Política de Tratamiento de Datos

Política De Tratamiento De Datos Personales De FraiQ S.A.S.

Fecha de entrada en vigencia: 1 de Agosto de 2025

1. ¿Quiénes somos?

FraiQ S.A.S. (en adelante “FraiQ”, “la Compañía” o “nosotros”) es una sociedad comercial colombiana dedicada al desarrollo de soluciones tecnológicas para la medición, gestión y compensación de la huella de carbono e hídrica, así como a la comercialización de bonos de carbono en mercados voluntarios y regulados. Nuestra plataforma integra herramientas digitales de seguimiento, cálculo y reportes ambientales, junto con servicios de intermediación directa de créditos de carbono certificados.

Adicionalmente, FraiQ presta servicios de asesoría científica, técnica, financiera y regulatoria para la estructuración de estrategias de mitigación y compensación de emisiones, apoyando a empresas en el cumplimiento de sus objetivos de sostenibilidad y en la generación de impacto ambiental positivo.

Como responsable del tratamiento –de conformidad con la Ley 1581 de 2012 (“LGPDP”)– determinamos las finalidades y los medios mediante los cuales se tratan los datos personales que recopilamos a través de nuestros canales físicos y digitales.

2. Política de tratamiento de datos personales

Para FraiQ tu privacidad es primordial. Este documento explicará el enfoque de FraiQ al tratar información de carácter personal (cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables) de las personas con las que interactuamos a través de cualquiera de nuestros canales previstos por FraiQ, el tipo de datos que trataremos y las condiciones en que se custodiarán los datos personales que nos hayas proporcionado. FraiQ se encuentra comprometida a cumplir en todo momento con la normatividad vigente en Colombia en materia de protección de datos personales, garantizando el ejercicio de sus derechos de habeas data.

La Política de Tratamiento tiene como objeto proteger el derecho constitucional del Habeas Data que tienen todas las personas para conocer, actualizar, y rectificar la información personal que se haya recogido y almacenado en las distintas bases de datos de FraiQ. Los Datos Personales sólo serán recolectados y tratados, cuando así haya sido autorizado previamente por su titular, y se garantice su tratamiento bajo los parámetros anotados antes. Así mismo, detalla los lineamientos generales corporativos que se tienen en cuenta con el fin de proteger los datos personales de los titulares, las finalidades de tratamiento de la información, el área responsable de atender las quejas y reclamos, y los procedimientos que se deben agotar para conocer actualizar, rectificar y suprimir la información y los respectivos canales para que estos puedan ejercerlos.

3. Definiciones

Estos son los términos que utilizaremos a lo largo de este documento, en el cual explicaremos la forma como tratamos tu información personal.

• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
• Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
• Consentimiento del titular: Es una manifestación de la voluntad, informada, libre e inequívoca, a través de la cual el titular de los datos de carácter personal autoriza a un tercero a tratar sus datos personales.
• Consulta: El derecho de los Titulares o sus causahabientes a consultar los Datos Personales del Titular que repose en cualquier base de datos. El responsable del tratamiento o el encargado del tratamiento deberán suministrar la información contenida en el registro individual o que esté vinculada con la identificación del titular.
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato público: Es el dato que no sean semiprivados o privados, de conformidad con la ley colombiana. Son públicos, entre otros, los datos contenidos en documentos públicos, gacetas y boletines judiciales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva y los relativos al estado civil de las personas.
• Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
• Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
• Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos, tales como fotografías, grabaciones de sistemas de videovigilancia entre otros.
• Encargado del tratamiento: Es la persona natural o jurídica que trata datos personales por cuenta del responsable del tratamiento.
• Reclamo: Es el ejercicio del derecho a corregir, actualizar o suprimir, datos personales, o solicitar que los mismos sean tratados conforme a los principios que los tutelan, las leyes estatutarias y reglamentos aplicables, y los procedimientos establecidos en este Manual.
• Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos personales.
• Transferencia: La Transferencia de Datos Personales tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
• Transmisión: Tratamiento de Datos Personales que implica la comunicación a un tercero de los mismos, dentro o fuera del territorio de la República de Colombia, cuando dicha comunicación tenga por objeto la realización de un Tratamiento por el Encargado en nombre y por cuenta del Responsable, para cumplir con las finalidades de este último.
• Tratamiento: Cualquier operación o procedimientos físicos o automatizados que permita captar, registrar, reproducir, conservar, organizar, modificar, transmitir los datos de carácter personal.
• Titular de los datos personales: Es la persona natural cuyos datos personales son objeto de tratamiento.

