BIENVENIDOS A ZO® SKIN HEALTH COLOMBIA

ZO SKIN HEALTH

Política de tratamiento de datos personales y política de privacidad

1. Responsable del Tratamiento y canales de contacto

 

El Responsable del Tratamiento de los datos personales recolectados a través de los Sitios es:

 

Para efectos del ejercicio de los derechos de protección de datos (habeas data), consultas o reclamos, el Operador ha dispuesto el correo electrónico servicioalcliente@dermdicamedical.com y/o el canal que se indique (por ejemplo, formulario web o dirección física para correspondencia). La área encargada de la atención de estas solicitudes es Servicio al Cliente.

 

Base legal: La presente Política de Tratamiento de Datos Personales se expide en cumplimiento de la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás normas colombianas vigentes en materia de protección de datos personales.

 

2. Ámbito de aplicación

 

Esta Política aplica al tratamiento de datos personales de todos los titulares cuyos datos sean recolectados por el Operador a través de los Sitios o en relación con éstos. Esto incluye, entre otros: visitantes o usuarios de los Sitios, prospectos o potenciales clientes, clientes efectivos, profesionales de la salud registrados, participantes o asistentes a eventos, proveedores, y en general cualquier individuo cuyos datos personales sean obtenidos mediante formularios web, cookies, canales digitales, comunicaciones o interacciones asociadas a los Sitios.

 

3. Datos personales que recolectamos

 

Podemos recolectar las siguientes categorías de datos personales, según la interacción del titular con los Sitios:

  • a) Datos de identificación y contacto: nombre, apellidos, número de teléfono móvil, dirección de correo electrónico, ciudad/país de residencia, especialidad profesional y lugar de trabajo (estos últimos si aplican, por ejemplo, para profesionales de la salud).

  • b) Datos profesionales: número de licencia o registro profesional de médicos u otros profesionales de la salud, y/o copia o archivo digital que soporte dicha información (si aplica para acceder a secciones exclusivas para profesionales).

  • c) Datos de navegación: dirección IP, tipo de dispositivo, tipo de navegador, páginas o secciones visitadas, fechas y horas de acceso, y eventos de interacción con el Sitio (clics, formularios diligenciados, etc.), obtenidos mediante cookies u tecnologías similares.

  • d) Preferencias y datos de marketing: intereses declarados o inferidos, suscripciones a boletines, consentimiento (opt-in) para comunicaciones comerciales, historial de comunicaciones o interacciones previas con nuestras campañas.

  • e) Datos para futuro e-commerce (si se habilita): información necesaria para compras en línea, como dirección de entrega, datos de facturación, historial de compras, solicitudes de servicio al cliente, gestión de PQR (preguntas, quejas y reclamos), solicitudes de devoluciones y ejercicio del derecho de retracto, en caso de que la funcionalidad de tienda en línea sea implementada más adelante.

 

Nota: Como regla general, el Operador no solicita datos sensibles a través de los Sitios (por ejemplo, datos relacionados con salud, orientación política, religiosa, vida sexual, origen étnico, datos biométricos, etc.). En caso de que, excepcionalmente, se requiera el suministro de datos sensibles para alguna finalidad legítima, se informará previamente al titular que su entrega es voluntaria y se recabará su consentimiento expreso y separado. Cualquier dato relativo a licencias médicas u otros documentos profesionales aportados será tratado únicamente para verificar la calidad de profesional de la salud y no se destinará a fines diferentes sin autorización.

 

4. Finalidades del tratamiento

 

Los datos personales recopilados serán utilizados para las siguientes finalidades:

  • Responder solicitudes y contacto: Atender y dar respuesta a las solicitudes o consultas que usted realice a través de los formularios de contacto o canales habilitados, incluyendo solicitudes de información sobre productos, cotizaciones, disponibilidad de stock, invitaciones a eventos, programas de formación u otras iniciativas.

