SPARK BY RAYO SAS. en adelante SPARK, sociedad legalmente constituida bajo las leyes colombianas, identificada con NIT: 901872230-7, domiciliada en Carrera 11 A 94 A 31, adopta la presente Política de Privacidad en cumplimiento de las leyes colombianas aplicables, incluyendo la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Ley 2300 de 2023. Esta política regula el tratamiento de los datos personales recolectados de nuestros usuarios, clientes y terceros relacionados.

• Definiciones

1. Autorización: Consentimiento otorgado de manera previa, explícita e informada por el Titular para que se realice el Tratamiento de sus datos personales, conforme a los términos establecidos en esta política.
2. Aviso de privacidad: Declaración verbal o escrita mediante la cual el Responsable del Tratamiento informa al Titular sobre la existencia de esta Política de Privacidad, las finalidades del Tratamiento de sus datos personales y cómo puede acceder a dicha política. El aviso se utiliza en casos donde no sea posible entregar al Titular la política completa.
3. Base de Datos: Sistema organizado de datos personales sujeto a Tratamiento.
4. Dato personal: Información relacionada con una persona natural identificada o identificable.
5. Dato privado: Información que solo interesa al Titular y no está destinada al conocimiento público.
6. Dato semiprivado: Información que no tiene carácter estrictamente privado ni público, y cuyo conocimiento puede interesar a un grupo limitado o a la sociedad en general.
7. Dato público: Información que no es privada, semiprivada ni sensible, y que por su naturaleza está disponible en registros o documentos públicos, gacetas oficiales o decisiones judiciales ejecutoriadas.
8. Dato sensible: Información que revela aspectos íntimos del Titular y cuyo uso indebido podría generar discriminación, como datos relativos a salud, origen racial o étnico, convicciones religiosas, orientación sexual, o datos biométricos.
9. Responsable del Tratamiento: Persona natural o jurídica que, individualmente o en conjunto con otros, define los propósitos y medios del Tratamiento de los datos personales.
10. Encargado del Tratamiento: Persona natural o jurídica que realiza el Tratamiento de los datos personales en nombre del Responsable y bajo sus instrucciones.
11. Titular: Persona natural cuyos datos personales son objeto de Tratamiento.
12. Tratamiento: Operación o conjunto de operaciones realizadas sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, actualización, o supresión.
13. Transferencia: Envío de datos personales por parte del Responsable o Encargado a otro Responsable, ubicado dentro o fuera del territorio colombiano, para su Tratamiento.
14. Transmisión: Comunicación de datos personales dentro o fuera del territorio colombiano para que el Encargado realice el Tratamiento en nombre del Responsable.

• Responsable del Tratamiento

SPARK es responsable del tratamiento de los datos personales recolectados. Si tiene alguna consulta, solicitud o desea ejercer sus derechos, puede comunicarse con nosotros mediante los canales habilitados:

• Dirección: [Dirección]
• Correo electrónico: [Correo Electrónico]
• Teléfono: [Teléfono]

1.Responsabilidades del Responsable del Tratamiento. SPARK, como responsable del tratamiento, tiene las siguientes responsabilidades:

• Garantizar al titular el pleno y efectivo ejercicio del derecho de hábeas data.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir adulteración, pérdida, consulta, uso o acceso no autorizado.
• Informar debidamente al titular sobre las finalidades de la recolección de datos.
• Rectificar los datos personales cuando el titular lo solicite o cuando se detecte algún error.
• Tramitar las solicitudes de acceso, actualización, rectificación o supresión de datos dentro de los términos legales establecidos.
• Informar a las autoridades competentes sobre cualquier incidente de seguridad que comprometa los datos personales.

2.Compartición de datos con Teceros. SPARK podrá recurrir a terceros, tanto personas naturales como jurídicas, para garantizar la adecuada prestación de sus servicios. En estos casos, dichos terceros podrán acceder a información personal almacenada en las bases de datos de SPARK, siempre que:

• Exista un acuerdo previo que establezca obligaciones de confidencialidad y seguridad equivalentes a las aplicadas internamente por SPARK.
• La información sea utilizada únicamente para los fines autorizados por los Titulares y especificados en esta política de privacidad.
• Se comparta solo la información estrictamente necesaria para cumplir con las funciones asignadas al tercero.
• Los terceros devuelvan o destruyan de forma segura la información una vez hayan cumplido con las labores encomendadas.

