POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

Bath & Body Works Colombia

Versión: 1.0
Fecha de vigencia: Enero 2026
Última actualización: Enero 28, 2026

1. INTRODUCCIÓN

Bath & Body Works Colombia agradece su confianza y se compromete a proteger sus datos personales conforme a los más altos estándares de seguridad y privacidad establecidos en la legislación colombiana.

Esta Política de Privacidad describe cómo recopilamos, utilizamos, procesamos, compartimos y protegemos sus datos personales cuando usted:

Visita nuestro sitio web (www.bathandbodyworks.co)
Realiza compras en nuestras plataformas
Se suscribe a nuestros servicios
Participa en promociones, concursos o actividades
Contacta nuestro servicio al cliente
Utiliza nuestras aplicaciones móviles o redes sociales

Le recomendamos leer cuidadosamente esta política. Si no está de acuerdo con alguna disposición, le solicitamos no utilizar nuestros servicios.

2. RESPONSABLE DEL TRATAMIENTO Y DATOS DE CONTACTO

Empresa: TOP FASHION GROUP INVESTMENTS, S.A. de C.V.
Denominación comercial: Bath & Body Works Colombia
Sitio web: www.bathandbodyworks.co
Correo electrónico: infobbwcolombia@grupodavid.com
País de domicilio: Colombia
Rol: Responsable del Tratamiento de Datos Personales

Datos de contacto para consultas sobre privacidad:

Aspecto	Información
Correo principal	infobbwcolombia@grupodavid.com
Asunto sugerido	"Consulta Privacidad - LPPD"
Horario de atención	Lunes a viernes, 8:00 AM a 6:00 PM (hora Colombia)
Tiempo de respuesta	Máximo 15 días hábiles

3. MARCO NORMATIVO APLICABLE

El tratamiento de datos personales realizado por Bath & Body Works Colombia se rige por la siguiente legislación colombiana e internacional:

3.1 Normativa Nacional

Ley 1581 de 2012: Ley de Protección de Datos Personales - Marco general del tratamiento de datos.
Decreto 1377 de 2013: Por el cual se reglamenta la Ley 1581 de 2012 - Desarrolla procedimientos de autorización, consulta y requisitos de tratamiento.
Decreto Único 1074 de 2015: Decreto Único Reglamentario del Sector Comercio, Industria y Turismo - Consolidación normativa.
Resoluciones SIC: Directrices de la Superintendencia de Industria y Comercio sobre protección de datos.

3.2 Normativa Complementaria en E-commerce

Ley 527 de 1999: Ley de Comercio Electrónico - Regulación de transacciones electrónicas.
Ley 1480 de 2011: Estatuto del Consumidor - Derechos y obligaciones en relaciones de consumo.
Resoluciones de la SIC: Sobre seguridad de información en comercio electrónico.

3.3 Autoridad de Control

Superintendencia de Industria y Comercio (SIC)

Sitio web: www.sic.gov.co
Correo: contacto@sic.gov.co
Dirección: Calle 36 No. 6-41, Bogotá D.C., Colombia

4. DATOS PERSONALES QUE RECOPILAMOS

Bath & Body Works Colombia recopila diversos tipos de datos personales dependiendo de su interacción con nuestros servicios:

4.1 Datos de Identificación Personal

Nombres y apellidos completos
Número de cédula, pasaporte u otro documento de identidad
Edad/Fecha de nacimiento
Género
Fotografía (cuando se proporcione voluntariamente)

4.2 Datos de Contacto

Dirección postal completa (calle, número, apartamento, ciudad, departamento, código postal)
Número(s) de teléfono celular y/o fijo
Dirección de correo electrónico
Redes sociales (si se proporcionan para contacto)
Nombre de usuario en plataformas

4.3 Datos Comerciales y Transaccionales

Historial de compras y transacciones
Productos consultados o agregados al carrito
Métodos de pago utilizados (sin almacenar números completos de tarjetas)
Montos gastados
Devoluciones y cambios realizados
Referencias de pedidos
Facturación e información de pago

4.4 Datos de Navegación y Comportamiento

Información sobre su dispositivo (tipo, modelo, sistema operativo, navegador)
Dirección IP
Cookies y tecnologías similares
Historial de navegación en nuestro sitio
Páginas visitadas, tiempo de permanencia
Palabras clave de búsqueda utilizadas
Preferencias de visualización

4.5 Datos Especiales (Sensibles)

En circunstancias limitadas, podemos procesar:

Datos de salud (alergias, condiciones dermatológicas cuando sea relevante para recomendaciones de productos)
Preferencias de orientación sexual (si se proporciona voluntariamente en programas de fidelización)
Filiación política o religiosa (solo si es relevante para programas de marketing específicos y con consentimiento explícito)

IMPORTANTE: El procesamiento de datos especiales requiere consentimiento explícito, expreso e informado adicional al consentimiento general.

