POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES CTOF S.A.S.

0. Versionado legal
Nombre del documento: Política de Tratamiento de Datos Personales
Código interno: CTOF-PDP-V[01]
Versión: 1.0
Fecha de actualización: [17 de marzo de 2026]
Fecha de entrada en vigor: [20 de marzo de 2026]
La presente Política sustituye integralmente cualquier versión anterior de política de
tratamiento de datos personales publicada o utilizada por CTOF S.A.S.

1. Identificación del responsable del tratamiento
Razón social: CTOF S.A.S.
NIT: 901.348.172-1
Domicilio: Medellín, Antioquia, Colombia
Dirección principal: Calle 10 #56-15
Correo electrónico de protección de datos: protecciondedatos@ctof.co
Teléfono: 604 604 7404
Para efectos de la presente Política, CTOF S.A.S. actuará como Responsable del
Tratamiento de los datos personales recolectados directa o indirectamente en desarrollo
de su actividad económica.

2. Objeto y alcance
La presente Política tiene por objeto establecer los lineamientos conforme a los cuales
CTOF S.A.S. realiza la recolección, almacenamiento, uso, circulación, transmisión,
transferencia, actualización, rectificación, supresión y, en general, el tratamiento de
datos personales de titulares con los que sostiene o proyecta sostener relaciones
comerciales, contractuales, laborales, precontractuales, corporativas o de cualquier otra
naturaleza legítima.
Esta Política aplica a:
1. Clientes y potenciales clientes.
2. Visitantes y usuarios de canales físicos y digitales.
3. Empleados, exempleados y aspirantes.
4. Proveedores, contratistas y aliados.
5. Accionistas, administradores y terceros relacionados.
6. Cualquier otra persona natural cuyos datos sean objeto de tratamiento por parte
de CTOF S.A.S.

3. Marco normativo
La presente Política se adopta en cumplimiento de la normatividad colombiana sobre
protección de datos personales, en especial la Ley 1581 de 2012, el Decreto 1377 de
2013 en lo que resulte aplicable, el Decreto 1074 de 2015 y las demás normas que los
modifiquen, adicionen, sustituyan o complementen.

4. Principios aplicables
CTOF S.A.S. aplicará, en el tratamiento de datos personales, los principios de
legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y
circulación restringida, seguridad, confidencialidad y temporalidad.
En consecuencia:
1. Solo tratará datos con base en una finalidad legítima, determinada y previamente
informada.
2. Procurará recolectar únicamente los datos necesarios, pertinentes y
proporcionales para cada finalidad.
3. Adoptará medidas razonables para mantener la información exacta, actualizada y
segura.
4. Restringirá el acceso a la información a quienes deban conocerla por razón de
sus funciones, obligaciones contractuales o mandato legal.

5. Definiciones
Para efectos de esta Política se adoptan, entre otras, las siguientes definiciones:
Autorización: Consentimiento previo, expreso e informado del titular para el
tratamiento de sus datos personales.
Base de datos: Conjunto organizado de datos personales objeto de tratamiento.
Dato personal: Cualquier información vinculada o asociada a una persona natural
determinada o determinable.
Dato público: Dato calificado como tal por la ley o que no sea semiprivado, privado o
sensible.
Dato sensible: Dato que afecta la intimidad del titular o cuyo uso indebido puede
generar discriminación, incluyendo, entre otros, datos relativos a salud, biometría, vida
sexual, orientación política, convicciones religiosas o filosóficas.
Encargado del tratamiento: Persona natural o jurídica que realiza el tratamiento por
cuenta del responsable.
Responsable del tratamiento: Persona natural o jurídica que decide sobre la base de
datos y/o el tratamiento de los datos.
Titular: Persona natural cuyos datos personales son objeto de tratamiento.
Transferencia: Envío de datos personales a un tercero responsable, dentro o fuera del
país.
Transmisión: Comunicación de datos personales a un encargado, dentro o fuera del
país, para que trate la información por cuenta del responsable.
Tratamiento: Cualquier operación sobre datos personales, tales como recolección,
almacenamiento, uso, circulación, supresión, transmisión o transferencia.
Aviso de privacidad: Comunicación verbal o escrita dirigida al titular para informarle
sobre la existencia de esta Política, la forma de acceder a ella y las finalidades
aplicables.