  III. Uso de la Información Personal. Esta política aplica a los datos personales que los Titulares de la información o Terceros autorizados proporcionen a SPARK por cualquier medio (verbal, página web o físico). También cubre los datos recolectados lícitamente sin requerir autorización previa, siempre que el tratamiento esté permitido por la ley.

1.Tratamiento de Datos Públicos. SPARK puede realizar el tratamiento de datos personales de naturaleza pública sin requerir la autorización previa de los Titulares. Estos datos incluyen información obtenida de registros públicos, documentos públicos, gacetas, boletines oficiales y sentencias judiciales ejecutoriadas.

Dichos datos serán tratados conforme a esta Política de Privacidad y los Titulares podrán ejercer sus derechos relacionados con el tratamiento de sus datos. SPARK adoptará las medidas necesarias para garantizar el cumplimiento de los principios y obligaciones establecidos en la Ley 1581 de 2012 y sus normas reglamentarias.

2.Tratamiento de Información Personal de Funcionarios. SPARK recolecta y almacena datos personales de sus funcionarios a través de diferentes canales de comunicación y documentos utilizados en procesos de selección y formalización de vinculación laboral.

Esta información es proporcionada directamente por los Titulares o recopilada mediante fuentes públicas o privadas, previa autorización del titular. El tratamiento de esta información se realiza conforme a la Ley 1581 de 2012 y las normas aplicables, y bajo las finalidades autorizadas, tales como la gestión de relaciones laborales y el cumplimiento de obligaciones legales.

2.Tratamiento de Información Personal de Proveedores y Contratistas. SPARK recolecta y almacena datos personales de sus proveedores y contratistas a través de los canales habilitados para formalizar su relación comercial.

Los datos son proporcionados por el representante legal del proveedor o por los Titulares, en caso de personas naturales. El tratamiento de esta información se ajusta a la normativa vigente y a las finalidades autorizadas, como la gestión de contratos, pagos y el cumplimiento de obligaciones legales.

3. Tratamiento de Información Personal de Solicitantes de Servicios y Clientes. SPARK recolecta, almacena y trata datos personales de quienes solicitan sus servicios y de quienes se convierten en clientes. Estos datos son proporcionados directamente por los Titulares a través de herramientas tecnológicas, canales de comunicación y documentos dispuestos para este propósito.

El tratamiento de estos datos se realiza conforme a la Ley 1581 de 2012 y sus normas reglamentarias, y bajo las finalidades autorizadas, tales como la prestación de servicios, la evaluación de solicitudes y la gestión de la relación contractual.

5.Tratamiento de Información Personal Sensible. SPARK recolectará y tratará datos personales sensibles únicamente cuando sea estrictamente necesario y con la autorización expresa del titular. Estos datos se tratarán exclusivamente para las siguientes finalidades específicas:

Datos Sensibles	Finalidades
Información de salud	Seguimiento de condiciones de salud del empleado.
Información de niños y adolescentes	Conocimiento del núcleo familiar para entrega de regalos en fechas especiales.
Género o sexo	Seguimiento demográfico para fines estadísticos y de inclusión.
Geolocalización o ubicación en tiempo real	Prevención de fraudes, seguridad y funcionamiento de plataformas móviles.

SPARK asegura que cualquier dato sensible tratado será manejado con los más altos estándares de seguridad y confidencialidad, cumpliendo con las disposiciones legales aplicables. 

6. Tratamiento de datos personales. SPARK recolecta y trata las siguientes categorías de datos personales:

Categoría de Datos	Información Recopilada
Datos de Identificación	Nombres y apellidos, documento de identidad, número de identidad, fecha de nacimiento, sexo.
Datos de Contacto o Ubicación	Correo electrónico personal, teléfono fijo o celular, dirección de residencia.
Datos Financieros	Cuenta bancaria (número de cuenta, tipo de cuenta y banco), ingresos mensuales, valor del crédito solicitado.
Datos Laborales y Comerciales	Tipo de ocupación, nombre del empleador o empresa, antigüedad laboral.
Datos Socioeconómicos	Número de personas a cargo o dependientes económicos.
Datos de Acceso a Plataformas	Contraseña y nombre de usuario para acceso a servicios digitales.
Datos Médicos	Información de estado de salud, enfermedades o alergias que puedan implicar tratamiento especial durante la ejecución del servicio.