5. CARÁCTER OBLIGATORIO

5.1 Datos Obligatorios vs. Opcionales

Tipo de Dato	Carácter	Consecuencia de no proporcionar
Nombre completo	Obligatorio	No se puede completar registro
Correo electrónico	Obligatorio	No se puede crear cuenta
Documento de identidad	Obligatorio	No se puede procesar devoluciones
Dirección de envío	Obligatorio	No se puede completar compra
Datos de fidelización	Opcional	Se pierde acceso a beneficios
Preferencias de marketing	Opcional	No se reciben ofertas personalizadas
Datos biométricos	Opcional	Se usa sistema alternativo si disponible

5.2 Información Sobre Consecuencias

El rechazo a proporcionar datos obligatorios impide que Bath & Body Works Colombia pueda:

Procesar su compra
Completar transacciones de pago
Entregar productos
Atender solicitudes de servicio al cliente
Procesar devoluciones o reclamaciones

6. FINALIDADES DEL TRATAMIENTO

Bath & Body Works Colombia trata sus datos personales con las siguientes finalidades:

6.1 Finalidades Contractuales y Comerciales

Procesamiento de compras: Crear cuenta, procesar pedidos, confirmación de transacciones.
Entrega de productos: Coordinar logística, envío, rastreo de paquetes.
Facturación y cobro: Emitir facturas, procesar pagos, cobro de servicios.
Servicio al cliente: Responder consultas, reclamos, devoluciones, cambios, garantías.
Atención de incidentes: Investigar problemas con transacciones, productos defectuosos.
Programas de fidelización: Gestión de puntos, membresías, descuentos.
Validación de identidad: Verificar información para prevenir fraude.

6.2 Finalidades de Marketing y Comunicación

Marketing directo: Envío de ofertas, promociones, novedades de productos por correo, SMS, WhatsApp.
Comunicaciones comerciales: Notificaciones sobre cambios en servicios, políticas, terminos.
Encuestas de satisfacción: Medir calidad del servicio, recopilar retroalimentación.
Análisis de preferencias: Crear perfiles de consumidor para recomendaciones personalizadas.
Publicidad segmentada: Mostrar anuncios relevantes en nuestras plataformas y redes sociales.
Eventos y promociones: Invitaciones a lanzamientos de productos, eventos exclusivos.
Análisis estadístico: Entender tendencias de consumo (datos agregados y anonimizados).

NOTA IMPORTANTE: Usted puede oponerse en cualquier momento al tratamiento de sus datos para fines de marketing directo sin que esto afecte el cumplimiento de obligaciones contractuales.

7. BASE LEGAL DEL TRATAMIENTO

Conforme a la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, Bath & Body Works Colombia basa el tratamiento de sus datos en:

7.1 Consentimiento del Titular

La base legal principal para el tratamiento de datos personales es el consentimiento informado, previo y explícito otorgado por el titular mediante:

Aceptación de términos y condiciones al registrarse
Clics en casillas de consentimiento para finalidades específicas
Aceptación de políticas al completar un formulario
Confirmación vía correo electrónico
Consentimiento verbal registrado (en caso de contacto telefónico)

Características del consentimiento válido:

✓ Informado: Usted conoce para qué se tratan sus datos
✓ Previo: Se obtiene antes de iniciar el tratamiento
✓ Explícito: Requiere una acción afirmativa (no tácito)
✓ Claro: Presentado en lenguaje comprensible
✓ Específico: Por cada finalidad diferente

7.2 Cumplimiento de Obligación Legal

Tratamos algunos datos sin consentimiento cuando es necesario para:

Cumplir con obligaciones tributarias (Ley 1819 de 2016)
Atender requerimientos de autoridades (DIAN, policía, juzgados)
Prevenir fraude y delitos (Ley 906 de 2004 - Código de Procedimiento Penal)
Proteger intereses vitales
Ejercer derechos derivados de contratos

