabientes del Titular, y también para evitar acceso a los Datos Personales por personas no autorizadas legalmente, se deberá verificar previamente y de acuerdo con la ley, la documentación que permita concluir aquel la persona que solicita la información sí es un causahabiente del Titular. 2. A las entidades judiciales o administrativas en ejercicio de funciones que eleven algún requerimiento a la compañía para que le sea entregada la información. 3. A los terceros que sean autorizados por laguna ley de la República de COLOMBIA. 4. A los terceros a los que el titular autorice expresamente entregar la información y cuya autorización sea entregada a TWENTYNINE®, conforme a la presente Política de Privacidad. Si, en definitiva, TWENTYNINE ® no cuenta con la autorización del Titular para darle Tratamiento de conformidad con los términos y condiciones expuestos en esta Política de Privacidad y la requiere, según lo establecido en la normativa colombiana de hábeas data, TWENTYNINE® procederá a suprimir de manera definitiva todos los Datos Personales sobre los cuales no tenga Autorización.

De la misma manera, si TWENTYNINE® no requiere seguir utilizando sus Datos Personales, los mismos serán suprimidos de manera total. Igualmente, si el titular no quiere que TWENTYNINE® continúe dándole Tratamiento a los Datos Personales, deberá informárselo a TWENTYNINE®, a través de los procedimientos determinados en la normativa sobre Protección de Datos Personales, los cuales, además, se especifican en la presente Política de Privacidad. En todo caso, cuando un Titular solicite la supresión de sus Datos Personales, o manifieste su voluntad de revocar la Autorización del Tratamiento, TWENTYNINE® dará trámite a su solicitud según el procedimiento determinado en la presente Política de Privacidad y, al cabo de dicho procedimiento, determinará si, con base en el tipo de relación sostenida con TWENTYNINE® y la continuidad de esta, la supresión de los Datos Personales es procedente o no. Esta decisión deberá estar plenamente motivada y se hará entrega de esta al Titular dentro del término legal establecido.

El Tratamiento de los datos que se recolecten según se ha dispuesto en la Política de TWENTYNINE® COMPANY SAS. será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos personales y podrá, entre otras:
1. Designar a uno o varios encargados del tratamiento de los datos personales.
2. Transferir y/o transmitir los datos personales sujetos a tratamiento a las compañías que hagan parte de su grupo empresarial, esto es, a compañías matrices, filiales o subsidiarias, así como a cualquier otro tercero, dentro o fuera del territorio nacional, bien sean personas jurídicas o naturales, nacionales o extranjeras, aun cuando en el país de ubicación del receptor no se cuenten con normas que establezcan un estándar de protección de datos similares a los vigentes en el territorio nacional.
3. Proporcionar dichos datos personales a agentes, subcontratistas y demás terceros para la consecución de los fines relacionados en al acápite siguiente, y
4. revelar la información cuando así lo requiera las autoridades debidamente facultadas mediante orden administrativa o judicial. En general los datos personales serán tratados con fines precontractuales, contractuales, post contractuales, en las relaciones comerciales, civiles y laborales que se originan con ocasión de su objeto social.

El manejo de los datos podrá tener fines comerciales, de atención al cliente, mercadeo, capacitación, acreditación, consolidación, organización, actualización, reporte, estadística, administración de los recursos, otorgamiento de beneficios, así como el control y la preservación de la seguridad en TWENTYNINE® COMPANY SAS. Se identifican las siguientes bases de datos y su finalidad clasificadas de la siguiente manera: Tratamiento de datos personales en los Procesos de Gestión de Recursos Humanos, datos de aspirantes y trabajadores.

A) Datos personales de aspirantes y trabajadores. TWENTYNINE® COMPANY SAS. se compromete a darle un tratamiento apropiado a los datos que sean recolectados en el proceso de gestión de recursos humanos, que respondan a los procedimientos establecidos para la selección de personal, así como en desarrollo de la relación constituida en virtud del contrato laboral. Con la siguiente finalidad: • Tomar decisiones de reclutamiento y selección, hacer evaluaciones para contratación, hacer investigaciones laborales; solicitar referencias personales y laborales; conformar el archivo de aspirantes; mantener comunicación con el candidato durante el proceso de reclutamiento y selección; • Realizar investigaciones y exámenes necesarios, entre ellos los psicométricos, médicos, o cualquiera otro que resulte necesario, a fin de determinar la aptitud para el cargo. • Adoptar medidas tendientes a la prevención de actividades ilícitas; • Validar las condiciones, aptitudes y experiencia frente al cargo para el cual se ha postulado; • Monitorear la gestión de la relación laboral; • Dar seguimiento al cumplimiento de las obligaciones legales derivadas de la obligación laboral; • Realizar informes y evaluaciones de desempeño; • Mantener un expediente individual de los trabajadores; • Verificar referencias académicas, laborales y personales; • Controlar la seguridad y el acceso a las instalaciones de la empresa; • Realizar auditorías técnicas, tecnológicas, jurídicas, etc.; • Consultar antecedentes disciplinarios y/o judiciales; • Realizar de programas de bienestar laboral

