Política de tratamiento de datos personales

En cumplimiento de lo dispuesto en la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015 y demás normas concordantes, Carnaval de Barranquilla S.A.S. BIC — NIT 900.073.684-7 (en adelante, «la Sociedad») adopta la presente Política de Tratamiento de Datos Personales.

1. Identificación del responsable

• Razón social: Carnaval de Barranquilla S.A.S. BIC
• NIT: 900.073.684-7
• Domicilio: Vía 40 No. 79B — 06, Barranquilla, Colombia
• Correo de contacto para datos personales: privacidad@carnavaldebarranquilla.org
• Teléfono: +57 (605) 319 7616

2. Definiciones

• Titular: persona natural cuyos datos personales son objeto de tratamiento.
• Dato personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
• Dato sensible: aquel que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación.
• Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión).
• Autorización: consentimiento previo, expreso e informado del titular para el tratamiento de sus datos.
• Responsable del tratamiento: Carnaval de Barranquilla S.A.S. BIC, quien decide sobre las bases de datos y su tratamiento.
• Encargado del tratamiento: terceros que realizan el tratamiento por cuenta del Responsable.

3. Principios rectores

El tratamiento de datos se rige por los principios de: legalidad, finalidad, libertad, veracidad, transparencia, acceso restringido, seguridad y confidencialidad, consagrados en el artículo 4 de la Ley 1581 de 2012.

4. Tipos de datos tratados

• Datos de identificación: nombre, apellidos, documento, correo, teléfono.
• Datos de la organización que representa: razón social, NIT, cargo, industria.
• Datos de contacto comercial y profesional.
• Credenciales de acceso al portal (cifradas).
• Documentos legales, contables y tributarios requeridos como Aliado.
• Datos de navegación, dispositivo y uso del portal.
• Datos fotográficos y audiovisuales en eventos presenciales (solo con autorización específica).

5. Finalidades específicas del tratamiento

1. Gestión de relaciones comerciales con patrocinadores, aliados y prospectos.
2. Autenticación, administración y soporte de cuentas de Usuario en el Centro de Aliados.
3. Envío de información sobre el portafolio 2027, paquetes de patrocinio y oportunidades comerciales.
4. Envío de comunicaciones institucionales, invitaciones a eventos, actualizaciones legales y novedades (solo con autorización específica para marketing directo).
5. Atención y canalización de peticiones, quejas, reclamos (PQR), solicitudes de soporte, consultas comerciales.
6. Cumplimiento de obligaciones contractuales, contables, tributarias, regulatorias y de auditoría.
7. Análisis estadístico y métricas agregadas para mejorar la experiencia del usuario en el portal.
8. Gestión de seguridad, prevención de fraudes y respuesta a incidentes informáticos.
9. Transferencia a encargados del tratamiento ubicados en Colombia o en el exterior, bajo las garantías contractuales y técnicas adecuadas.

6. Derechos del titular

El titular de los datos personales tiene los siguientes derechos (conocidos como derechos ARCO extendidos):

• Conocer, actualizar, rectificar y suprimir sus datos personales.
• Solicitar prueba de la autorización otorgada para el tratamiento.
• Ser informado del uso que se ha dado a sus datos personales.
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581 de 2012.
• Revocar la autorización y/o solicitar la supresión del dato, salvo que exista un deber legal o contractual que impida eliminarlo.
• Acceder en forma gratuita a sus datos que hayan sido objeto de tratamiento.

7. Procedimiento para ejercer los derechos

El titular (o su representante legal debidamente acreditado) puede presentar solicitudes de consulta o reclamo a través de los siguientes canales:

• Correo electrónico: privacidad@carnavaldebarranquilla.org
• Formulario en línea: Escríbenos (PQR)
• Correspondencia física: Vía 40 No. 79B — 06, Barranquilla, Colombia. Dirigida a: «Oficial de Protección de Datos — Carnaval de Barranquilla S.A.S. BIC».

7.1. Contenido mínimo de la solicitud

• Nombre completo del titular y número de documento.
• Datos de contacto (correo electrónico y teléfono).
• Descripción clara del derecho que se ejerce (consulta, actualización, rectificación, supresión, revocación, etc.).
• Acreditación del titular o de su representante legal.
• Descripción de los hechos que motivan la solicitud.

7.2. Términos de respuesta

En cumplimiento del artículo 14 de la Ley 1581 de 2012:

• Consultas: serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Si no fuera posible, se informará al interesado antes del vencimiento, explicando los motivos, y se dará respuesta a más tardar dentro de los cinco (5) días hábiles siguientes.
• Reclamos: se resolverán en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la recepción. Si no fuera posible, se informará al interesado antes del vencimiento y se atenderá a más tardar dentro de los ocho (8) días hábiles siguientes.

8. Encargados del tratamiento

Para cumplir las finalidades mencionadas, la Sociedad utiliza encargados del tratamiento que prestan servicios tecnológicos y operativos, entre ellos:

• Infraestructura y hosting: Vercel Inc. (Estados Unidos) · Supabase Inc. (Estados Unidos).
• Correos transaccionales: Resend (Estados Unidos).
• Analítica de producto: herramientas internas y de terceros con estricta configuración de anonimización.

Todos los encargados están sujetos a acuerdos de confidencialidad y tratamiento de datos que mantienen el nivel de protección exigido por la normativa colombiana.

9. Transferencia internacional

Cuando la transferencia de datos sea hacia países que no ofrezcan niveles adecuados de protección según los estándares colombianos, la Sociedad garantizará que el receptor se comprometa contractualmente a cumplir con los principios y obligaciones de la Ley 1581 de 2012.

10. Medidas de seguridad

La Sociedad adopta medidas técnicas, humanas y administrativas apropiadas para la protección de los datos personales, proporcionales al riesgo. Entre ellas: control de acceso basado en roles, Row Level Security en base de datos, cifrado TLS en tránsito, cifrado AES-256 en reposo para información crítica, autenticación de dos factores para usuarios internos, registro de auditoría, backups periódicos y capacitación del personal.

11. Vigencia de las bases de datos

Las bases de datos administradas por la Sociedad tendrán una vigencia indefinida mientras subsistan las finalidades del tratamiento autorizadas por el titular o las obligaciones legales que hacen necesario su almacenamiento. Finalizadas estas, los datos serán suprimidos de forma segura.

12. Modificaciones

Esta Política podrá ser modificada en cualquier momento. Las modificaciones serán informadas a través del portal del Centro de Aliados o por correo electrónico, cuando corresponda. La fecha de última actualización siempre estará visible en el encabezado.

13. Autoridad de control

La autoridad competente para la protección de datos personales en Colombia es la Superintendencia de Industria y Comercio (SIC) —Delegatura para la Protección de Datos Personales—, donde el titular puede presentar quejas cuando considere que sus derechos han sido vulnerados.

Sitio web: sic.gov.co