7.3 Legitimidad del Interés

En casos específicos, también podemos basar el tratamiento en:

Interés legítimo de la empresa (seguridad, prevención de fraude)
Ejecución de contrato (procesamiento de compras)
Obligación legal establecida por la legislación colombiana

8. DESTINATARIOS Y COMPARTICIÓN DE DATOS

Bath & Body Works Colombia puede compartir sus datos personales con terceros en los siguientes casos:

8.1 Destinatarios Internos

Equipo de atención al cliente
Departamento de logística y distribución
Equipo de procesamiento de pagos
Departamento de marketing y comunicaciones
Equipo de cumplimiento y legal
Personal de seguridad de la información

8.2 Proveedores de Servicios (Encargados del Tratamiento)

Compartimos datos con terceros que actúan como encargados bajo contrato vinculante:

Logística y Entrega:

Empresas de transporte y mensajería
Operadores logísticos
Plataformas de rastreo de envíos

Procesamiento de Pagos:

Procesadores de tarjetas de crédito
Gateways de pago
Bancos adquirentes

Servicios Tecnológicos:

Proveedores de hosting
Empresas de análisis web
Plataformas de email marketing
Servicios de seguridad cibernética

Servicios de Comunicación:

Operadores de SMS y WhatsApp
Plataformas de notificaciones
Correos certificados

Servicios Complementarios:

Empresas de verificación de identidad (para prevención de fraude)
Aseguradoras (para cobertura de compras)
Proveedores de encuestas de satisfacción

8.3 Requisitos Legales para Compartición

Bath & Body Works Colombia garantiza que todos los encargados del tratamiento:

✓ Firman contrato de tratamiento de datos personales
✓ Asumen obligaciones equivalentes a las nuestras
✓ Limitan el acceso a personal autorizado
✓ Implementan medidas de seguridad técnicas y administrativas
✓ No utilizan datos para finalidades distintas
✓ No transfieren datos a terceros sin autorización
✓ Cumplen con legislación de protección de datos

8.4 Circunstancias Especiales de Compartición

Los datos pueden ser compartidos sin consentimiento previo en casos de:

Requerimientos legales: Autoridades judiciales, administrativas, policiales
Investigación de fraude: Con instituciones financieras y autoridades competentes
Protección de derechos: Cuando es necesario defender derechos legales
Transacciones comerciales: Fusiones, adquisiciones, cambio de control de empresa
Solicitud expresa: Cuando usted lo autoriza por escrito

9. TRANSFERENCIAS INTERNACIONALES DE DATOS

9.1 Marco Legal de Transferencias

Conforme al Decreto 1377 de 2013, Bath & Body Works Colombia solo realiza transferencias internacionales de datos personales hacia países que garantizan un nivel de protección ADECUADO según criterios de:

Legislación de protección de datos
Instituciones independientes de control
Práctica efectiva de protección
Compromisos internacionales
Garantías contractuales específicas

9.2 Países de Transferencia Autorizada

Bath & Body Works Colombia transfiere datos de forma limitada hacia:

País	Justificación	Mecanismo
México	Matriz corporativa	Contrato interno
Estados Unidos	Proveedores de servicios cloud	Cláusulas contractuales estándar
España	Servidor backup europeo	Decisión de adecuación UE
Canadá	Procesamiento de pagos	Acuerdos privados equivalentes

9.3 Excepciones a la Prohibición de Transferencia

Se permite transferencia hacia países sin nivel adecuado cuando existe:

Consentimiento explícito del titular: Conociendo los riesgos
Interés vital del titular: Atención médica, seguridad
Obligación contractual: Ejecución de contrato de compra
Defensa de derechos: En procesos judiciales
Interés público: Por razones de salud o seguridad pública

9.4 Salvaguardas en Transferencias

Cuando se transfieren datos internacionalmente, Bath & Body Works Colombia implementa:

✓ Cláusulas contractuales estándar (SCCs de la Comisión Europea)
✓ Datos encriptados en tránsito y en reposo
✓ Consentimiento explícito cuando sea requerido
✓ Auditorías periódicas a receptores internacionales
✓ Informes de privacidad sobre transferencias
✓ Mecanismos de reclamo ante terceros receptores