6. Categorías de datos tratados
CTOF S.A.S. podrá tratar, según el caso, las siguientes categorías de información:
1. Datos de identificación: nombres, apellidos, tipo y número de documento, fecha
de nacimiento.
2. Datos de contacto: dirección, ciudad, teléfono fijo, celular, correo electrónico.
3. Datos comerciales y transaccionales: historial de compras, facturación, medios
de pago, productos adquiridos, PQR, garantías, devoluciones, preferencias de
consumo.
4. Datos laborales y contractuales: hoja de vida, experiencia, formación,
referencias, cargo, salario, afiliaciones, evaluaciones, novedades laborales y
disciplinarias.
5. Datos financieros o patrimoniales: cuando resulte necesario para pagos,
cobros, análisis de riesgo, cumplimiento contractual o legal.
6. Datos de navegación y uso digital: IP, cookies, logs, comportamiento en sitio
web, formularios enviados, trazabilidad de interacción digital.
7. Datos sensibles: únicamente cuando resulte necesario y legalmente permitido,
incluyendo información de salud ocupacional, videovigilancia o biometría.
8. Datos de menores de edad: solo cuando sea estrictamente necesario y
legalmente procedente.

7. Finalidades del tratamiento
7.1. Finalidades generales
Los datos personales tratados por CTOF S.A.S. podrán ser utilizados, entre otras, para
las siguientes finalidades generales:
1. Identificar a los titulares y verificar su información.
2. Establecer, gestionar, desarrollar y terminar relaciones contractuales,
comerciales, civiles o laborales.
3. Gestionar procesos de venta, distribución, comercialización, servicio técnico,
mantenimiento, garantía, devoluciones y posventa.
4. Atender solicitudes, consultas, peticiones, quejas, reclamos, felicitaciones y
requerimientos.
5. Gestionar cobros, pagos, facturación, notas crédito, devoluciones,
compensaciones y conciliaciones.
6. Cumplir obligaciones legales, regulatorias, contables, tributarias, societarias,
laborales y de archivo.
7. Realizar auditorías, controles internos, gestión de riesgos, prevención de fraude,
prevención de lavado de activos y cumplimiento.
8. Proteger los activos, instalaciones, personal y visitantes de la compañía.
9. Transmitir o transferir datos a encargados, aliados y proveedores en la medida
necesaria para la operación.
10. Enviar comunicaciones operativas, transaccionales, informativas y, cuando haya
autorización, comerciales o publicitarias.

7.2. Finalidades respecto de clientes y potenciales clientes
Además de las anteriores, los datos de clientes y potenciales clientes podrán ser tratados
para:
1. Crear y administrar perfiles comerciales.
2. Gestionar pedidos, reservas, despachos, entregas y devoluciones.
3. Procesar pagos y validar transacciones.
4. Ofrecer productos, servicios, promociones, campañas y beneficios.
5. Realizar segmentación, análisis de consumo, medición de satisfacción, estudios
de mercado y análisis estadísticos.
6. Gestionar programas de fidelización, descuentos, bonos, puntos, redenciones,
campañas promocionales y convenios.
7. Validar identidad para cambios, obsequios, promociones, garantías y beneficios
especiales.

7.3. Finalidades respecto de empleados, exempleados y aspirantes
Los datos de empleados, exempleados y aspirantes podrán ser tratados para:
1. Adelantar procesos de selección, entrevistas, pruebas técnicas o psicotécnicas,
visitas domiciliarias y validación de referencias.
2. Verificar antecedentes laborales, académicos, disciplinarios, comerciales,
financieros y judiciales, cuando sea legalmente procedente.
3. Realizar exámenes médicos ocupacionales de ingreso, periódicos o de retiro.
4. Gestionar la contratación, ejecución y terminación de la relación laboral o
contractual.
5. Cumplir con obligaciones de seguridad social, nómina, bienestar, SST,
capacitación y disciplina.
6. Auditar herramientas tecnológicas corporativas, accesos, correos, chats, archivos
y equipos suministrados por la empresa.
7. Administrar sistemas de videovigilancia, control de acceso, biometría, huella o
reconocimiento facial, cuando resulten necesarios y proporcionales.
8. Ejecutar pruebas de alcohol o sustancias psicoactivas cuando sean legalmente
procedentes y necesarias para la seguridad de la operación.

