Anexo Habeas Data (Ley 1581 de 2012)

1. Identificación del Responsable y del Encargado

Responsable del Tratamiento (para datos de usuarios de la plataforma Maratons): GreenStudio Ventures S.A.S., NIT 901835709-5, con domicilio en Medellín, Antioquia, correo legal: legal@maratons.co.

Encargado del Tratamiento (para datos de participantes inscritos en eventos): GreenStudio Ventures S.A.S. actúa como Encargado, siendo el Organizador del evento el Responsable de los datos de sus participantes.

Oficial de Protección de Datos (DPO): privacidad@maratons.co.

2. Marco normativo

• Constitución Política de Colombia, artículo 15 (derecho al habeas data).
• Ley 1581 de 2012 (régimen general de protección de datos personales).
• Decreto 1377 de 2013 (reglamentación parcial de la Ley 1581).
• Ley 1266 de 2008 (datos personales financieros y crediticios, en lo aplicable).
• Circulares de la Superintendencia de Industria y Comercio (SIC).
• Convenios internacionales aplicables a transferencias internacionales.

3. Datos personales que se recolectan

Maratons recolecta las siguientes categorías de datos personales:

• Datos de identificación: nombre, apellidos, documento, fecha de nacimiento, género.
• Datos de contacto: correo, teléfono, dirección, ciudad, país.
• Datos socioeconómicos: ocupación, empresa, club deportivo (cuando aplique).
• Datos deportivos: categoría, tiempo objetivo, equipo, federación.
• Datos sensibles (con autorización expresa): información médica básica (EPS, RH, alergias, medicación), contacto de emergencia, condiciones especiales.
• Datos de pago: registro del resultado de la transacción (no se almacenan números completos de tarjeta).
• Datos técnicos: dirección IP, navegador, dispositivo, cookies, logs de actividad.

4. Finalidades del Tratamiento

Los datos se tratan exclusivamente para las siguientes finalidades:

• Crear y administrar cuentas de organizadores y participantes.
• Procesar inscripciones, emitir tickets y comprobantes.
• Enviar comunicaciones operativas (confirmaciones, recordatorios, cambios).
• Atender consultas mediante agentes de IA y soporte humano.
• Facilitar la operación logística del evento al Organizador.
• Cumplir obligaciones contables, tributarias y de prevención de fraude.
• Mejorar el producto mediante analítica agregada y anonimizada.
• Atender requerimientos de autoridades competentes.
• Para datos sensibles: garantizar la atención de emergencias durante el evento.

5. Autorización del Titular

La autorización para el tratamiento se obtiene al momento de la inscripción mediante aceptación expresa, previa, informada e inequívoca. El consentimiento queda registrado con marca de tiempo, dirección IP y versión del documento aceptado.

Para datos sensibles, se solicita autorización adicional separada con explicación de la finalidad específica.

La autorización puede revocarse en cualquier momento por los canales previstos en este anexo, sin retroactividad para tratamientos ya realizados.

6. Derechos del Titular

Conforme al artículo 8 de la Ley 1581 de 2012, el Titular puede:

• Conocer, actualizar y rectificar sus datos personales.
• Solicitar prueba de la autorización otorgada.
• Ser informado sobre el uso que se ha dado a sus datos.
• Presentar quejas ante la SIC por infracciones a la Ley 1581.
• Revocar la autorización y solicitar supresión cuando no haya un deber legal o contractual que justifique mantener el tratamiento.
• Acceder gratuitamente a sus datos personales que hayan sido objeto de tratamiento.

7. Procedimiento para ejercer los derechos

El Titular puede ejercer sus derechos por los siguientes canales:

• Correo electrónico: privacidad@maratons.co
• WhatsApp: +57 317 272 3452
• Dirección física: Medellín, Antioquia, Colombia (concertar visita por correo).

8. Plazos de respuesta

Consultas: máximo diez (10) días hábiles desde el recibo de la solicitud, prorrogables hasta cinco (5) días hábiles adicionales informando al Titular.

Reclamos: máximo quince (15) días hábiles desde el día siguiente al recibo, prorrogables hasta ocho (8) días hábiles adicionales con previa información al Titular.

9. Transferencia y transmisión internacional

Para operar la plataforma, Maratons puede transferir datos a proveedores en otros países (almacenamiento en la nube, email transaccional, analítica). Estos proveedores cumplen estándares equivalentes o superiores a los exigidos por la legislación colombiana, mediante cláusulas contractuales tipo o certificaciones reconocidas.

El listado actualizado de Encargados internacionales está disponible solicitándolo a privacidad@maratons.co. Incluye, entre otros: Cloudflare, Inc. (infraestructura), proveedores de email transaccional, y la pasarela de pagos que el Organizador haya conectado.

10. Encargados del Tratamiento

Cuando Maratons actúa como Encargado para un Organizador, lo hace mediante un acuerdo de tratamiento de datos que regula instrucciones, medidas de seguridad, deberes de confidencialidad, subcontratación, devolución o supresión y atención de derechos.

11. Tratamiento de datos sensibles

Los datos médicos, contacto de emergencia y demás información sensible solo se tratan con autorización expresa, separada y para finalidades concretas: seguridad del Participante durante el evento y atención de emergencias.

El acceso a estos datos se limita al personal estrictamente necesario del Organizador y de Maratons, y se eliminan o anonimizan transcurridos los plazos legales aplicables.

12. Tratamiento de datos de menores

El tratamiento de datos personales de niños, niñas y adolescentes (NNA) se realiza con autorización previa del representante legal, conforme al artículo 7 de la Ley 1581 y la jurisprudencia constitucional aplicable.

El tratamiento debe respetar el interés superior del NNA y atender exclusivamente a las finalidades del evento.

13. Seguridad de la información

Maratons implementa medidas técnicas, humanas y administrativas razonables para proteger los datos:

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 para datos sensibles).
• Controles de acceso por rol y autenticación multifactor para personal interno.
• Registro de auditoría sobre accesos y operaciones críticas.
• Copias de respaldo periódicas y plan de continuidad.
• Procedimiento de notificación de incidentes con reporte a la SIC en los plazos legales.

14. Retención y supresión

Los datos se conservan mientras la cuenta esté activa y por los plazos legales aplicables (mínimo 5 años para registros contables y tributarios, conforme al artículo 28 de la Ley 962 de 2005 y normas concordantes).

Transcurridos los plazos, los datos se suprimen o anonimizan, salvo que medie autorización expresa del Titular para conservarlos con otra finalidad.

15. Vigencia y actualizaciones

Esta política rige desde su fecha de publicación y permanece vigente mientras Maratons opere. Las actualizaciones sustanciales se notificarán a los Titulares por los canales registrados, con al menos diez (10) días de antelación a su entrada en vigor.

Las versiones históricas pueden consultarse solicitándolas a privacidad@maratons.co.