4. Principios rectores del tratamiento

Durante el tiempo que tratemos tus datos personales, garantizaremos la aplicación de los principios generales establecidos en la LGPDP:

• Principio de Legalidad: El tratamiento de datos personales debe obedecer a una finalidad legítima, por lo cual se dará fiel cumplimiento a lo establecido en la LGPDP y en las demás disposiciones aplicables.

• Principio de Finalidad: Siempre trataremos tus datos personales conforme a una finalidad legítima la cual será previamente informada al titular de los datos personales.

• Principio de Libertad: Solo trataremos tus datos personales cuando cuente con el consentimiento previo, expreso e informado del titular o exista una excepción de conformidad con la LGPDP. Como titular siempre podrás negarte al tratamiento de tus datos sensibles.

• Principio de Veracidad o Calidad: Los datos personales que trataremos deberán ser veraces, completos, exactos, actualizados, comprobables y comprensibles.

• Principio de Transparencia: Garantizamos que en cualquier momento y sin restricciones el titular de los datos personales o su representante legal podrá acceder a la información sobre sus datos personales y la forma como son tratados.

• Principio de Acceso y Circulación Restringida: El tratamiento de sus datos personales se realizará solamente por las personas a quien usted haya autorizado y/o a quienes deba compartirse la información de conformidad con la LGPDP.

• Principio de Seguridad: La información sujeta a tratamiento por nuestra parte, se manejará con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Principio de Confidencialidad: Nos comprometemos a que las personas que intervengan en el tratamiento de tus datos personales que no sean públicos, se encontrarán obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas.

• Principio de Responsabilidad Demostrada: Aquel que se basa en el enfoque del reconocimiento y del compromiso de las organizaciones a los efectos de incrementar los estándares de protección para procurar y garantizar a las personas un tratamiento adecuado de tus datos personales. Este principio comporta para nosotros una obligación de rendir cuentas sobre tus actividades en materia de protección de datos personales, aceptar responsabilidad sobre ellas y divulgar los resultados de manera transparente.

5. Formas de recolección de los datos personales

5.1. Recolección directa

La obtención directa ocurre cuando el Titular proporciona su información a la Compañía a través de contratos, propuestas de servicios, órdenes de compra, correos electrónicos, formularios web o físicos, reuniones de consultoría, programas de capacitación y demás interacciones comerciales. En cada caso se suministra la Autorización correspondiente o se hace mención de la base jurídica habilitante.

5.2. Recolección automática

Cuando el Titular navega por nuestro sitio web, determinadas tecnologías (cookies, etiquetas de píxel, registros de servidor u otras herramientas de seguimiento) pueden recopilar información técnica básica –p. ej., tipo de navegador, sistema operativo, dirección IP, duración de la visita– con fines exclusivamente funcionales, estadísticos y de seguridad. La Compañía no individualiza al visitante a partir de esta información ni la combina con los datos de identificación del Titular.

La instalación de cookies se informa mediante el banner correspondiente y el Titular puede configurarlas o deshabilitarlas desde su navegador.

6. Datos personales tratados

FraiQ trata única y exclusivamente los siguientes datos de identificación y contacto de clientes, proveedores y contratistas personas naturales:

• Nombre completo.

• Número de identificación (cédula de ciudadanía o extranjería).

• Datos de contacto (correo electrónico y número telefónico).

No recolectamos ni tratamos datos sensibles, ni información perteneciente a menores de edad o comunidades protegidas. Si en el futuro fuese necesario gestionar dichas categorías de datos, solicitaremos Autorización explícita y aplicaremos las salvaguardas legales reforzadas.

7. Finalidades del tratamiento

Los Datos Personales se tratarán exclusivamente para los fines que se indican a continuación; cualquier uso distinto requerirá una nueva Autorización o la verificación de una excepción legal:

1. Gestión precontractual, contractual y poscontractual con clientes, proveedores y contratistas, incluyendo la evaluación, formalización, ejecución y terminación de los acuerdos comerciales o de servicios.

2. Cumplimiento de obligaciones legales, contables y fiscales, tales como la emisión de facturas, certificaciones de retención y reportes regulatorios.

3. Comunicación, soporte y seguimiento de los servicios de medición de huella de carbono, consultoría en sostenibilidad o intermediación de bonos, a través de nuestros canales oficiales (correo electrónico, llamadas o mensajería instantánea).

4. Administración de la información operativa relacionada con las metodologías de cuantificación y verificación de emisiones, garantizando la trazabilidad de los resultados entregados a cada cliente.

5. Gestión de riesgos corporativos, auditoría interna y cumplimiento de programas de prevención de lavado de activos, financiación del terrorismo y anticorrupción (LA/FT/FPADM).

6. Eventual transmisión o transferencia nacional o internacional de Datos Personales a proveedores que presten servicios de apoyo (por ejemplo, hosting en la nube, contabilidad, mensajería, gestión documental o soporte tecnológico), previa suscripción de los acuerdos de Transmisión requeridos por la LGPDP.