8. Datos Recolectados a través de Aplicaciones Móviles y Páginas Web. Además, al utilizar aplicaciones móviles de SPARK, se recolectarán los siguientes datos adicionales:

Tipo de Datos	Información Recopilada	Finalidad
ID del Equipo	Identificación del dispositivo móvil (Android ID, IMEI, BSSID, MAC Address).	Funcionamiento de la aplicación móvil, prevención de fraudes y seguridad.

SPARK asegura que estos datos serán tratados exclusivamente para los fines indicados y bajo las medidas de seguridad adecuadas para evitar accesos no autorizados o uso indebido.

9. Restricciones al Tratamiento de Datos Sensibles y de Menores. Los datos sensibles solo serán tratados con el consentimiento expreso del titular y bajo las condiciones legales que protegen su integridad y privacidad. En el caso de menores de edad, la información solo será recolectada y tratada con la autorización de sus representantes legales, garantizando el respeto a sus derechos fundamentales y cumpliendo con los principios de protección reforzada. 
10. Finalidades del Tratamiento

Los datos personales recolectados serán utilizados para:

1. Evaluar la viabilidad de los servicios solicitados por los clientes.
2. Gestionar las obligaciones contractuales relacionadas con los servicios ofrecidos por SPARK.
3. Comunicar información relevante sobre el estado de los servicios contratados y otras gestiones administrativas.
4. Cumplir con requisitos legales y regulatorios.
5. Realizar actividades de marketing y encuestas de satisfacción.
6. Realizar reportes a centrales de riesgo, como Datacrédito y CIFIN, cuando sea necesario.
7. Evaluar solicitudes de crédito y realizar análisis de riesgo crediticio.
8. Llevar a cabo gestiones de cobranza relacionadas con los servicios prestados.

1. Almacenamiento y tratamiento de los datos 
2. Autorización para el Tratamiento.Al proporcionar sus datos personales, el titular otorga su consentimiento previo, expreso e informado para el tratamiento conforme a esta política. La autorización incluye, entre otras actividades:

• Consulta y reporte de datos personales en centrales de riesgo como Datacrédito y CIFIN.
• Evaluación de crédito y análisis de riesgo financiero.
• Gestión de cobros y procedimientos relacionados con obligaciones adquiridas con SPARK.

2.Conservación de Datos. Los datos personales serán almacenados durante el tiempo necesario para cumplir con las finalidades descritas en esta política o mientras exista una obligación legal o contractual que lo justifique. La información se almacenará en servidores propios y en la nube contratados con terceros, administrados por SPARK o por los proveedores externos correspondientes, quienes cuentan con medidas técnicas de seguridad que garantizan la accesibilidad, integridad y confidencialidad de los datos personales.

SPARK tendrá acceso a los datos almacenados en cualquier momento y los conservará, como mínimo, durante el tiempo que dure la relación contractual con el Titular de la Información y hasta que se cumplan las políticas de supresión descritas.

3. Políticas de Supresión de Datos Personales. Los datos personales se conservarán por un período mínimo de diez (10) años, o durante el tiempo necesario para cumplir con obligaciones legales y contractuales en materia contable, fiscal, administrativa o jurídica.

Una vez finalizada la relación contractual y siempre que no existan obligaciones pendientes, el Titular podrá solicitar la supresión de sus datos personales. Ante esta solicitud, SPARK podrá:

• Eliminar los datos personales solicitados.
• Anonimizar los datos, de modo que no puedan vincularse al Titular.

Para fines de archivo de interés público, investigación científica o histórica, o fines estadísticos, los datos serán sometidos a procesos que anonimizarían o cifrarían los datos para impedir su vinculación con el Titular.

4. Confidencialidad y Seguridad. SPARK adopta medidas técnicas, administrativas y físicas necesarias para garantizar la seguridad y confidencialidad de los datos personales, previniendo el acceso no autorizado, pérdida o uso indebido. Estas medidas incluyen:

• Uso de sistemas encriptados para el manejo de la información.
• Acceso restringido a las bases de datos.
• Auditorías periódicas de seguridad.

