Política de Privacidad y Tratamiento de Datos Personales

(Incluye Aviso de Cookies y gestor de consentimiento – CMP)

Responsable del Tratamiento: TERRA BOMBA S.A.S
NIT: 901633020-2
Domicilio: CR 4 46 42 ED LAGUNA DEL CABRERO T2 APTO 1605 BRR CABRERO, Cartagena, Colombia
Correo para derechos de habeas data: [email protected]
Teléfono: +57 314 7380312
Sitios web y apps cubiertos: palmaritobeach.com y palmaritobeach.sky-hub.co

Fecha de última actualización: 01/11/2025
Vigencia: desde 01/11/2025

1. Objeto y alcance

Esta Política informa cómo TERRA BOMBA S.A.S recolecta, usa, conserva, comparte y protege los datos personales de los Titulares que interactúan con nuestros sitios web, aplicaciones, canales de atención y servicios. Aplica a todas las actividades de tratamiento realizadas por TERRA BOMBA S.A.S como Responsable.

2. Marco normativo

Colombia: Ley 1581 de 2012; Decretos 1377 de 2013 y 1074 de 2015; Guías de la Superintendencia de Industria y Comercio (SIC); (si aplica) Ley 1266 de 2008; Ley 2157 de 2021 y Ley 2300 de 2023 (comunicaciones de mercado).

Estándares internacionales (referenciales): Principios de GDPR (UE) para licitud, transparencia, minimización, integridad/confidencialidad y responsabilidad proactiva.

3. Definiciones básicas

Dato personal: Información que identifica o hace identificable a una persona natural.

Dato sensible: Información que afecta la intimidad o cuyo uso indebido puede generar discriminación (salud, biométricos, orientación, etc.).

Titular: Persona natural cuyos datos se tratan.

Tratamiento: Cualquier operación sobre datos personales.

Encargado: Tercero que trata datos por cuenta del Responsable.

Transmisión: Comunicación de datos a un Encargado para tratamiento por cuenta del Responsable.

Transferencia internacional: Envío de datos a otro país.

4. Principios del tratamiento

Legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, proporcionalidad y responsabilidad demostrada.

5. Categorías de datos y finalidades

5.1 Operación comercial y contractual

Datos: identificación y contacto; datos transaccionales y de reservas; facturación y pagos; historial de PQRS.

Finalidades: cotizar, reservar, prestar servicios, facturar, gestionar PQRS, prevenir fraude, cumplir obligaciones legales y contables.

Base jurídica (referencial GDPR): ejecución de contrato/medidas precontractuales; obligación legal; interés legítimo.

5.2 Marketing, analítica y personalización

Datos: identificadores en línea (cookies/ID), dirección IP, interacción con sitio y campañas, preferencias.

Finalidades: medición de audiencia, mejora de experiencia, segmentación, remarketing (con consentimiento).

Base jurídica: consentimiento para cookies no esenciales; interés legítimo para analítica agregada y seguridad.

5.3 Atención al cliente (email/chat/WhatsApp/teléfono)

Datos: identificación y contacto; contenidos de la solicitud; grabaciones o transcripciones si se informa.

Finalidades: atender solicitudes, soporte, calidad y mejora de procesos.

5.4 Gestión de proveedores y talento humano (si aplica)

Datos: información contractual, de cumplimiento y, en RR. HH., hojas de vida, vinculaciones, novedades y nómina.

Finalidades: selección, vinculación, ejecución y control de obligaciones legales y contractuales.

5.5 Datos sensibles y de menores
Se tratan excepcionalmente, con consentimiento expreso o habilitación legal, garantizando el interés superior del menor.

6. Origen de los datos

Datos proporcionados directamente por el Titular; derivados de la interacción con nuestros canales; generados en la relación contractual; o suministrados por Encargados/aliados autorizados.

7. Decisiones automatizadas y perfilamiento

Podemos usar herramientas automatizadas para segmentación, medición y recomendaciones. No adoptamos decisiones con efectos jurídicos o impacto significativo basadas únicamente en tratamiento automatizado sin intervención humana. El Titular puede solicitar intervención humana, expresar su punto de vista y oponerse.

8. Encargados del tratamiento, transmisiones y transferencias

Para operar nuestros servicios utilizamos Encargados que tratan datos por cuenta de TERRA BOMBA S.A.S, con garantías contractuales y de seguridad equivalentes a la Ley 1581/2012 y estándares internacionales.

