Política de privacidad

POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
GRUPO NORVA PRESTIGE SAS. – NORVA SELECT
Última actualización: 16 de enero de 2026

1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Razón Social: GRUPO NORVA PRESTIGE SAS. (en adelante, “LA EMPRESA”)
NIT: 901.674.024-7
Domicilio: Calle 25 # 69 - 38, Bogotá D.C., Colombia
Correo de contacto (general): info@norvaselect.com
Canal Habeas Data (Consultas/Reclamos): info@norvaselect.com
Sitio web: https://norvaselect.com/

2. MARCO NORMATIVO, OBJETO Y ALCANCE

Esta Política se adopta en cumplimiento de la Constitución Política (art. 15) y del Régimen de Protección de Datos Personales, en especial la Ley 1581 de 2012 y su reglamentación.

Objeto: establecer las reglas internas y externas para la recolección, almacenamiento, uso, circulación, transmisión, transferencia y supresión de datos personales tratados por LA EMPRESA.

Alcance: aplica a datos personales tratados en canales físicos y digitales, incluyendo: sitio web, formularios, checkout, WhatsApp, redes sociales, servicio al cliente, CRM, email/SMS, campañas publicitarias, analítica y proveedores operativos (pasarelas y logística).

3. DEFINICIONES CLAVE (GOBIERNO DE DATOS)

Para efectos de esta Política:

  • Titular: persona natural dueña de los datos.

  • Responsable: quien decide sobre la base de datos y/o el tratamiento (LA EMPRESA).

  • Encargado: quien trata datos por cuenta del Responsable (proveedores tecnológicos, logísticos, etc.).

  • Tratamiento: operación sobre datos (recolección, uso, almacenamiento, supresión, etc.).

  • Autorización: consentimiento previo, expreso e informado del Titular, salvo excepciones legales.

  • Transmisión: tratamiento por Encargado bajo instrucciones del Responsable.

  • Transferencia: envío de datos a otro Responsable (posible cambio de control del dato) en Colombia o exterior.

4. PRINCIPIOS RECTORES

LA EMPRESA aplicará: legalidad, finalidad, libertad, veracidad/calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad, conforme a la Ley 1581/2012.

5. FUENTES Y FORMAS DE RECOLECCIÓN (TRAZABILIDAD)

LA EMPRESA recolecta datos, entre otros, a través de:
a) formularios web, checkout y creación de cuenta;
b) canales de atención (WhatsApp, email, redes sociales);
c) cookies y tecnologías similares (tags/pixels);
d) campañas de anuncios (formularios instantáneos o formularios externos);
e) interacción comercial con proveedores/aliados;
f) procesos de talento humano (si aplica).

6. CATEGORÍAS DE DATOS TRATADOS

Según el vínculo con LA EMPRESA, pueden tratarse:

6.1 Clientes y prospectos

  • Identificación y contacto: nombres, apellidos, tipo y número de documento, teléfono, email, direcciones (envío/facturación).

  • Datos transaccionales: productos comprados, devoluciones/cambios, historial de pedidos, preferencias, tickets de soporte.

  • Datos de navegación (digital): IP, dispositivo, identificadores, eventos de interacción, cookies, comportamiento dentro del sitio, atribución publicitaria y analítica.

6.2 Pagos y antifraude

  • LA EMPRESA no pretende almacenar números completos de tarjetas. La información de pago se procesa a través de pasarelas y proveedores de pago, bajo sus propios estándares de seguridad.

  • Podrán tratarse datos necesarios para validación de transacciones, prevención de fraude y suplantación.

6.3 Comunicaciones

Contenido de chats, correos, PQRS, solicitudes, evidencias de entrega, y grabaciones si se implementan (informando previamente).

6.4 Proveedores y aliados

Datos de contacto, RUT/certificaciones, información bancaria para pagos, soporte contractual y operativo.

6.5 Empleados/contratistas (si aplica)

Datos de identificación, afiliaciones a seguridad social, historia laboral y documentación requerida por ley. Algunos pueden ser sensibles cuando exista obligación legal (p. ej. salud ocupacional).