  • Verificación de perfil profesional: Verificar su condición de profesional de la salud cuando sea necesario, a fin de conceder acceso a contenidos, secciones, promociones o beneficios que estén dirigidos exclusivamente a profesionales. Esto puede incluir la validación de su número de licencia en bases de datos oficiales (por ejemplo, consulta en el registro ReTHUS) y la revisión de documentos soporte que haya proporcionado.

  • Gestión de relacionamiento comercial (CRM): Mantener y gestionar el relacionamiento con usted como contacto o cliente, lo que comprende la actualización de sus datos en nuestros sistemas de CRM, la segmentación según su perfil o preferencias, el seguimiento de su interés en nuestros productos o eventos, el envío de invitaciones a eventos o encuestas de satisfacción, y en general actividades de marketing relacional.

  • Envío de comunicaciones informativas y promocionales: Remitirle, por medios electrónicos (correo electrónico, SMS, WhatsApp u otros medios de mensajería electrónica), comunicaciones con información sobre nuestros productos, noticias, ofertas, promociones, eventos o contenidos educativos relacionados con la marca, únicamente cuando tengamos su autorización previa para ello. En todo caso, dichas comunicaciones incluirán un mecanismo sencillo para que usted pueda cancelar la suscripción o darse de baja en cualquier momento (ver numeral 12 de esta Política).

  • Seguridad y prevención de fraudes: Velar por la seguridad informática y la integridad de los Sitios y de las transacciones o interacciones que se realicen a través de ellos. Esto incluye la detección y prevención de fraudes, usos indebidos, accesos no autorizados, ataques informáticos o cualquier actividad que pueda vulnerar la seguridad de la información. Para tales fines, podemos registrar y monitorear ciertos datos de actividad y emplear herramientas de seguridad y trazabilidad de incidentes.

  • Analítica y mejora del Sitio: Analizar la forma en que los usuarios navegan e interactúan con los Sitios, con el fin de medir el tráfico y desempeño de nuestras páginas, entender la efectividad de nuestras campañas digitales, identificar tendencias o problemas de usabilidad y, en general, mejorar continuamente la experiencia de usuario, los contenidos y las funcionalidades ofrecidas. Estas actividades usualmente se realizan sobre datos agregados o anonimizados cuando es posible.

  • Cumplimiento de obligaciones legales: Gestionar y conservar sus datos en la medida necesaria para cumplir con obligaciones legales o regulatorias a cargo del Operador. Por ejemplo, atender requerimientos de autoridades competentes, cumplir órdenes judiciales, responder a la Superintendencia de Industria y Comercio u otros entes de control en caso de investigaciones, así como cumplir deberes en materia contable, fiscal, de protección al consumidor, sanitaria (INVIMA) u otros que resulten aplicables.

  • Operaciones de comercio electrónico (futuro): Si en el futuro se habilita la venta en línea, usar sus datos para las gestiones necesarias de comercio electrónico, tales como la creación de una cuenta de usuario, procesamiento de pedidos de compra, gestión de pagos en línea, coordinación de envíos y entregas de productos, manejo de solicitudes de devolución, ejercicio del derecho de retracto, atención de garantías y servicio postventa, así como la gestión de cualquier PQR (peticiones, quejas, reclamos) derivada de tales transacciones.

 

5. Mecanismo de autorización del titular

 

En todos los casos que la ley lo exija, la recolección y tratamiento de datos personales se realizará previa obtención de la autorización expresa del titular. Dicha autorización se solicitará de forma clara e informada, a más tardar en el momento de la recolección de los datos, mediante las casillas de verificación, botones de consentimiento, formularios electrónicos o mecanismos equivalentes implementados en los Sitios.

 

El titular de los datos tiene derecho a revocar su autorización en cualquier momento, y a solicitar la eliminación de sus datos cuando ello sea procedente según la ley (ver numeral 6, Derechos del titular). La revocatoria de la autorización o la solicitud de supresión de datos no será retroactiva y procederá cuando no exista un deber legal o contractual que impida eliminar la información.

