Contacto

Política de Tratamiento de Datos Personales

C.I. CHOCO GOLD METALS S.A.S.

Versión: 1.0

Fecha de entrada en vigencia: Abril 16 de 2026

Última actualización: Abril 16 de 2026

1. Identificación del responsable del tratamiento

C.I. CHOCO GOLD METALS S.A.S. (en adelante, la “Sociedad” o la “Compañía”), sociedad comercial constituida conforme a las leyes de la República de Colombia, identificada con NIT 900245633-9, con domicilio principal en Bogotá, correo electrónico de contacto para protección de datos legal@chocogoldmetals.com, teléfono +57 3118495464, es responsable del tratamiento de los datos personales recolectados en desarrollo de sus actividades corporativas, comerciales, mineras, logísticas, contractuales, administrativas y de cumplimiento.

2. Marco normativo aplicable

La presente Política se adopta en cumplimiento de lo dispuesto en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012, el Decreto 1074 de 2015 y las instrucciones impartidas por la Superintendencia de Industria y Comercio, en materia de protección de datos personales. 

3. Ámbito de aplicación

La presente Política aplica al tratamiento de datos personales efectuado por la Compañía respecto de:

  • Accionistas y administradores.

  • Empleados, ex empleados, aprendices y candidatos.

  • Proveedores y contratistas.

  • Explotadores, comercializadores, operadores, transportadores y aliados vinculados a la cadena minera.

  • Clientes actuales y potenciales, incluyendo compradores institucionales, intermediarios autorizados, bancos, refinerías y contrapartes comerciales.

  • Visitantes a oficinas, instalaciones, canales digitales y sitios web.

  • Terceros cuyos datos sean tratados en el marco de procesos de debida diligencia, cumplimiento, trazabilidad, seguridad, logística y comercio exterior.

4. Definiciones

Para efectos de la presente Política se tendrán en cuenta, entre otras, las siguientes definiciones:

  • Dato personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.

  • Dato sensible: aquel que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación.

  • Titular: persona natural cuyos datos personales son objeto de tratamiento.

  • Tratamiento: cualquier operación sobre datos personales, como recolección, almacenamiento, uso, circulación, supresión, transmisión o transferencia.

  • Responsable del tratamiento: persona jurídica que decide sobre la base de datos y/o el tratamiento de los datos.

  • Encargado del tratamiento: quien realiza el tratamiento por cuenta del responsable.

  • Autorización: consentimiento previo, expreso e informado del titular.

5. Principios rectores

La Compañía aplicará los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad y responsabilidad demostrada, conforme a la normativa vigente.

6. Datos personales objeto de tratamiento

La Compañía podrá recolectar y tratar, según corresponda y de manera proporcional a cada finalidad, las siguientes categorías de datos:

  • Datos de identificación: nombre, apellidos, tipo y número de documento, nacionalidad, firma.

  • Datos de contacto: dirección, correo electrónico, teléfono, ciudad.

  • Datos laborales y académicos: hoja de vida, experiencia, referencias, certificaciones.

  • Datos financieros, contables y tributarios: información bancaria, RUT, certificaciones, soportes de pago.

  • Datos corporativos y de representación: cargo, empresa, poderes, certificados de existencia y representación.

  • Datos de cumplimiento: información requerida para SARLAFT/SAGRILAFT, listas restrictivas, PEP, beneficiario final, debida diligencia y conocimiento de contraparte.

  • Datos operativos y logísticos: registros de ingreso, transporte, custodia, trazabilidad, cadena documental y validación de operaciones.

  • Imágenes o videograbaciones recolectadas mediante sistemas de seguridad y control de acceso.

  • Datos sensibles, únicamente cuando sea estrictamente necesario y exista habilitación legal o autorización expresa.

7. Finalidades del tratamiento

Los datos personales serán tratados para una o varias de las siguientes finalidades legítimas:

7.1 Finalidades corporativas y administrativas

  • Gestionar relaciones contractuales, comerciales, laborales y societarias.

  • Administrar archivos, expedientes, bases de datos, correspondencia y sistemas de información.

  • Realizar pagos, facturación, cobranzas, conciliaciones y auditorías.