7. FINALIDADES DEL TRATAMIENTO (MAPA DE USO)

LA EMPRESA tratará los datos para:

A) Operación comercial, servicio y logística

  1. gestionar registro de cliente, compras, pedidos, facturación, despacho y entrega;

  2. contacto por novedades del pedido (confirmación, envío, devoluciones, garantía);

  3. transmitir datos a operadores logísticos para cumplir la entrega;

  4. gestionar cambios, devoluciones, garantía y atención posventa;

  5. administrar PQRS y soporte.

B) Marketing, relacionamiento y crecimiento (previa autorización cuando aplique)

  1. envío de comunicaciones comerciales (email/WhatsApp/SMS) sobre ofertas, lanzamientos y beneficios;

  2. ejecución de campañas de remarketing/retargeting y audiencias personalizadas;

  3. segmentación para mejorar relevancia de anuncios y experiencia;

  4. medición de rendimiento de campañas, atribución y analítica.

WhatsApp: LA EMPRESA solo contactará por WhatsApp a personas que hayan entregado su número y hayan otorgado consentimiento/opt-in, y respetará solicitudes de cancelación/bloqueo (“STOP”, “NO MÁS”, o equivalente), conforme a políticas de WhatsApp Business.

Política de comercio _ WhatsApp…

C) Analítica, seguridad y mejora continua

  1. analítica web y medición (p. ej. GA4 y Tag Manager);

  2. mapas de calor/usabilidad cuando se implementen (p. ej. Hotjar);

  3. control de calidad, auditoría interna, prevención de abuso y seguridad del sitio.

D) Cumplimiento legal y gestión de riesgo

  1. cumplimiento de deberes contables, tributarios y requerimientos de autoridad;

  2. soporte probatorio de transacciones, entrega y atención;

  3. prevención y detección de fraude y actividades ilícitas.

8. AUTORIZACIÓN DEL TITULAR Y PRUEBA DEL CONSENTIMIENTO

Como regla general, LA EMPRESA solicitará autorización previa, expresa e informada mediante:

  • checkboxes en formularios/checkout;

  • aceptación de cookies (cuando aplique);

  • formularios de anuncios o suscripción;

  • mensajes de confirmación de opt-in (cuando aplique).

LA EMPRESA podrá conservar evidencia de la autorización (fecha, medio, IP, registro del formulario/evento) para fines de auditoría y cumplimiento.

Excepciones: se podrá tratar información sin autorización cuando aplique una causal legal (p. ej. requerimiento de autoridad, ejecución contractual, deber legal).

9. DATOS SENSIBLES Y DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES

Datos sensibles: LA EMPRESA no solicita datos sensibles para la operación comercial ordinaria. Si por razones legales o estrictamente necesarias llegase a tratarlos, lo hará con autorización explícita, informando finalidad y carácter facultativo, conforme a la Ley 1581/2012.

Menores de edad: LA EMPRESA no dirige su oferta a menores. Si eventualmente se recolectan datos de menores, se garantizará el interés superior y se exigirá intervención del representante legal.

10. DERECHOS DEL TITULAR

El Titular podrá:

  1. conocer, actualizar y rectificar;

  2. solicitar prueba de autorización;

  3. ser informado sobre el uso;

  4. presentar quejas ante la Superintendencia de Industria y Comercio (SIC);

  5. revocar autorización y/o solicitar supresión cuando proceda;

  6. acceder gratuitamente a sus datos.

11. PROCEDIMIENTO DE HABEAS DATA (CONSULTAS Y RECLAMOS)

El Titular podrá escribir a: info@norvaselect.com con:

  • nombre completo y documento;

  • descripción clara de la solicitud;

  • datos de contacto;

  • soportes si aplica.

11.1 Consultas

Se atenderán en máximo diez (10) días hábiles; si no es posible, se informará la razón y el nuevo término.

11.2 Reclamos (rectificación/actualización/supresión/revocatoria)

Se atenderán en máximo quince (15) días hábiles; si hay demora, se informará la razón y la fecha de respuesta, sin exceder los términos adicionales previstos.

Si el reclamo está incompleto, LA EMPRESA podrá requerir subsanación y aplicar las reglas de desistimiento conforme a la normativa vigente.

Limitaciones de supresión/revocatoria: no procederán cuando exista deber legal/contractual de conservar la información o cuando se requiera para defensa de intereses legítimos en procesos, garantías, facturación, disputas o autoridad competente.