B) Datos de contratistas En desarrollo de la relación civil constituida con un contratista para la ejecución de una actividad determinada, el proceso de gestión de los recursos solicitará los datos básicos que se requieran para la elaboración del contrato, teniendo en cuenta las disposiciones normativas y las políticas de contratación de TWENTYNINE® COMPANY SAS. en el procedimiento de selección, evaluación y reevaluación de contratistas; lo anterior con la finalidad de: • Cumplir con obligaciones derivadas de la relación jurídica vigente; • Adelantar estudios estadísticos; • Hacer cumplir y/o ejecutar el contrato; • Realizar evaluaciones sobre la gestión del contrato; • Realizar los pagos correspondientes; • Realizar levantamiento de registros contables y/o estadísticos; • Realizar reportes a autoridades de control y vigilancia; • Adoptar medidas tendientes a la prevención de actividades ilícitas, incluyendo cualquier información relacionada con el lavado de activos y el financiamiento del terrorismo • Otros fines administrativos, comerciales y de contacto

C) Datos personales de visitantes TWENTYNINE® COMPANY SAS. a través de su personal encargado podrá recolectar datos personales de los visitantes que ingresen a las oficinas principales, con el fin de tener un control del personal circulante en caso de una emergencia, con la finalidad de: • Registrar ingreso y egreso de personal; • Controlar la seguridad y el acceso a las instalaciones de la empresa; • Controlar información de Bioseguridad en las instalaciones Tratamiento de datos personales en el proceso de compras a) Datos de Proveedores TWENTYNINE® COMPANY SAS. En desarrollo de las relaciones comerciales que se establecen con un proveedor para el suministro de bienes y/o servicios, solicitarán los documentos que sean necesarios y pertinentes para desarrollar la mencionada relación, teniendo en cuenta la normatividad vigente y las políticas de contratación de proveedores que cumplan con el procedimiento de selección, evaluación y reevaluación de proveedores. Lo anterior con la finalidad de: • Cumplir con obligaciones derivadas de la relación jurídica vigente; • Adelantar estudios estadísticos; • Realizar evaluaciones sobre la gestión del contrato; • Realizar los pagos correspondientes; • Realizar levantamiento de registros contables y/o estadísticos; • Realizar reportes a autoridades de control y vigilancia; • Adoptar medidas tendientes a la prevención de actividades ilícitas, incluyendo cualquier información relacionada con el lavado de activos y el financiamiento del terrorismo • Otros fines administrativos, comerciales y de contacto Tratamiento de datos personales en el proceso comercial.

A)Datos personales de clientes Lo pertinente será aplicable para clientes cuando la comercialización de bienes y servicios ofertados por TWENTYNINE® COMPANY SAS. sean prestados a personas naturales, con la finalidad de: • Mantener a los Usuarios informados con respecto a cada uno de sus pedidos y despachos. • Gestionar las peticiones, quejas y reclamaciones, así como dar trámite a las consultas y garantías de los reclamos presentados. • Implementar estrategias comerciales y de mercadeo que permitan a TWENTYNINE® COMPANY SAS. ofrecer un servicio personalizado de acuerdo con intereses e historial de compras o servicios adquiridos. • Envío de promociones y material informativo sobre los productos ofrecidos por TWENTYNINE® COMPANY SAS. o sus aliados. Así mismo los datos personales podrán ser compartidos con terceros con quienes realice alianzas o contratos para fines comerciales relacionados con la ejecución de las actividades comprendidas dentro de su objeto social.
Tratamiento de imágenes en mecanismos de vigilancia TWENTYNINE® COMPANY SAS. cuenta con circuitos de vigilancia en sus instalaciones, en donde se realizan grabaciones del personal, así como de terceros que acceden a sus áreas y de éstas se hace grabación, recolección y almacenamiento de imágenes para los fines de brindar seguridad en los sitios, así como herramienta de investigación si se presentan vulneraciones. Se entiende que el titular de la información ha dado su autorización cuando sea por escrito, oral o mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación y que permitan concluir de forma razonable que otorgó la autorización.

