1. OBJETIVO
Establecer las directrices, principios y procedimientos que rigen el tratamiento de los datos personales recolectados, almacenados, usados y suprimidos por Softtronics Solutions, en cumplimiento de lo establecido en la Ley 1581 de 2012 y el Decreto 1377 de 2013. Con el fin de garantizar la protección de los derechos de los titulares de la información, asegurar el manejo adecuado de los datos
personales y sensibles, y definir los mecanismos para que los titulares puedan ejercer sus derechos de acceso, rectificación, cancelación, oposición y revocatoria de la autorización.

2. ALCANCE
La política aplica para todas las bases de datos que contengan información personal y que sean objeto de tratamiento por parte de Softtronics Solutions en calidad de responsable y encargado del
tratamiento. Incluye a todas las áreas, procesos, sistemas y colaboradores que intervienen en la recolección, almacenamiento, uso, circulación, transmisión, transferencia, actualización y supresión
de datos personales, ya sea de clientes, empleados, proveedores, aliados, usuarios o cualquier tercero con el que la empresa tenga una relación comercial, contractual o laboral en el marco de las
actividades propias de la organización.

3. RESPONSABILIDADES
3.1. Oficial de Protección de Datos Personales: Es el responsable directo de liderar la gestión del tratamiento de datos personales dentro de la organización, sus funciones son las siguientes.
• Atender oportunamente las solicitudes de los titulares, relacionadas con el ejercicio de sus derechos de acceso, rectificación, cancelación, oposición, revocatoria de autorización y
• Realizar la eliminación segura de los datos personales cuando se haya cumplido la finalidad del tratamiento o cuando el titular lo solicite, siempre que no exista impedimento legal o
contractual. • Documentar y conservar trazabilidad del proceso de supresión, incluyendo evidencia de tareas ejecutadas, tiempos de ejecución y medios empleados.
• Ofuscar los datos personales, cuando se requiera conservar información operativa relevante sin comprometer la identidad o privacidad del titular.
• Diseñar, implementar y mantener procedimientos adecuados para la recolección, almacenamiento, uso, circulación y supresión de datos personales, asegurando el
cumplimiento de los principios de legalidad, finalidad, libertad, veracidad, seguridad, confidencialidad y transparencia.
• Solicitar y conservar evidencia de la autorización del titular, garantizando su disponibilidad ante requerimientos de autoridades de control.
3.2. Gerente General: Es el responsable de proveer las condiciones necesarias para la implementación efectiva del sistema de protección de datos personales. Sus funciones son
las siguientes.
• Designar un área o responsable que atienda consultas y reclamos de los titulares, y que coordine las acciones del sistema de tratamiento de datos personales dentro de la empresa.
• Registrar las bases de datos en el Registro Nacional de Bases de Datos (RNBD) y asegurar que la información se mantenga actualizada, conforme a los lineamientos de la
Superintendencia de Industria y Comercio. • Revisar y aprobar formalmente la política que regula el tratamiento de datos personales, con
el fin de garantizar su adopción institucional y el cumplimiento de las disposiciones legales aplicables.

4. DEFINICIONES
Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de sus datos personales.
Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular, mediante la cual se le informa sobre la existencia de la política de tratamiento de la información, la forma de acceder a ella y las finalidades del tratamiento.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato sensible: Información que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, como datos sobre salud, orientación sexual, origen racial, creencias religiosas o datos biométricos.
Dato público: Información que por su naturaleza puede estar contenida en registros públicos o documentos públicos y que no está sujeta a reserva, como el estado civil, profesión u oficio y calidad
de comerciante o servidor público.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que realiza el tratamiento de datos personales por cuenta del responsable del tratamiento.
Oficial de protección de datos personales: Persona designada por la empresa para liderar y coordinar la implementación y cumplimiento de la política de tratamiento de datos personales y atender las solicitudes de los titulares.
Responsable del tratamiento: Persona natural o jurídica, pública o privada, que decide sobre la recolección y finalidad del tratamiento de los datos personales.
Supresión: Acción de eliminar total o parcialmente la información personal almacenada en bases de datos, de acuerdo con la solicitud del titular o por cumplimiento de una obligación legal.
Titular: Persona natural cuyos datos personales son objeto de tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, como recolección, almacenamiento, uso, circulación o supresión.
Transferencia: Envío de datos personales a otro responsable del tratamiento ubicado dentro o fuera del país.
Transmisión: Comunicación de datos personales a un encargado para que realice tratamiento por cuenta del responsable, dentro o fuera del país.