FraiQ se abstendrá de vender, arrendar o divulgar los Datos Personales a terceros sin base jurídica que lo avale y sin garantizar las mismas condiciones de protección.

8. Derechos y procedimiento

El Titular puede, en todo momento y de manera gratuita, ejercer los derechos de acceso, actualización, rectificación, supresión, revocatoria de la Autorización y prueba de la Autorización. Para ello deberá remitir una solicitud escrita o electrónica al correo hello.fraiq@gmail.com indicando:

• Nombre completo e identificación del Titular.

• Descripción clara y detallada de la consulta o reclamo.

• Copia de los documentos que acrediten la representación (cuando aplique) y la documentación de soporte pertinente.

8.1. Términos de respuesta

• Consultas: la Compañía responderá dentro de los diez (10) días hábiles siguientes a su recepción.

• Reclamos: la respuesta se emitirá en un plazo máximo de quince (15) días hábiles contados a partir del día hábil siguiente a la recepción del reclamo completo. Cuando sea necesario, el término podrá prorrogarse por ocho (8) días hábiles adicionales, previa comunicación al Titular.

Si al cabo de los plazos legales el Titular no obtiene una respuesta satisfactoria, podrá elevar la queja ante la Delegatura para la Protección de Datos Personales de la SIC.

9. Transferencia y transmisión de datos personales

FraiQ actualmente no comparte Datos Personales con terceros. No obstante, cuando para el desarrollo de nuestras actividades sea indispensable transmitir o transferir datos a un Encargado ubicado en Colombia o en cualquier otro país autorizado:

• Verificaremos que exista Autorización previa del Titular o que concurran las bases jurídicas establecidas en la ley.

• Suscribiremos un contrato de Transmisión que incorpore las obligaciones de seguridad, confidencialidad y correcto tratamiento exigidas por la LGPDP.

• Realizaremos auditorías o controles razonables para asegurar el cumplimiento de las obligaciones asumidas por el Encargado.

Si en el futuro se requiriese una transferencia internacional, verificaremos que el país receptor cuente con un nivel adecuado de protección reconocido por la SIC o se configure alguna de las excepciones del artículo 26 de la Ley 1581.

10. Medidas de seguridad

Adoptamos medidas técnicas, humanas y administrativas proporcionadas al riesgo, entre las que se destacan:

• Infraestructura en Google Cloud Platform con cifrado en tránsito y en reposo.

• Controles de acceso lógico basados en autenticación robusta y privilegios mínimos.

• Políticas de copias de seguridad y plan de recuperación ante desastres.

• Monitoreo continuo y procedimiento interno de gestión de incidentes, que incluye la notificación a la SIC y a los Titulares cuando las normas lo exijan.

Estas medidas se revisan de forma periódica para asegurar su eficacia frente a las nuevas amenazas y requisitos regulatorios.

11. Deberes del responsable

En su calidad de Responsable, FraiQ cumple los deberes previstos en los artículos 17 y 18 de la LGPDP, entre ellos:

• Garantizar al Titular el pleno y efectivo ejercicio del derecho de habeas data.

• Solicitar y conservar evidencia de la Autorización otorgada por el Titular.

• Informar debidamente las finalidades del Tratamiento y los derechos que le asisten.

• Conservar la información bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado.

• Mantener la información veraz, completa, exacta y actualizada, comunicando oportunamente al Encargado las novedades que se presenten.

• Rectificar la información cuando sea incorrecta y adoptar las medidas necesarias para que la información suministrada se mantenga al día.

• Tramitar consultas y reclamos de conformidad con los términos de la ley.

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la normativa de protección de datos.

• Reportar los incidentes de seguridad relevantes a la SIC.

• Cumplir las instrucciones y requerimientos que emita la autoridad de control.

12. Tratamiento de datos sensibles y de menores de edad

FraiQ no trata datos sensibles ni datos de menores de edad. Si en el futuro fuese necesario tratar estas categorías de datos, se solicitará Autorización explícita y se aplicarán las salvaguardas reforzadas previstas en los artículos 5, 6 y 7 de la LGPDP.

13. Cambios en la política

Cualquier modificación sustancial de esta Política se comunicará a los Titulares mediante aviso destacado en nuestro sitio web y entrará en vigor a los treinta (30) días calendario siguientes a su publicación. Cuando la modificación implique nuevas finalidades, la Compañía solicitará una nueva Autorización.

14. Vigencia

Esta Política entra en vigencia a partir de la fecha indicada en el encabezado y permanecerá vigente mientras la Compañía realice Tratamiento de Datos Personales.