El silencio no puede asimilarse a una conducta inequívoca. En este evento con el fin de recolectar la autorización para el tratamiento de datos personales a través de cámaras se utilizan señales o avisos distintivos en las zonas de videovigilancia, principalmente en las zonas de ingreso, los lugares que están siendo vigilados y monitoreados y al interior de estos. Tratamiento de datos sensibles. Se consideran como datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación. Entre ellos se encuentran los que revelen de una persona el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. TWENTYNINE® COMPANY SAS. se compromete a proteger la privacidad durante el procesamiento de sus datos personales identificables y sensibles.

Por lo tanto, en el evento que de manera expresa los titulares de la información autoricen el uso de datos sensibles, TWENTYNINE® COMPANY SAS. se obliga a hacer uso de estos de conformidad con las reglas establecidas en sus decretos reglamentarios. Frente a eventos de recolección de datos sensibles siempre se procederá garantizando al menos las siguientes acciones: 1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento. 2. En caso de que el titular se encuentre física o jurídicamente incapacitado, se verificará si el tratamiento es necesario para salvaguardar el interés vital del titular y si es así se solicitará a los representantes legales la autorización; 3. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento. 4. Obtener consentimiento expreso para el tratamiento de datos sensibles. 5. Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

TWENTYNINE® COMPANY SAS. ha designado como persona responsable de velar por el cumplimiento de esta política al interior de la empresa al Coordinador de Servicio Al Cliente, quien estará disponible para la atención de peticiones, quejas y reclamos por parte de los titulares y queda facultado para gestionar con las áreas respectivas las actualizaciones, rectificación y/o supresión de datos personales a que haya lugar.
A) Derecho de acceso y consultas El poder de disposición o decisión que tiene el titular sobre la información que le concierne, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento.

1. De inclusión: El titular podrá incluir datos nuevos a su perfil para ofrecer una imagen completa de su información.
2. De actualización: El titular podrá solicitar que la información sobre él consignada se actualice, con el fin de garantizar la correspondencia de los datos con la realidad, en desarrollo del principio de veracidad. Para dar cumplimiento a lo anterior TWENTYNINE® COMPANY SAS., garantizará el derecho de acceso así:
• El titular podrá conocer la efectiva existencia del tratamiento a que son sometidos sus datos personales.
• El titular podrá acceder a sus datos personales que están en posesión de TWENTYNINE® COMPANY SAS.
• El titular podrá conocer las finalidades que justifican el tratamiento de sus datos. Para el ejercicio del presente derecho TWENTYNINE® COMPANY SAS. será necesario la previa acreditación de la identidad del titular o personalidad de su representante, una vez agotado esto se pondrá a disposición de este, de manera gratuita, el detalle de los datos personales a través de medios electrónicos que permitan el acceso directo del Titular a ellos.
B) Derecho de reclamo. Los titulares o los autorizados en la presente política que consideren que la información contenida en una de las bases de datos TWENTYNINE® COMPANY SAS, deben ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012 o en la presente política, podrán presentar un reclamo ante TWENTYNINE® COMPANY SAS, el cual será tramitado por el Coordinador de Servicio Al Cliente conforme al procedimiento que se detallará más adelante.
C) Derecho de supresión de datos El titular tiene el derecho, en todo momento, a solicitar a TWENTYNINE® COMPANY SAS. la supresión de sus datos personales cuando:

1. Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012.

2. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.

3. Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados. En todo caso podrá solicitar:

4. Exclusión o supresión: El titular podrá solicitar la exclusión o supresión de sus datos personales de una base por uso indebido demostrado o mera liberalidad a excluir información de una base de datos: por uso indebido o mera liberalidad.

5. Libertad de autorizar: Principal derecho, libertad de autorizar el tratamiento de los datos personales. Esta supresión implica la eliminación de la información personal de acuerdo con lo solicitado por el titular en los registros y bases de datos. Sin embargo, TWENTYNINE® COMPANY SAS. no procederá con la supresión de la información y la revocatoria no será válida en los siguientes eventos:

6. Cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

7. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.

8. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular. En caso de resultar procedente la supresión de los datos personales, TWENTYNINE® COMPANY SAS. realizará operativamente lo requerido de tal manera que la eliminación no permita la recuperación de la información.

Procedimiento de peticiones, quejas y reclamos PQR
En atención a lo dispuesto por el artículo 14 de la Ley 1581 de 2012, el titular o los causahabientes del titular podrán acceder a la información que sobre él se encuentre incluida en los listados base al interior de la organización a través de los siguientes canales:

1. Vía correo electrónico a la dirección servicioalcliente@twentynine.com.co, donde se recibirán las solicitudes las cuales deben contener los documentos necesarios que prueben suficientemente la identidad del titular.