 

6. Derechos del titular de los datos

 

De conformidad con la legislación colombiana de protección de datos personales, el titular de los datos tiene los siguientes derechos respecto a su información personal:

  • Acceso: Podrá solicitar en cualquier momento conocer si el Operador está tratando sus datos personales, y obtener información sobre los mismos, incluyendo los datos personales almacenados y las características esenciales del tratamiento (finalidades, tipo de tratamiento, terceros con quienes se comparte la información, etc.).

  • Actualización y rectificación: Podrá solicitar la actualización de sus datos personales que hayan cambiado, así como la corrección o rectificación de aquellos datos que estén incompletos, inexactos o desactualizados.

  • Cancelación o supresión: Podrá solicitar la eliminación de sus datos personales de nuestras bases de datos en los casos en que sea procedente, por ejemplo, si considera que no se están tratando conforme a la normativa o si han dejado de ser necesarios para las finalidades informadas. Este derecho está sujeto a excepciones legales; por ejemplo, no procederá la supresión cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

  • Prueba de la autorización: Podrá requerir prueba de la autorización otorgada para el tratamiento de sus datos, salvo en los casos en que no sea necesaria dicha autorización por disposición legal.

  • Ser informado sobre el uso de sus datos: Podrá solicitar al Operador información sobre el uso que le ha dado a sus datos personales, cuando lo requiera.

  • Revocatoria de la autorización: Podrá revocar la autorización otorgada para el tratamiento de sus datos en cualquier momento, siempre que no lo impida una disposición legal o contractual. En particular, tiene derecho a revocar la autorización para el envío de comunicaciones con fines de mercadeo en cualquier momento, siguiendo los procedimientos señalados en esta Política.

  • Presentar quejas ante la SIC: Si después de agotar el trámite de consulta o reclamo ante el Operador (ver numeral 7) considera que sus derechos de habeas data han sido vulnerados, podrá presentar una queja ante la Superintendencia de Industria y Comercio (SIC) de Colombia, que es la autoridad de protección de datos encargada de vigilar el cumplimiento de las normas sobre datos personales.

 

7. Procedimiento para consultas y reclamos (Habeas Data)

 

El Operador ha establecido un procedimiento interno para atender en forma oportuna las consultas y reclamos relacionados con datos personales, de acuerdo con los plazos y condiciones establecidas en la Ley 1581 de 2012 y sus normas reglamentarias:

  • Consultas (Derecho de acceso): El titular, su representante legal o sus causahabientes podrán elevar una consulta para conocer los datos personales del titular que reposen en nuestras bases de datos, o para obtener información sobre el uso que les damos. La solicitud de consulta deberá enviarse al correo servicioalcliente@dermedicamedical.com e indicar en el asunto o cuerpo del mensaje que se trata de una consulta de datos personales. Deberá incluir la identificación del titular y una descripción clara de la consulta. Si la persona que realiza la consulta es distinta del titular, deberá acreditar su capacidad para representarlo. Las consultas serán respondidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recepción. Si no fuese posible atender la consulta dentro de dicho término, se informará al interesado antes de su vencimiento, expresando los motivos de la demora y señalando la fecha en que se atenderá, la cual en ningún caso excederá cinco (5) días hábiles adicionales al primer plazo.