5. POLÍTICAS OPERACIONALES
5.1. Política de Recolección y Autorización de Datos Personales: La recolección de datos personales en Sofftronics Solutions S.A.S se realiza bajo los principios de legalidad, finalidad,
libertad y transparencia, en cumplimiento de lo establecido en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
5.1.1 Recolección de datos
• Solo se recolectan los datos personales que son estrictamente necesarios para cumplir con una finalidad legítima y previamente informada al titular.
• La empresa prohíbe el uso de medios engañosos o fraudulentos para la obtención de datos personales.
• En el caso de datos recolectados antes de la expedición del Decreto 1377 de 2013, se han implementado mecanismos para informar a los titulares sobre las políticas de tratamiento
y obtener su autorización conforme a lo establecido en el artículo 10 del decreto.
5.1.2 Autorización del titular
• La empresa solicita la autorización previa, expresa e informada del titular para el tratamiento de sus datos personales, a más tardar en el momento de su recolección.
En el caso de formularios web, la recolección de datos se realiza mediante un campo de aceptación obligatoria, en el que el titular debe marcar expresamente su conformidad con los términos de tratamiento de datos personales. El formulario no puede ser enviado sin esta aceptación, lo que constituye una conducta inequívoca que valida el consentimiento del titular. Esta autorización se considera válida en la medida en que se cumple con el deber de información y se brinda acceso directo a la política de tratamiento de datos en el mismo entorno web.
5.1.3 Prueba de la autorización
• Softtronics Solutions conserva evidencia documental o electrónica de la autorización otorgada por el titular, la cual puede ser consultada ante requerimiento de la Superintendencia de Industria y Comercio
5.1.4 Datos sensibles y de menores
• Para el tratamiento de datos sensibles, se informa al titular que no está obligado a autorizarlos y se obtiene su consentimiento expreso para finalidades claramente definidas.
• El tratamiento de datos personales de niños, niñas y adolescentes solo se realiza cuando responde al interés superior del menor y se asegura el respeto de sus derechos fundamentales, con autorización de su representante legal y teniendo en cuenta su opinión según madurez y capacidad.
5.1.4 Datos sensibles y de menores
• Para el tratamiento de datos sensibles, se informa al titular que no está obligado a autorizarlos y se obtiene su consentimiento expreso para finalidades claramente definidas.
• El tratamiento de datos personales de niños, niñas y adolescentes solo se realiza cuando responde al interés superior del menor y se asegura el respeto de sus derechos fundamentales, con autorización de su representante legal y teniendo en cuenta su opinión según madurez y capacidad.
5.2 Política de Uso y Circulación de Datos Personales: El uso y la circulación de los datos personales recolectados por Softtronics Solutions se rige por los principios de finalidad, necesidad, circulación restringida y confidencialidad, de acuerdo con lo dispuesto en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Los datos personales serán utilizados exclusivamente para las finalidades previamente informadas y autorizadas por el titular en el momento de su recolección. Estas finalidades estarán directamente relacionadas con las actividades legítimas de la empresa y, en ningún caso, se dará un uso distinto a los datos sin obtener una nueva autorización por parte del titular, cuando se presenten cambios que modifiquen sustancialmente el propósito original del tratamiento. El acceso a la información personal dentro de la organización estará restringido a los colaboradores que, por la naturaleza de sus funciones, deban utilizar dichos datos. Este acceso estará sujeto al principio de mínimo privilegio y a compromisos formales de confidencialidad. Todo el personal de Sofftronics Solutions S.A.S que interactúe con datos personales deberá respetar estrictamente las políticas internas de protección de la información.
5.3 Política de Seguridad y Confidencialidad: Softtronics Solutions se compromete a proteger los datos personales tratados mediante la aplicación de medidas técnicas, administrativas y humanas que garanticen su confidencialidad, integridad y disponibilidad, en cumplimiento de lo establecido por la Ley 1581 de 2012, el Decreto 1377 de 2013 y los principios definidos en el Sistema de Gestión de Seguridad de la Información (SGSI). El Oficial de Protección de Datos Personales, junto con el equipo responsable del SGSI, lidera la implementación y mantenimiento de estas medidas, supervisando su aplicación y actualizando los controles cuando sea necesario. Estas medidas tienen como finalidad prevenir el acceso no autorizado, la pérdida, modificación, uso indebido o divulgación no autorizada de la información personal.