2. Personalmente de forma verbal o por escrito, dejando constancia de ello, en la dirección física de la sede principal ubicada en la ciudad de Bogotá en la Calle 53sur No. 11a-35; donde se recibirán las peticiones para ejercer los derechos aquí descritos las cuales deben ir dirigidas al Coordinador de Servicio Al Cliente cargo designado para la atención de PQR, en dicha calidad atenderá y resolverá la atención de quejas, consultas y reclamaciones; y escalará en segunda instancia en caso de persistir la inconformidad con la Gerencia Financiera y Planeación Estratégica, quien escuchará y verificará lo solicitado y lo investigado para resolver de fondo la situación conforme a las normas y lo solicitado por el titular. El documento presentado deberá incluir como mínimo la siguiente información:
• Nombre del titular o causahabiente, acompañado de una copia simple del documento que acredite esta calidad.
• Petición clara referente a la información a la cual desea acceder para consulta.
• Dirección de notificaciones (física o electrónica). Las peticiones de acceso y consulta serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho termino, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo. Procedimiento de quejas y reclamaciones.

En atención a lo dispuesto por el artículo 15 de la Ley 1581 de 2012, el titular o los causahabientes que consideren que la información contenida en los listados base debe ser objeto de corrección, actualización o supresión, o cuando adviertan el incumplimiento de uno de los deberes contenidos en la norma, podrán presentar solicitud para realizar las modificaciones pertinentes. La solicitud deberá contener como mínimo la siguiente dirección:
• Identificación del titular
• Una descripción de los hechos que dan lugar al reclamo
• Dirección de notificaciones (física o electrónica)
• Documentos que se quiera hacer valer como soportes de la solicitud. La solicitud para realizar la modificación o supresión de los datos podrá ser presentada a través de los medios y canales indicados en el anterior punto.
Los reclamos deben contener los documentos necesarios que prueben suficientemente la identidad del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer, si hiciere falta algún documento de los indicados se requerirá al interesado para que dentro de los cinco (5) días siguientes a su recepción para que subsane y aporte lo necesario. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información, se entenderá que ha desistido del reclamo.

Si por alguna circunstancia TWENTYNINE® COMPANY SAS. recibe un reclamo sobre información personal de cuyo tratamiento no es responsable, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. Una vez recibido el reclamo completo, se incluirá en la base de datos que mantiene TWENTYNINE® COMPANY SAS. una leyenda que diga "reclamo en trámite" y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. El termino máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho termino se informará al interesado antes del vencimiento del referido plazo los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. Informando de todo ello al interesado, dando respuesta puntual a su petición si esta es o no procedente y las acciones implementadas acordes con lo solicitado. Procedimiento de supresión de datos El titular tiene el derecho, en todo momento, a solicitar a TWENTYNINE® COMPANY SAS. la supresión de sus datos personales cuando: a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012. b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados. c) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados. Esta supresión implica la eliminación de la información personal de acuerdo con lo solicitado por el titular en los registros y bases de datos. Sin embargo, TWENTYNINE® COMPANY SAS no procederá con la supresión de la información y la revocatoria no será válida en los siguientes eventos: 1. Cuando el titular tenga un deber legal o contractual de permanecer en la base de datos. 2. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. 3. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular. En caso de resultar procedente la supresión de los datos personales, TWENTYNINE® COMPANY SAS. realizará operativamente lo requerido de tal manera que la eliminación no permita la recuperación de la información. Para el ejercicio del presente derecho se podrá presentar solicitudes a través de los medios descritos en el primer punto, bien sea por medio de correo electrónico o directamente en las oficinas administrativas de TWENTYNINE® COMPANY SAS, en comunicación dirigida al Coordinador de Servicio al Cliente.

TWENTYNINE® COMPANY SAS. adoptará las técnicas de seguridad que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Dichas medidas responderán a los requerimientos mínimos hechos por la legislación vigente y periódicamente se evaluará su efectividad. Sin embargo, TWENTYNINE® COMPANY SAS no responderá en caso de presentarse una violación a sus sistemas de seguridad cuando medie fuerza mayor o caso fortuito.

TWENTYNINE® COMPANY SAS podrá actualizar, modificar o enmendar esta Política de
forma discrecional. Cuando se realicen modificaciones o cambios a ésta, se actualizará la fecha
de esta, y esa modificación o enmienda será efectiva a partir de la fecha de actualización.