1. Derechos y Obligaciones de los titulares.
2. Derechos de los Titulares. El titular de los datos personales tiene derecho a:

• Acceder, actualizar, rectificar y suprimir sus datos personales.
• Revocar la autorización otorgada.

• Conocer el uso que se ha dado a sus datos personales. Para ejercer estos derechos, puede enviar una solicitud a los canales habilitados por SPARK.

2.Responsabilidades del Titular de los Datos. El titular de los datos personales tiene las siguientes responsabilidades:

• Proporcionar información veraz, completa y actualizada.
• Notificar a SPARK sobre cambios en su información personal para garantizar la precisión de los datos.
• Garantizar que cuenta con la autorización de terceros cuyos datos personales sean entregados a SPARK, cuando aplique.

VII. Información de terceros. 

•  Información Personal Proveniente de Terceros. En alianzas comerciales, SPARK podrá recibir información personal recopilada por terceros, presumiendo que cuentan con las autorizaciones necesarias para su tratamiento. En estos casos, SPARK actuará como Encargado del Tratamiento y, ante solicitudes de los Titulares, trasladará dichas peticiones al Responsable correspondiente, sin asumir responsabilidad por el uso previo de los datos ni por las respuestas del tercero.

• Referencias.Cuando terceros proporcionen información personal, como referencias personales o comerciales, SPARK presume que cuentan con las debidas autorizaciones del Titular. La responsabilidad por la validez de dichas autorizaciones recae en quien entrega la información. SPARK garantiza el tratamiento adecuado según la Ley 2300 de 2023.

VIII. Avisos Legales

• El USUARIO declara que toda información proporcionada a SPARK es veraz y se obliga a no usar los servicios para propósitos ilícitos o fraudulentos.
• El USUARIO será responsable frente a SPARK y a terceros por cualquier perjuicio derivado del incumplimiento de las disposiciones legales y contractuales establecidas.
• Al acceder al sitio web de SPARK, el USUARIO manifiesta que es mayor de edad y dispone de la capacidad necesaria para contratar.
• SPARK no será responsable por errores o inconsistencias en información proporcionada por terceros ni por los perjuicios derivados del uso indebido de dicha información.
• SPARK podrá conservar registros físicos o electrónicos con el fin de verificar la identidad y autenticidad de los datos proporcionados por el USUARIO.

1. Firma Electrónica y Aceptación. De conformidad con la Ley 527 de 1999, la aceptación de los términos y condiciones mediante medios electrónicos constituye consentimiento expreso, con igual validez que la firma manuscrita. Los datos de validación electrónica se conservan como evidencia de la aceptación.
2. Modificaciones a la Política de Privacidad. SPARK se reserva el derecho de modificar esta política en cualquier momento. Las modificaciones serán publicadas oportunamente en nuestros canales oficiales. Se notificará a los titulares cuando los cambios impacten significativamente el tratamiento de los datos personales.

XII. Ley Aplicable y Jurisdicción Esta política se rige por las leyes de la República de Colombia. Cualquier controversia relacionada con el tratamiento de datos personales será resuelta ante los tribunales competentes de Bogotá, D.C.

XII. Auditorías y Cumplimiento SPARK realiza auditorías periódicas para asegurar el cumplimiento de esta política y las leyes aplicables. Los resultados de estas auditorías son documentados y, cuando sea necesario, implementamos mejoras para garantizar la protección de los datos.

XIII. Política de Contestación de PQR. SPARK se compromete a garantizar una atención oportuna y eficiente a las Peticiones, Quejas y Reclamos (PQR) relacionadas con el tratamiento de datos personales. Las PQR pueden ser enviadas a través de los siguientes canales:

• Correo electrónico: [Correo Electrónico de PQR]
• Dirección física: [Dirección de Correspondencia]
• Teléfono: [Teléfono de Atención] Las PQR serán respondidas en un plazo máximo de 10 días hábiles. Si no es posible responder dentro de este plazo, se informará al solicitante los motivos de la demora y la fecha estimada de respuesta, la cual no excederá los 5 días hábiles adicionales.

XIV. Aviso Final. Esta política es de obligatoria lectura y cumplimiento para todos los empleados, aliados y terceros que traten datos personales en nombre de SPARK.