7.4. Finalidades respecto de proveedores, contratistas, aliados y socios
Los datos de proveedores, contratistas, aliados y socios podrán ser tratados para:
1. Analizar idoneidad, capacidad, experiencia y cumplimiento.
2. Gestionar procesos de contratación, compra, abastecimiento y pagos.
3. Verificar antecedentes y referencias comerciales o contractuales.
4. Ejecutar contratos y supervisar obligaciones.
5. Gestionar accesos a instalaciones, auditorías y controles de seguridad.
6. Cumplir deberes legales y tributarios aplicables.

8. Tratamiento de datos sensibles
8.1. CTOF S.A.S. restringirá el tratamiento de datos sensibles a aquellos eventos en que
sea estrictamente necesario, legalmente permitido y proporcional a la finalidad
perseguida.

8.2. En los casos en que se requiera autorización para el tratamiento de datos sensibles,
CTOF S.A.S. informará al titular:
1. Que se trata de datos sensibles.
2. Que no está obligado a autorizar su tratamiento, salvo los eventos legalmente
exceptuados.
3. La finalidad específica del tratamiento.

8.3. El tratamiento de datos sensibles se realizará, entre otros casos, para:
1. Gestión de seguridad y salud en el trabajo.
2. Controles de acceso y seguridad.
3. Videovigilancia y biometría.
4. Cumplimiento de obligaciones legales y regulatorias.
5. Atención de emergencias o situaciones de riesgo grave o inminente.

8.4. Cuando se trate de datos biométricos, CTOF S.A.S. aplicará medidas reforzadas de
seguridad, acceso restringido y trazabilidad.

9. Tratamiento de datos de niños, niñas y adolescentes
CTOF S.A.S. evitará recolectar y tratar datos de menores de edad, salvo cuando ello sea
estrictamente necesario y legalmente permitido. En tales eventos:
1. Se privilegiará el interés superior del menor.
2. Se asegurará el respeto de sus derechos fundamentales.
3. Se obtendrá la autorización del representante legal, cuando resulte exigible.
4. Se limitará el tratamiento a finalidades estrictamente necesarias.

10. Autorización del titular

10.1. El tratamiento de datos personales por parte de CTOF S.A.S. se realizará con base
en:
1. La autorización previa, expresa e informada del titular, cuando sea requerida.
2. O en los eventos en que la ley permita el tratamiento sin autorización.

10.2. La autorización podrá obtenerse por medios físicos, electrónicos, digitales,
verbales grabados o mediante conductas inequívocas, siempre que sea posible conservar
prueba de su otorgamiento.

10.3. CTOF S.A.S. conservará la prueba de la autorización cuando la ley así lo exija.

11. Derechos del titular
El titular de los datos personales tiene derecho a:
1. Conocer qué datos reposan en las bases de datos de CTOF S.A.S.
2. Actualizar su información.
3. Rectificar los datos incorrectos, inexactos o incompletos.
4. Solicitar supresión de sus datos, cuando proceda.
5. Revocar la autorización otorgada, cuando proceda.
6. Solicitar prueba de la autorización.
7. Ser informado sobre el uso dado a sus datos.
8. Presentar consultas y reclamos ante CTOF S.A.S.
9. Presentar quejas ante la Superintendencia de Industria y Comercio, una vez
haya agotado el trámite previo ante el responsable o encargado, cuando ello sea
exigible.

12. Transferencia y transmisión de datos

12.1. CTOF S.A.S. podrá transmitir o transferir datos personales a terceros, dentro o
fuera de Colombia, cuando ello sea necesario para:
1. La ejecución de contratos.
2. La prestación de servicios.
3. El uso de plataformas tecnológicas, almacenamiento en la nube, CRM, mailing,
logística, e-commerce, videovigilancia, biometría u otras herramientas de
soporte.
4. El cumplimiento de obligaciones legales o regulatorias.

12.2. Cuando se acuda a encargados del tratamiento, CTOF S.A.S. procurará que
existan acuerdos o instrumentos contractuales que regulen el tratamiento, la
confidencialidad, la seguridad y el uso restringido de la información.

12.3. En caso de transferencias o transmisiones internacionales, CTOF S.A.S. adoptará
las medidas razonables para que dichas operaciones se efectúen conforme a la
normatividad colombiana vigente.

13. Procedimiento para consultas y reclamos

13.1. Los titulares o sus causahabientes podrán presentar consultas, solicitudes y
reclamos a través del correo electrónico: protecciondedatos@ctof.co

13.2. Toda solicitud deberá incluir, como mínimo:
1. Nombre completo del solicitante.
2. Número de identificación.
3. Dirección o correo para recibir respuesta.
4. Teléfono de contacto.
5. Descripción clara de la solicitud.
6. Cuando aplique, documentos que soporten la solicitud.
7. Si actúa un tercero, prueba de la legitimación correspondiente.