7.2 Finalidades comerciales

  • Atender solicitudes de contacto, cotizaciones, propuestas y negociaciones.

  • Gestionar procesos de venta, compra, suministro, transporte, exportación, entrega y posventa.

  • Mantener comunicación con clientes, potenciales clientes, proveedores y aliados.

7.3 Finalidades de cumplimiento y debida diligencia

  • Verificar identidad, capacidad legal, representación, idoneidad y antecedentes de contrapartes.

  • Cumplir obligaciones relacionadas con prevención del lavado de activos, financiación del terrorismo, corrupción, fraude, soborno, listas restrictivas nacionales e internacionales y demás sistemas de cumplimiento aplicables.

  • Validar documentación minera, comercial, tributaria, aduanera, ambiental y de trazabilidad.

  • Soportar procesos de conocimiento de contraparte, debida diligencia reforzada y auditorías internas o de terceros.

7.4 Finalidades operativas en la cadena minera y comercial

  • Gestionar procesos asociados al origen, custodia, transporte, legalidad, trazabilidad y comercialización de minerales y metales.

  • Verificar soporte documental de explotadores, proveedores, operadores y demás actores de la cadena.

  • Coordinar procesos con aliados logísticos, transportadoras de valores, refinerías, bancos, laboratorios, autoridades y agentes aduaneros, cuando aplique y dentro del marco legal correspondiente. 

7.5 Finalidades de seguridad

  • Controlar el acceso a instalaciones físicas o digitales.

  • Proteger personas, activos, información y operaciones.

  • Gestionar incidentes, investigaciones internas y reportes de seguridad.

7.6 Finalidades laborales

  • Adelantar procesos de selección, contratación, afiliaciones, nómina, bienestar, SST, control disciplinario y retiro.

  • Verificar referencias, títulos, experiencia, antecedentes y documentación de candidatos y empleados.

7.7 Finalidades legales

  • Cumplir mandatos legales, regulatorios, contractuales, judiciales o administrativos.

  • Atender requerimientos de autoridades competentes.

  • Ejercer la defensa judicial o extrajudicial de la Compañía.

7.8 Finalidades informativas y de mercadeo

  • Enviar información corporativa, legal, comercial o institucional.

  • Remitir invitaciones a eventos, reuniones, publicaciones o novedades del negocio, siempre que exista autorización cuando esta sea exigible.

8. Tratamiento de datos sensibles

La Compañía restringirá al máximo el tratamiento de datos sensibles. Cuando dicho tratamiento resulte necesario, este se realizará conforme a la ley, informando al titular el carácter facultativo de su entrega y adoptando medidas reforzadas de seguridad.

9. Tratamiento de datos de niños, niñas y adolescentes

La Compañía no efectuará tratamiento de datos personales de niños, niñas o adolescentes, salvo en los casos permitidos por la ley y cuando dicho tratamiento responda al interés superior del menor y asegure el respeto de sus derechos fundamentales. 

10. Derechos de los titulares

Los titulares de los datos personales tienen derecho a:

  • Conocer, actualizar y rectificar sus datos personales.

  • Solicitar prueba de la autorización otorgada, salvo cuando legalmente no sea necesaria.

  • Ser informados sobre el uso dado a sus datos personales.

  • Presentar consultas y reclamos.

  • Solicitar la supresión de sus datos cuando ello sea procedente.

  • Revocar la autorización cuando no exista deber legal o contractual que impida la eliminación.

  • Acceder de forma gratuita a sus datos personales.

11. Autorización del titular

La Compañía solicitará la autorización previa, expresa e informada del titular, a más tardar al momento de la recolección, salvo en los eventos exceptuados por la ley. La autorización podrá obtenerse por medios físicos, electrónicos, digitales, telefónicos, contractuales o mediante conductas inequívocas que permitan concluir razonablemente que el titular otorgó su consentimiento. 

12. Casos en los que no se requiere autorización

La autorización del titular no será necesaria cuando se trate de:

  • Información requerida por entidad pública o administrativa en ejercicio de sus funciones legales.

  • Datos de naturaleza pública.

  • Casos de urgencia médica o sanitaria.