  • Reclamos (Corrección, actualización, supresión, revocatoria, etc.): Cuando el titular o sus legitimados deseen corregir, actualizar o suprimir alguno de sus datos, revocar la autorización, o consideren que el Operador está incumpliendo con los deberes legales de protección de datos, podrán presentar un reclamo. El reclamo se deberá enviar al correo servicioalcliente@dermedicamedical.com, con la siguiente información: identificación del titular (nombre completo y número de identificación), descripción de los hechos que dan lugar al reclamo y la petición concreta (p. ej., rectificación o supresión de datos), dirección de notificación (email o física) y documentos o pruebas que se quieran hacer valer. Si el reclamo resulta incompleto, el Operador requerirá al remitente dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información faltante, se entenderá que ha desistido del reclamo. Una vez recibido un reclamo completo, se incluirá en nuestra base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un plazo no mayor a dos (2) días hábiles. El reclamo completo será resuelto en un término máximo de quince (15) días hábiles contados desde el día siguiente a la fecha de su recibo. En caso de no ser posible responder en dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, la cual no podrá exceder de ocho (8) días hábiles adicionales.

  • Verificación de identidad: Para proteger la confidencialidad y seguridad de los datos, el Operador se reserva el derecho de solicitar las verificaciones o pruebas adicionales de identidad que considere pertinentes antes de revelar datos personales en respuesta a una consulta, o de realizar modificaciones en los datos en respuesta a un reclamo. Esto con el fin de asegurarnos razonablemente de que quien realiza la solicitud es efectivamente el titular de los datos o su representante válido.

 

8. Encargados del tratamiento, transferencia a terceros y datos internacionales

 

El Operador podrá compartir o delegar el tratamiento de ciertos datos personales a terceros proveedores de servicios en calidad de Encargados del Tratamiento, para que realicen tareas en nombre del Operador conforme a las finalidades descritas en esta Política. Estos proveedores pueden incluir, a modo enunciativo: servicios tecnológicos de hospedaje de datos (hosting, almacenamiento en la nube), servicios de analítica web, herramientas de gestión de relaciones con clientes (CRM), plataformas de envío de comunicaciones por email, SMS o WhatsApp, agencias de marketing digital, servicios de soporte técnico, entre otros. En todos los casos, dichos Encargados actuarán bajo instrucciones del Operador, y estarán contractualmente obligados a garantizar la confidencialidad, seguridad e integridad de los datos personales.

 

El titular de los datos autoriza de forma expresa al Operador para transferir o transmitir sus datos personales a nivel internacional. Esto incluye la posibilidad de almacenar o procesar los datos en servidores ubicados fuera de Colombia, incluyendo servidores pertenecientes a la casa matriz de la marca representada u operados por proveedores de servicios tecnológicos (por ejemplo, servicios de hosting, plataformas CRM, herramientas de emailing o mensajería) contratados por el Operador. Cualquier transferencia internacional de datos se llevará a cabo cumpliendo con los requisitos de la normatividad colombiana vigente: en particular, solo se realizará para las finalidades aquí descritas, se obtendrá la autorización previa del titular cuando sea legalmente exigida (por ejemplo, cuando los datos vayan a ser transferidos a un país que no ofrece un nivel de protección de datos adecuado según los estándares colombianos), y se suscribirán los acuerdos o cláusulas contractuales que sean necesarios para garantizar un nivel adecuado de protección de la información transferida, de acuerdo con lo previsto en la Ley 1581 de 2012 y sus normas reglamentarias.

 

9. Seguridad de la información

 

El Operador implementa medidas de seguridad administrativas, técnicas y humanas que son razonables y conformes con los estándares de la industria, con el objetivo de proteger los datos personales bajo su control contra pérdida, uso indebido, acceso no autorizado, alteración, divulgación o destrucción. Entre dichas medidas se incluyen, por ejemplo, controles de acceso restringido a las bases de datos, firewalls, cifrado de comunicaciones sensibles, protocolos de backup, políticas internas de confidencialidad y capacitaciones al personal en buenas prácticas de seguridad de la información.

 

Es importante destacar que, si bien nos esforzamos por proteger sus datos, ningún sistema es completamente invulnerable. Por lo tanto, no podemos garantizar una seguridad absoluta. En caso de presentarse incidentes de seguridad que comprometan significativamente sus datos personales (por ejemplo, una brecha de seguridad), el Operador activará sus protocolos internos de respuesta a incidentes, mitigará los efectos y notificará a las autoridades y/o a los titulares afectados según lo exigido por la ley.