8.1 Encargados y salvaguardas

ProveedorRolPaís principalBase contractualSalvaguardas internacionales SKY TECHNOLOGIES GROUP LLC, CRM y automatización comercial EE. UU.DPA + contrato de transmisión SCC (UE) y, cuando aplique, EU–US DPF; subencargados bajo contrato Google (Google Workspace – Gmail) Correo y productividadGlobal/EE. UU.DPASCC (UE) y, cuando aplique, EU–US DPFGoogle (GA4 y GTM)Analítica y etiquetadoGlobal/EE. UU.DPASCC (UE) y, cuando aplique, EU–US DPF; IP masking y controles de retenciónMeta Platforms, Inc. (Meta Pixel)Medición/ads (encargado o corresponsable según configuración)Global/EE. UU.DPA/Anexo de medición; si fines conjuntos, acuerdo de corresponsablesSCC (UE) y, cuando aplique, EU–US DPF

Nota: La operación tecnológica puede implicar subencargados (p. ej., infraestructura de la plataforma licenciada). Mantenemos un anexo de subencargados disponible a solicitud del Titular. Si se integran pasarelas de pago u otros proveedores (p. ej., Stripe, Wompi, hosting/CDN/email adicionales), esta tabla se actualizará.

8.2 Base contractual (transmisiones y transferencias)

El tratamiento por parte de nuestros Encargados se rige por Acuerdos de Transmisión/DPA que incluyen instrucciones documentadas, confidencialidad, medidas de seguridad, régimen de subencargados, asistencia para el ejercicio de derechos, gestión de incidentes, auditoría y supresión/devolución de datos al finalizar.
Cuando exista transferencia internacional, implementamos SCC (UE) con su TIA cuando aplique, IDTA (RU) o el EU–US DPF si el receptor está certificado, y/o decisiones de adecuación.

8.3 Representante en la UE (art. 27 GDPR)

No aplica actualmente. Tras evaluar el alcance geográfico y la naturaleza del tratamiento, concluimos que no es obligatorio designar representante en la UE por tratarse de tratamiento ocasional, no a gran escala, sin categorías especiales y de bajo riesgo. Esta evaluación se revisará periódicamente o ante cambios sustanciales (p. ej., campañas dirigidas a la UE).

9. Conservación de datos

Aplicamos limitación de conservación:

Tributario/contable/contractual: 10 años (estándar máximo usual en Colombia).

Soporte/PQRS: 5 años desde cierre del caso.

Marketing y analítica: hasta revocatoria del consentimiento o 24 meses de inactividad (lo que ocurra primero). Conservamos la prueba del consentimiento mientras dure el tratamiento.

RR. HH.: 10 años desde la terminación del vínculo.

Seguridad y logs técnicos: 12–24 meses según criticidad.
Cumplidos los plazos, aplicamos bloqueo y/o supresión segura.

10. Derechos de los Titulares y canales

Derechos (Ley 1581/2012): conocer, actualizar, rectificar; solicitar prueba del consentimiento; ser informado; presentar reclamos; revocar consentimiento; solicitar supresión; acceder gratuitamente.
Canales: [email protected]

Tiempos de respuesta (Colombia):

Consultas: hasta 10 días hábiles desde el recibo.

Reclamos: acuse en 2 días hábiles; si está incompleto, requerir subsanación en 5 días hábiles; respuesta de fondo en hasta 15 días hábiles desde el día siguiente al recibo completo, prorrogable por 8 días hábiles adicionales con justificación previa.
Si aplica GDPR en un caso concreto: respuesta en 1 mes, prorrogable hasta 2 meses por complejidad/volumen (avisando dentro del primer mes).

Escalamiento: Si no estás conforme, puedes acudir a la Superintendencia de Industria y Comercio (SIC).

11. Seguridad de la información

Adoptamos medidas técnicas, organizativas y físicas proporcionales al riesgo: control de accesos, MFA, cifrado en tránsito y reposo (cuando aplique), segregación de ambientes, backups, gestión de vulnerabilidades, registro y respuesta a incidentes, acuerdos de confidencialidad y evaluación periódica de Encargados y subencargados.

12. Registro Nacional de Bases de Datos (RNBD)

Cuando corresponda, registramos y actualizamos nuestras bases en el RNBD conforme a las instrucciones de la SIC.

13. Comunicaciones comerciales (Ley 2300/2023)

Respetamos los horarios autorizados para contacto comercial y ofrecemos mecanismos de exclusión (opt-out) claros y gratuitos (enlace de baja en emails/SMS/WhatsApp y palabra clave). Atendemos las solicitudes en plazos razonables.

14. Cambios a esta Política

Publicaremos la versión vigente y su fecha de actualización. Cuando el cambio sea material, informaremos por nuestros canales.