  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

  • Datos relacionados con el registro civil de las personas.

13. Transferencia y transmisión de datos personales

La Compañía podrá transmitir o transferir datos personales a terceros ubicados en Colombia o en el exterior, cuando ello sea necesario para el desarrollo de sus actividades y finalidades legítimas, incluyendo proveedores tecnológicos, asesores, auditores, operadores logísticos, transportadores, aseguradores, aliados comerciales, bancos, refinerías, autoridades o encargados del tratamiento, garantizando en todo caso niveles adecuados de protección, confidencialidad y seguridad, de conformidad con la ley y mediante los instrumentos contractuales que resulten aplicables. 

14. Encargados del tratamiento

Los terceros que actúen como encargados del tratamiento por cuenta de la Compañía deberán cumplir esta Política, la ley aplicable y las instrucciones impartidas por la Sociedad, adoptando medidas técnicas, humanas y administrativas razonables para la protección de los datos personales.

15. Medidas de seguridad

La Compañía adoptará medidas razonables de seguridad para proteger los datos personales contra adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, atendiendo la naturaleza de los datos, los riesgos del tratamiento y las características de la operación.

16. Conservación de la información

Los datos personales serán conservados durante el tiempo necesario para cumplir las finalidades informadas, las obligaciones legales o contractuales aplicables, los tiempos de prescripción y las necesidades probatorias, contables, regulatorias, laborales, tributarias, de cumplimiento o defensa jurídica de la Compañía.

17. Procedimiento para consultas y reclamos

17.1 Consultas

El titular o sus causahabientes podrán presentar consultas sobre la información personal que repose en las bases de datos de la Compañía a través del correo legal@chocogoldmetals.com o en la dirección AV 26 # 69-63 Of 302.

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de su recibo. Si no fuere posible atenderla dentro de dicho término, se informarán los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

17.2 Reclamos

El titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización, supresión o que adviertan un presunto incumplimiento de la ley, podrán presentar reclamo mediante solicitud escrita al correo legal@chocogoldmetals.com

El reclamo deberá contener como mínimo: identificación del titular, descripción de los hechos, dirección de contacto y documentos de soporte si hubiere lugar.

Si el reclamo está incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las fallas. Si transcurren dos (2) meses desde el requerimiento sin que se presente la información solicitada, se entenderá que el reclamante ha desistido.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. El término máximo para atender el reclamo será de quince (15) días hábiles, prorrogables por ocho (8) días hábiles más cuando existan causas que lo justifiquen.

18. Área responsable de la atención de peticiones de habeas data

La dependencia responsable de atender consultas, reclamos, solicitudes de actualización, rectificación, supresión o revocatoria será [Oficial de Protección de Datos / Área Jurídica / Secretaría General / Cumplimiento], a través del correo legal@chocogoldmetals.com

19. Canales de recolección

La Compañía podrá recolectar datos personales mediante, entre otros, los siguientes canales:

  • Sitio web y formularios de contacto.

  • Correo electrónico, llamadas, mensajería y reuniones.

  • Contratos, órdenes de compra, propuestas y procesos de vinculación.

  • Formularios físicos o digitales de proveedores, clientes, empleados y candidatos.

  • Sistemas de control de acceso y videovigilancia.

  • Interacciones en ferias, eventos, auditorías y visitas comerciales u operativas.

20. Videovigilancia y control de acceso

Cuando la Compañía utilice sistemas de videovigilancia o mecanismos de control de ingreso, la información recolectada tendrá como finalidades la seguridad de personas, bienes e instalaciones, el control de acceso y el soporte de investigaciones internas o requerimientos de autoridad competente.

21. Modificaciones a la política

La Compañía se reserva el derecho de modificar la presente Política en cualquier momento. Toda modificación sustancial será informada por medios físicos o electrónicos razonables, incluyendo su publicación en la página web corporativa.

22. Vigencia

La presente Política rige a partir del día 16 de abril de 2026. Las bases de datos en las que repose información personal serán tratadas durante el tiempo razonable y necesario para el cumplimiento de las finalidades aquí informadas y de las obligaciones legales o contractuales aplicables.