 

10. Período de conservación, retención y supresión de datos

 

El Operador conservará los datos personales únicamente durante el tiempo que sea necesario para cumplir con las finalidades para las cuales fueron recolectados o para atender obligaciones legales o contractuales. Los períodos de retención pueden variar según la naturaleza de los datos y la finalidad del tratamiento. A continuación se establecen algunos criterios generales de retención (los cuales podrán ajustarse de acuerdo con circunstancias específicas, cambios normativos o políticas internas):

  • Contactos comerciales y marketing: Los datos de prospectos, suscriptores a comunicaciones y en general de contactos con fines comerciales o de marketing se conservarán mientras el titular no haya revocado su autorización o solicitado la supresión de sus datos. En ausencia de manifestación en contrario, estos datos podrían almacenarse por un término de hasta [24] meses contados desde la última interacción significativa del titular con el Operador (por ejemplo, último registro, última apertura de un correo, última participación en un evento, etc.), a fin de mantener la relación comercial o de interés vigente.

  • Datos de verificación profesional (licencias, certificados): En caso de haberse recolectado documentos o datos para verificar la condición de profesional de la salud (como copias de licencias médicas, certificados, etc.), estos se almacenarán durante el tiempo en que se requieran para validar el acceso a las secciones o beneficios exclusivos y por un período adicional de 5 años tras la verificación, con el propósito de disponer de un archivo de auditoría y dar cumplimiento a posibles requerimientos regulatorios. Pasado dicho término, se procederá a su eliminación segura, salvo que exista un deber legal de conservación más prolongado.

  • Datos de transacciones (e-commerce, si aplica): Los datos relacionados con transacciones comerciales (ej. información de compras, facturación, comunicaciones de servicio al cliente, PQR, garantías y devoluciones) se conservarán por el tiempo requerido en virtud de las leyes comerciales, tributarias y de protección al consumidor. Esto usualmente implica mantener ciertos datos por al menos el término de las obligaciones contractuales vigentes, más los plazos de prescripción de acciones legales que correspondan (por ejemplo, las facturas se conservan mínimo 5 años por norma fiscal; las quejas y reclamos, según la ley de consumidor, deben conservarse por al menos 2 años desde su resolución, etc.). En todo caso, si el e-commerce aún no está implementado, estos datos no se recopilan.

 

Una vez vencidos los plazos de conservación aplicables, los datos personales que ya no sean necesarios se suprimirán de las bases de datos del Operador o se anonimizarán de manera segura, de tal forma que no sea posible asociarlos nuevamente a un individuo identificado, salvo que deban mantenerse por un período adicional en virtud de una obligación legal o por orden de autoridad competente.

 

11. Cookies y tecnologías similares

 

Al igual que muchos sitios web, los Sitios emplean cookies y tecnologías similares (como pixel tags o SDKs) para diversas finalidades. En particular, utilizamos estas tecnologías para: (i) permitir el funcionamiento técnico esencial de los Sitios (cookies necesarias), (ii) recordar sus preferencias o datos de sesión para mejorar su experiencia (cookies de preferencia o funcionalidad), (iii) realizar análisis estadístico del tráfico, fuentes de visita y comportamiento en el Sitio (cookies de analítica), y (iv) ofrecer contenidos o publicidad personalizada acorde con sus intereses, en caso de que usemos herramientas de marketing digital (cookies de marketing o seguimiento).