9.5 Derechos en Transferencias Internacionales

Usted tiene derecho a:

Solicitar información sobre transferencias de sus datos
Conocer países receptores y mecanismos de protección
Oponerse a transferencias no autorizadas
Retirar consentimiento para transferencias
Presentar reclamos ante la SIC si considera vulnerados sus derechos

10. PROCESAMIENTO DE PAGOS

10.1 Métodos de Pago Aceptados

Bath & Body Works Colombia acepta:

Tarjetas de débito y crédito (Visa, Mastercard, American Express)
Billeteras digitales (Google Pay, Apple Pay)
Transferencias bancarias
Pagos por plataformas especializadas (PayU, Adyen, similares)
Financiación y cuotas (con terceros financieros)

10.2 Datos de Pago - Lo que NO almacenamos

Por seguridad y conformidad PCI-DSS, Bath & Body Works Colombia NO almacena:

✗ Números completos de tarjeta
✗ Códigos de verificación (CVV/CVC)
✗ Fechas de vencimiento
✗ Información bancaria sensible
✗ Datos biométricos de pago

10.3 Datos de Pago - Lo que SÍ almacenamos

Almacenamos únicamente con fines administrativos:

Últimos 4 dígitos de la tarjeta (para identificación)
Tipo de tarjeta (Visa, Mastercard, etc.)
Nombre del titular de la tarjeta
Monto de la transacción
Fecha y hora de la transacción
Referencia de autorización del banco
Estado de la transacción (aprobada, rechazada)

10.4 Seguridad en Procesamiento de Pagos

Nuestros proveedores de pago:

✓ Cumplen estándar PCI-DSS (nivel 1)
✓ Utilizan encriptación SSL/TLS
✓ Implementan tokenización
✓ Cuentan con certificaciones de seguridad internacionales
✓ Realizan auditorías periódicas
✓ Cumplen normativas de privacidad

10.5 Información de Facturación

Utilizamos datos de facturación para:

Emitir facturas electrónicas conforme a DIAN
Verificar validez de compra
Prevenir fraude
Cumplir obligaciones tributarias
Procesar devoluciones y reembolsos

11. PLAZO DE CONSERVACIÓN DE DATOS

11.1 Principio de Limitación Temporal

Conforme a la Ley 1581 de 2012, Bath & Body Works Colombia solo conserva datos personales el tiempo necesario para las finalidades para las cuales fueron recopilados.

11.2 Plazos de Conservación por Tipo de Dato

Tipo de Dato	Plazo de Conservación	Justificación
Datos de registro de usuario activo	Mientras tenga cuenta activa + 3 meses	Gestión de cuenta
Historial de compras	5 años	Obligación tributaria (Código Tributario Ley 1819)
Datos de transacciones de pago	5 años	Obligación tributaria y normativa PCI-DSS
Información de devoluciones/cambios	2 años	Garantía de productos, reclamaciones
Registros de consentimiento	5 años	Prueba de cumplimiento normativo
Datos de marketing inactivo	Máximo 2 años	Validez de contacto
Datos de navegación (cookies)	1-2 años	Funcionalidad de sitio web
Registros de incidentes de seguridad	1 año	Investigación y cumplimiento
Datos de menores de edad	Hasta mayoría de edad + 2 años	Protección especial
Datos bancarios completados	6 meses	Verificación de transacción
Encuestas y feedback	1 año	Análisis de satisfacción

11.3 Excepciones al Plazo de Conservación

Bath & Body Works Colombia conservará datos personales más allá del plazo especificado si:

Obligación legal: Normativa tributaria, laboral, civil o administrativa
Litigio pendiente: Proceso judicial o arbitraje en curso
Consentimiento explícito: Usted solicita conservación adicional
Datos anonimizados: Ya no identifica al titular
Archivo histórico: Para investigación académica o histórica (anonimizado)
Incumplimiento: Período extendido para investigación de fraude confirmado

11.4 Eliminación de Datos

Una vez vencido el plazo de conservación, Bath & Body Works Colombia:

✓ Elimina de forma segura usando métodos que imposibilitan recuperación
✓ Anonimiza datos cuando es posible y compatible con fines
✓ Certifica eliminación mediante registros internos
✓ Solicita a terceros la eliminación de datos compartidos
✓ Documenta el proceso de eliminación