Medidas técnicas y administrativas:
• Se utilizan sistemas con niveles de acceso controlado a la información, de forma que solo los colaboradores autorizados, cuyas funciones así lo requieran, puedan acceder a los datos personales.
• Las bases de datos que contienen información personal están mapeadas como activos críticos dentro del análisis de riesgos del SGSI, lo que permite establecer controles y planes de respuesta específicos ante incidentes de seguridad como fuga de información o pérdida de confidencialidad.
• Se cuenta con procedimientos formalizados para la gestión de incidentes, activando acciones inmediatas cuando se detecta una posible vulneración de la seguridad.
• Las bases de datos tratadas por la organización están debidamente registradas en el Registro Nacional de Bases de Datos (RNBD), de acuerdo con lo exigido por la Superintendencia de Industria y Comercio.
• Se realiza monitoreo continuo de los sistemas que contienen o procesan datos personales, conforme a los protocolos establecidos en los procedimientos de infraestructura y seguridad tecnológica.

Medidas humanas.
Como parte del compromiso con la cultura organizacional, se desarrollan programas de formación y sensibilización periódica dirigidos a todos los colaboradores. Estos espacios fortalecen la comprensión sobre los principios de protección de datos personales, las buenas prácticas de seguridad y el cumplimiento normativo.

Compromiso de confidencialidad.
Todo el personal con acceso a datos personales está sujeto a acuerdos de confidencialidad. El incumplimiento de estas disposiciones podrá derivar en sanciones disciplinarias o legales, según corresponda.
5.4 Política de Conservación y Supresión de Datos Personales. Sofftronics Solutions conservará los datos personales únicamente durante el tiempo que sea razonable y necesario para cumplir con las finalidades para las cuales fueron recolectados, en concordancia con las disposiciones legales, contractuales, fiscales o históricas aplicables. Una vez cumplida la finalidad del tratamiento o cuando el titular solicite la supresión de sus datos, la organización procederá con su eliminación segura, salvo que exista un deber legal o contractual que exija su conservación.

El Oficial de Protección de Datos Personales es el responsable de coordinar y ejecutar el proceso de supresión de datos, conforme a los lineamientos legales y a las políticas internas.
Conservación de datos
Los datos personales serán almacenados por el tiempo estrictamente necesario para el cumplimiento de la finalidad que justificó su tratamiento. En los casos en los que se requiera mantener la información por razones legales, contractuales o regulatorias, esta se conservará bajo condiciones de seguridad y acceso restringido, sin ser objeto de tratamiento activo.