 

Al ingresar por primera vez a los Sitios, es posible que se despliegue una notificación o banner de cookies donde se le informe de forma resumida sobre el uso de cookies y, cuando la regulación lo requiere, se le solicite su consentimiento para habilitar ciertas categorías de cookies no esenciales. Usted puede en cualquier momento gestionar las cookies desde la configuración de su navegador web, para borrarlas o bloquear su instalación. Adicionalmente, cuando esté disponible, podrá ajustar sus preferencias a través del banner o centro de configuración de cookies del Sitio. Tenga en cuenta que algunas cookies son necesarias para el funcionamiento básico del servicio (por ejemplo, recordar los artículos en un carrito de compras); si decide bloquear todas las cookies, ciertos servicios o funcionalidades podrían verse afectados.

 

Para más información sobre las cookies específicas que usamos y las opciones de gestión, puede consultar la sección de cookies en esta misma Política o la configuración de su navegador.

 

12. Comunicaciones comerciales y opción de cancelación

 

Si usted nos ha dado su consentimiento para recibir comunicaciones comerciales o de marketing, el Operador podrá enviarle periódicamente información sobre productos, promociones, noticias o eventos a través de correo electrónico, mensajes de texto (SMS) y/o aplicaciones de mensajería como WhatsApp. No obstante, el titular tiene el derecho y la opción de cancelar en cualquier momento la recepción de este tipo de comunicaciones. Los mecanismos para ejercer este derecho (opt-out) incluyen, entre otros:

  • Hacer clic en el enlace de “cancelar suscripción” o “darse de baja” que se incluirá al final de cada correo electrónico masivo o boletín enviado.

  • Enviar la palabra clave indicativa (por ejemplo, “STOP”, “NO” u otra instrucción equivalente) en respuesta a un mensaje SMS o de WhatsApp que haya recibido, de acuerdo con las instrucciones provistas en el mismo mensaje.

  • Enviar una solicitud directa al correo servicioalcliente@dermedicamedical.com manifestando su deseo de no recibir más comunicaciones promocionales.

 

Una vez usted solicite la cancelación de las comunicaciones comerciales por cualquiera de los medios anteriores, procederemos a excluirlo de nuestras listas de distribución publicitaria. Tenga en cuenta que, incluso si opta por no recibir campañas promocionales, podremos seguir enviándole comunicaciones transaccionales o informativas esenciales en caso de que usted tenga una relación contractual vigente con nosotros (por ejemplo, confirmaciones de un pedido realizado, respuesta a una solicitud que usted nos hizo, notificaciones sobre el estado de una PQR, recordatorios de garantía, etc.), ya que estas no tienen naturaleza comercial sino que son inherentes al servicio adquirido o solicitado.

 

En ningún caso la negativa del titular a autorizar el envío de comunicaciones comerciales, o su decisión posterior de revocar tal autorización, condicionará la posibilidad de acceder a un producto o servicio ofrecido por el Operador. Es decir, no le negaremos la prestación de un servicio por el hecho de que decida no suscribirse a nuestras comunicaciones de marketing. Solo se enviarán mensajes comerciales a quienes hayan dado su consentimiento, y siempre ofreceremos la posibilidad de opt-out, conforme lo exige la ley.

 

13. Cambios a esta Política

 

El Operador se reserva el derecho de modificar o actualizar esta Política de Tratamiento de Datos Personales en cualquier momento, para adaptarla a novedades legislativas, políticas internas o nuevos tratamientos que se vayan a realizar. En caso de cambios sustanciales a las condiciones del tratamiento (por ejemplo, nuevas finalidades no contempladas inicialmente, o categorías de datos sensibles no informadas), dichos cambios se comunicarán oportunamente a los titulares a través de los canales de contacto que estén registrados o mediante aviso destacado en los Sitios, cuando así lo exija la normatividad.

 

La versión vigente de la Política será siempre la que se encuentre publicada en los Sitios, identificada con su fecha de última actualización. Se recomienda a los titulares revisar periódicamente esta sección. El uso continuado de los Sitios o de nuestros servicios después de la entrada en vigencia de una nueva versión de la Política constituye la aceptación de los cambios por parte del titular, en lo que aplique.

Última actualización: 6 de enero de 2026