11.5 Solicitud de Eliminación Anticipada

Usted puede solicitar la eliminación de sus datos antes de los plazos establecidos:

Enviando correo a: infobbwcolombia@grupodavid.com
Asunto: "Solicitud de Eliminación de Datos Personales"
Indicando: Su nombre, correo, datos específicos a eliminar

Respuesta: Máximo 15 días hábiles

12. DERECHOS DEL TITULAR (ARCO + QUEJAS ANTE SIC)

Conforme a la Ley 1581 de 2012 y Decreto 1377 de 2013, como titular de datos personales usted tiene derechos ARCO:

12.1 DERECHO DE ACCESO

Descripción: Conocer qué datos personales tiene Bath & Body Works Colombia sobre usted.

Cómo solicitarlo:

Detalles:

Plazo de respuesta: Máximo 10 días hábiles (ampliables 5 días más si volumen es grande)
Formato: Copia de datos en formato legible (PDF, documento word, etc.)
Costo: Gratuito
Frecuencia: Máximo 1 solicitud por año (excepto causas justificadas)

12.2 DERECHO DE RECTIFICACIÓN

Descripción: Corregir datos personales inexactos, incompletos, fraccionados o que sean discriminatorios.

Ejemplos de rectificación:

Corregir nombre mal escrito
Actualizar dirección
Cambiar número de teléfono
Corregir documento de identidad errado

Cómo solicitarlo:

Detalles:

Plazo de respuesta: Máximo 10 días hábiles
Verificación: Podemos solicitar prueba de la corrección
Notificación a terceros: Informaremos a encargados del tratamiento
Costo: Gratuito

12.3 DERECHO DE ACTUALIZACIÓN

Descripción: Mantener sus datos personales actualizados, completos y relevantes.

Cómo solicitarlo:

Ejemplos de actualización:

Cambio de apellido por matrimonio
Nueva dirección tras mudanza
Nuevo teléfono
Cambio de estado civil

Detalles:

Plazo de respuesta: Máximo 10 días hábiles
Comunicación: Notifico cambios a terceros receptores de datos
Costo: Gratuito

12.4 DERECHO DE SUPRESIÓN O ELIMINACIÓN

Descripción: Solicitar que Bath & Body Works Colombia elimine sus datos personales en ciertas circunstancias.

Causas para solicitar supresión:

Finalidad cumplida: Los datos cumplieron su propósito
Consentimiento retirado: Revocó autorización y no hay otra base legal
Oposición: Se opone al tratamiento y no existe interés superior
Tratamiento ilícito: Los datos se tratan sin fundamento legal
Obligación legal: Disposición de ley requiere eliminación
Menor de edad: Desea eliminar datos que consintió siendo menor

Cómo solicitarlo:

Detalles:

Plazo de respuesta: Máximo 10 días hábiles
Excepciones: No podemos eliminar datos obligatorios por ley (tributarios, legales)
Notificación: Informamos a terceros sobre la supresión
Confirmación: Le notificamos cuando la supresión se complete
Costo: Gratuito

12.5 DERECHO DE OPOSICIÓN

Descripción: Oponerse al tratamiento de sus datos para ciertas finalidades.

Tratamientos a los que puede oponerse:

Marketing directo: Ofertas, promociones, novedades por correo, SMS, WhatsApp
Publicidad segmentada: Anuncios personalizados en redes sociales
Análisis de perfiles: Creación de perfiles para recomendaciones
Encuestas comerciales: Solicitudes de feedback y satisfacción
Comunicaciones comerciales: Boletines informativos

Cómo solicitarlo:

Detalles:

Plazo de respuesta: Máximo 10 días hábiles
Inmediato: Su oposición surtirá efecto rápidamente
Vínculo de exclusión: Proporcionamos enlace "desuscribirse" en emails
SMS/WhatsApp: Responda "STOP" o "NO PROMOCIONES"
Costo: Gratuito

12.6 DERECHO A SOLICITAR PRUEBA DE CONSENTIMIENTO

Descripción: Solicitar prueba de que consintió el tratamiento de sus datos.

Cómo solicitarlo:

Detalles:

Plazo de respuesta: Máximo 10 días hábiles
Documentación: Proporcionamos copia de consentimiento (pantalla capturada, email, etc.)
Formato: Imagen o documento PDF
Costo: Gratuito

12.7 DERECHO DE REVOCACIÓN DE CONSENTIMIENTO

Descripción: Retirar consentimiento previamente otorgado.