Datos conservados después de la finalización del vínculo laboral.
Tras la terminación del vínculo contractual con un empleado, practicante o colaborador, la empresa conservará los datos personales que sean necesarios para el cumplimiento de obligaciones legales, laborales y fiscales, por un período mínimo de cinco (5) años, conforme al artículo 264 del Código Sustantivo del Trabajo y demás normas aplicables. Estos datos podrán incluir, entre otros, el historial laboral, afiliaciones, certificaciones, evaluaciones, actas de terminación, comprobantes de nómina y cualquier otro registro requerido por la ley. Una vez cumplido dicho plazo y si no existe otra justificación legal o contractual, los datos serán suprimidos conforme al procedimiento interno de eliminación de datos personales.

Procedimiento para la eliminación de datos personales.
Cuando un titular solicite la supresión de sus datos personales, el siguiente procedimiento será aplicado:
• Solicitud del titular: El titular deberá enviar su solicitud al correo electrónico habilitado para este fin: habeasdata@stt-solutions.com, indicando claramente la información que desea que sea eliminada.
• Revisión y ejecución: Una vez recibida la solicitud, el Oficial de Protección de Datos Personales verificará su validez y procederá con la eliminación del registro solicitado en las bases de datos que hayan sido identificadas dentro del inventario de activos de información de la organización.
• Registro de la supresión: La eliminación quedará documentada dentro de los mecanismos de auditoría de los sistemas que gestionan la información, garantizando trazabilidad del proceso.• Respuesta al titular: Luego de completar la eliminación, se enviará una respuesta formal al titular informando la finalización del procedimiento.
• Plazo: Todo el proceso de verificación, eliminación y notificación deberá completarse en un plazo máximo de ocho (8) días hábiles contados a partir de la recepción de la solicitud.
Este procedimiento aplica exclusivamente a los datos personales sobre los cuales no recaiga una obligación legal o contractual que impida su eliminación.

5.5 Política de Atención a Titulares de la Información: Softtronics Solutions garantiza a los titulares de datos personales el pleno ejercicio de sus derechos, en especial el derecho a conocer, actualizar, rectificar, suprimir información y revocar la autorización otorgada para el tratamiento de sus datos. Para ello, ha establecido canales claros, gratuitos y accesibles que permiten a los titulares presentar solicitudes y obtener respuestas oportunas. Todas las solicitudes serán gestionadas de conformidad con los principios de transparencia, accesibilidad y responsabilidad, en los términos establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Las personas legitimadas para ejercer estos derechos son:
• El mismo titular, quien deberá acreditar su identidad.
• Sus familiares, mediante prueba de vínculo.
• Su representante o apoderado, con el documento correspondiente.
• Por estipulación a favor de otro o para otro, cuando aplique.
Los titulares podrán ejercer sus derechos a través del correo electrónico habilitado: habeasdata@stt-solutions.com. Este canal estará disponible para la presentación de consultas, actualizaciones, correcciones o solicitudes de supresión de datos personales.

Procedimiento de atención
1. Consultas: El titular podrá consultar gratuitamente sus datos personales al menos una vez al mes o cada vez que existan cambios sustanciales en la política de tratamiento. Las consultas serán atendidas en un término máximo de diez (10) días hábiles.
2. Reclamos (actualización, rectificación o supresión): Los reclamos se resolverán en un término máximo de quince (15) días hábiles, conforme al procedimiento establecido por la Superintendencia de Industria y Comercio.
3. Confirmación de identidad: En todos los casos, el solicitante deberá proporcionar la información necesaria para verificar su identidad o la legitimación de su representación.
4. Respuesta oficial: Todas las solicitudes serán respondidas de manera formal, por escrito, y se conservará el registro como parte de la trazabilidad del procedimiento.
5. Área responsable: El Oficial de Protección de Datos Personales será el encargado de recibir, evaluar y responder las solicitudes presentadas por los titulares.