13.3. Consultas
Las consultas serán atendidas en un término máximo de diez (10) días hábiles contados
a partir de su recibo. Si no fuere posible responder en dicho término, se informará al
interesado los motivos de la demora y la fecha de respuesta, la cual no podrá superar
cinco (5) días hábiles adicionales.

13.4. Reclamos
Cuando se trate de reclamos:
1. Si el reclamo está incompleto, se requerirá al interesado dentro de los cinco (5)
días hábiles siguientes a su recepción para que subsane las fallas.
2. Si el solicitante no presenta la información requerida dentro de los dos (2) meses
siguientes, se entenderá que ha desistido del reclamo.
3. Una vez recibido el reclamo completo, se incluirá en la base de datos la leyenda
“reclamo en trámite” en un término no mayor a dos (2) días hábiles.
4. El término máximo para decidir el reclamo será de quince (15) días hábiles,
prorrogables por ocho (8) días hábiles adicionales cuando no sea posible
resolver dentro del término inicial.

14. Seguridad de la información

14.1. CTOF S.A.S. adoptará medidas técnicas, humanas, físicas, contractuales y
administrativas razonables para proteger los datos personales contra acceso no
autorizado, pérdida, adulteración, uso fraudulento, divulgación indebida o cualquier
tratamiento no autorizado.

14.2. El acceso a los datos personales estará restringido a personas que necesiten
conocerlos por razón de sus funciones, obligaciones contractuales o mandato legal.

14.3. CTOF S.A.S. podrá implementar controles de acceso, trazabilidad, políticas de
contraseñas, perfiles de usuario, monitoreo, cifrado, copias de seguridad y otras medidas
de protección, según la criticidad de la información.

14.4. En caso de incidentes de seguridad que comprometan datos personales, CTOF
S.A.S. adelantará las evaluaciones y acciones de contención, mitigación, documentación
y reporte que resulten procedentes.

15. Conservación, archivo y supresión

15.1. Los datos personales serán conservados por el tiempo razonable, necesario y
proporcional para cumplir las finalidades para las cuales fueron recolectados, así como
por el tiempo adicional que exijan las obligaciones legales, contractuales, fiscales,
contables, laborales, probatorias, regulatorias o de archivo.

15.2. Una vez cumplida la finalidad y vencidos los plazos legales o contractuales de
conservación, los datos podrán:
1. Ser suprimidos de manera segura.
2. Ser anonimizados.
3. O permanecer archivados en condiciones restringidas y seguras, cuando exista
deber legal o interés legítimo que justifique su conservación.

15.3. El solo vencimiento de una relación comercial, contractual o laboral no implica la
eliminación inmediata de la información, cuando existan deberes de conservación
posteriores.

16. Comunicaciones comerciales y de contacto

16.1. CTOF S.A.S. podrá contactar a los titulares para fines comerciales,
promocionales, informativos, transaccionales, de cobranza o servicio, conforme a las
autorizaciones otorgadas y a la normatividad aplicable.

16.2. Cuando resulte aplicable, CTOF S.A.S. ajustará sus prácticas de contacto a las
restricciones legales vigentes sobre horarios, frecuencia, canales o consentimiento.

17. Área responsable y gobierno interno
La administración de esta Política, la atención de solicitudes de habeas data y el
seguimiento general al cumplimiento del régimen de protección de datos personales
estarán a cargo de CTOF S.A.S., a través del canal protecciondedatos@ctof.co y de las
áreas internas que la compañía designe para ello.

18. Vigencia y modificaciones

18.1. La presente Política entra en vigor a partir de la fecha indicada en su encabezado y
podrá ser modificada en cualquier momento por CTOF S.A.S.

18.2. Las modificaciones sustanciales serán informadas a través de la página web
https://www.tiendascasio.titec.co/ o por los canales que CTOF S.A.S. estime
razonables, antes o al momento de su entrada en vigencia, según la naturaleza del
cambio.

18.3. Cuando una modificación afecte de forma sustancial la identificación del
responsable o las finalidades del tratamiento, CTOF S.A.S. adoptará las medidas que
legalmente correspondan, incluyendo, cuando proceda, la obtención de una nueva
autorización.