12. COOKIES, PIXELS Y TECNOLOGÍAS SIMILARES

LA EMPRESA puede usar cookies/identificadores para:

  • funcionamiento del sitio (cookies necesarias);

  • analítica y rendimiento;

  • personalización;

  • publicidad y remarketing.

El Titular podrá administrar o deshabilitar cookies desde:
a) el banner/centro de preferencias (si está habilitado), y/o
b) la configuración del navegador/dispositivo.

La SIC reconoce el uso de cookies como práctica habitual en sitios web, asociada a mejora de experiencia digital; en todo caso, deben aplicarse principios de transparencia y control del Titular.

13. ENCARGADOS, TERCEROS Y COMPARTICIÓN DE INFORMACIÓN

LA EMPRESA podrá compartir datos estrictamente necesarios con:

  • pasarelas/proveedores de pago (procesamiento y antifraude);

  • operadores logísticos y transporte (entrega y trazabilidad);

  • plataformas de analítica/marketing (medición, atribución, audiencias);

  • proveedores tecnológicos (hosting, ecommerce, CRM, mensajería).

Cuando actúen como Encargados, estos tratarán datos bajo instrucciones, confidencialidad y medidas de seguridad. Cuando actúen como Responsables (p. ej. ciertas plataformas publicitarias), aplicarán sus propias políticas, y el Titular puede consultar sus términos y controles de privacidad.

14. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL (SHOPIFY Y OTROS)

El Titular reconoce que la operación digital puede implicar transmisión y/o transferencia internacional de datos a proveedores con infraestructura fuera de Colombia (p. ej. Shopify y subprocesadores).

La transferencia internacional está sujeta a restricciones legales y, en general, se prohíbe hacia países sin niveles adecuados, salvo excepciones legales (incluida la autorización del Titular, entre otras).

LA EMPRESA procurará implementar salvaguardas contractuales y organizacionales con proveedores para mantener estándares de protección equivalentes.

15. RETENCIÓN Y ELIMINACIÓN (POLÍTICA DE CICLO DE VIDA)

LA EMPRESA conservará los datos:

  • por el tiempo necesario para cumplir finalidades;

  • durante la vigencia de la relación contractual y post-venta;

  • por los términos exigidos por obligaciones contables, comerciales y tributarias.

Como referencia comercial, los libros y papeles del comerciante deben conservarse al menos por diez (10) años en los términos del Código de Comercio.

Cumplidos los plazos y finalidades, LA EMPRESA suprimirá o anonimizará la información cuando sea viable técnica y legalmente.

16. DECISIONES AUTOMATIZADAS Y PERFILAMIENTO

LA EMPRESA puede realizar segmentación comercial basada en comportamiento (p. ej. audiencias, retargeting). El Titular podrá solicitar información sobre el uso de sus datos y oponerse a comunicaciones comerciales cuando aplique.

17. SEGURIDAD DE LA INFORMACIÓN (CONTROLES MÍNIMOS)

LA EMPRESA implementa medidas razonables administrativas, técnicas y organizacionales, tales como:

  • cifrado en tránsito (SSL/TLS);

  • control de accesos y privilegios;

  • 2FA donde esté disponible;

  • acuerdos de confidencialidad con personal y aliados;

  • backups y registro de eventos cuando aplique;

  • revisión periódica de permisos y proveedores.

18. GESTIÓN DE INCIDENTES DE SEGURIDAD

Ante incidentes que comprometan confidencialidad, integridad o disponibilidad, LA EMPRESA activará un protocolo interno de: contención, investigación, mitigación, documentación y medidas correctivas. Cuando sea aplicable, se gestionarán notificaciones a autoridades y/o titulares según la naturaleza del evento.

19. RNBD (REGISTRO NACIONAL DE BASES DE DATOS)

Cuando la obligación legal aplique por la naturaleza y condiciones de LA EMPRESA, se realizarán los registros y actualizaciones correspondientes ante el RNBD administrado por la SIC.

20. VIGENCIA Y MODIFICACIONES

La presente Política rige a partir del 2 de enero de 2026. LA EMPRESA podrá modificarla para responder a cambios normativos, operativos o de modelo de negocio. Cualquier cambio sustancial se informará en el sitio web y/o por canales de contacto disponibles.