5.6 Política de Tratamiento de Datos Sensibles: Softtronics Solutions reconoce que los datos sensibles requieren un nivel reforzado de protección, ya que su uso indebido puede afectar la intimidad del titular o generar discriminación. Por ello, adopta medidas específicas para su tratamiento, conforme a lo dispuesto por la Ley 1581 de 2012 y el Decreto 1377 de 2013.
Se entiende por datos sensibles aquellos que revelan el origen racial o étnico, orientación política, convicciones religiosas o filosóficas, afiliación sindical, salud, vida sexual o datos biométricos. El tratamiento de estos datos está prohibido, salvo en los casos expresamente permitidos por la ley.
El tratamiento de datos sensibles en la organización se limita exclusivamente a los casos necesarios para el cumplimiento de obligaciones contractuales, legales o autorizaciones expresas del titular. En todos los casos:
• Se informa de forma previa, clara y explícita al titular cuáles de los datos solicitados son sensibles y con qué finalidad serán tratados.
• Se aclara al titular que no está obligado a autorizar el tratamiento de este tipo de información.
• Se obtiene su consentimiento expreso y por separado, mediante mecanismos que dejan constancia verificable de su autorización.
En ningún caso se condicionará el acceso a un servicio, producto o relación contractual a la entrega de datos sensibles, salvo que dicha información sea indispensable para el cumplimiento de una obligación legal o contractual, y se cuente con la autorización correspondiente.
La empresa aplica medidas de seguridad reforzadas para garantizar el acceso restringido, cifrado, trazabilidad y control de los datos sensibles, y realiza seguimiento de su tratamiento a través de los procedimientos definidos en el SGSI.
5.7 Responsabilidad Demostrada y Medidas Internas: Softtronics Solutions adopta el principio de responsabilidad demostrada como eje central de su gestión de datos personales. Esto significa que, más allá del cumplimiento formal de la normativa, la empresa debe probar activamente que ha implementado medidas efectivas y proporcionales para garantizar la protección de los datos personales bajo su custodia.

Para ello, la empresa ha definido e implementado las siguientes acciones:
• Asignación formal de un Oficial de Protección de Datos Personales, encargado de liderar la estrategia de cumplimiento normativo, gestionar los procedimientos, responder a los titulares y articularse con las autoridades competentes.
• Documentación de políticas y procedimientos internos, que regulan la recolección, almacenamiento, uso, circulación y supresión de los datos personales.
• Capacitación periódica al personal, como mecanismo para garantizar la comprensión, adopción y cumplimiento de las obligaciones derivadas del tratamiento de datos personales.
• Atención de consultas y reclamos conforme a los procedimientos establecidos, con trazabilidad documental y respuesta dentro de los plazos legales.
• Implementación de medidas técnicas, administrativas y humanas de seguridad, ajustadas al tipo de dato, los riesgos identificados y la naturaleza de los sistemas utilizados.
• Registro y actualización de las bases de datos en el RNBD, cumpliendo con los requisitos establecidos por la Superintendencia de Industria y Comercio.

En caso de requerimiento por parte de la autoridad competente, la empresa se compromete a entregar evidencia documental que demuestre la implementación de estas medidas, así como a realizar mejoras cuando se identifiquen oportunidades de ajuste o corrección.

5.8 Entrada en vigencia y actualización de la política: La presente política entra en vigencia a partir del 23 de Julio de 2025 y permanecerá vigente mientras la organización continúe realizando actividades de tratamiento de datos personales.
Esta política podrá ser actualizada en cualquier momento, con ocasión de cambios normativos, decisiones internas, recomendaciones de auditoría, instrucciones de la Superintendencia de Industria y Comercio, o ajustes derivados de nuevas prácticas tecnológicas, operativas o contractuales. Cualquier modificación sustancial, en especial aquellas relacionadas con la identificación del
responsable o la finalidad del tratamiento, será debidamente comunicada a los titulares antes o al momento de su implementación, de conformidad con lo previsto en el artículo 5 del Decreto 1377 de 2013.

La versión vigente de esta política estará siempre disponible en los canales institucionales de Softtronics Solutions, y podrá ser solicitada por los titulares a través del correo: habeasdata@stt-solutions.com