Cómo solicitarlo:

Detalles:

Efecto: Se aplica hacia el futuro, no borra datos pasados
Excepciones: No revoca consentimiento para obligaciones legales
Plazo de respuesta: Máximo 10 días hábiles
Confirmación: Se confirma revocación por correo
Costo: Gratuito

12.8 PRESENTACIÓN DE QUEJAS ANTE LA SIC

Si Bath & Body Works Colombia no responde sus solicitudes ARCO en los plazos establecidos, incumple sus derechos, o considera que sus datos personales son tratados ilícitamente, usted puede presentar reclamo formal ante la Superintendencia de Industria y Comercio (SIC).

12.8.1 Requisitos del Reclamo

12.8.2 Plazos

Plazo para reclamar: 2 años desde que conoció el hecho (Ley 1581)
Respuesta SIC: 30 días hábiles (primer trámite)
Apelación: 10 días hábiles si rechaza la resolución

12.8.3 Registro Nacional de Bases de Datos (RNBD)

Bath & Body Works Colombia está registrada en el Registro Nacional de Bases de Datos (RNBD) de la SIC.

Código de registro: [Se proporciona durante registro con SIC]
Finalidad: Facilitar la identificación de responsables de tratamiento
Consulta: www.sic.gov.co/rnbd

12.9 PROCEDIMIENTO INTERNO PARA SOLICITUDES DE DERECHOS

Bath & Body Works Colombia ha implementado el siguiente procedimiento:

Recepción: Registramos solicitud en sistema de atención al cliente
Verificación de identidad: Confirmamos que es titular de los datos (si necesario)
Evaluación: Analizamos si la solicitud es procedente
Respuesta: Enviamos respuesta por el mismo medio o el indicado
Documentación: Archivamos solicitud y respuesta (por 5 años)
Apelación: Si no está satisfecho, puede apelar en los 10 días siguientes

13. COOKIES Y TECNOLOGÍAS SIMILARES

13.1 ¿Qué son las Cookies?

Las cookies son pequeños archivos de texto que se guardan en su dispositivo (computadora, tablet, teléfono) cuando visita nuestro sitio web www.bathandbodyworks.co.

Funciones:

Recordar preferencias
Mantener sesión abierta
Analizar navegación
Mostrar publicidad relevante

13.2 Tipos de Cookies que Utilizamos

13.2.1 Cookies Técnicas (NECESARIAS)

Consentimiento requerido: NO - Son esenciales para funcionar

Cookie	Propósito	Duración	Proveedor
JSESSIONID	Mantener sesión	Sesión (hasta cerrar navegador)	Bath & Body Works
_ga_session	Identificar usuario en sesión	Sesión	Google Analytics
cart_id	Carrito de compras	2 años	Bath & Body Works
user_preferences	Preferencias de idioma/visualización	1 año	Bath & Body Works

13.2.2 Cookies de Análisis (ANALYTICS)

Consentimiento requerido: SÍ - Procesamos datos de navegación

Cookie	Propósito	Duración	Proveedor
_ga	Google Analytics - identificación	2 años	Google
_gid	Google Analytics - sesión	24 horas	Google
_gat	Google Analytics - throttling	1 minuto	Google

Datos recopilados:

Páginas visitadas
Tiempo en sitio
Dispositivo/navegador
Ubicación geográfica aproximada
Palabras clave de búsqueda

13.2.3 Cookies de Marketing (PUBLICITARIAS)

Consentimiento requerido: SÍ - Para publicidad personalizada

Cookie	Propósito	Duración	Proveedor
fbp	Facebook Pixel - público objetivo	3 meses	Facebook/Meta
_fbp	Facebook - retargeting	3 meses	Facebook/Meta
__trf.src	Taboola - recomendaciones	1 año	Taboola
IDE	Google Ads - publicidad	2 años	Google DoubleClick
ANID	Google Ads - perfilamiento	2 años	Google

Finalidades:

Crear públicos para publicidad segmentada
Retargeting en redes sociales
Mostrar anuncios relevantes
Medir efectividad de campañas

13.2.4 Cookies de Terceros (Redes Sociales)

Consentimiento requerido: SÍ

Cuando interactúa con botones de redes sociales (compartir, like), esas plataformas pueden establecer cookies propias:

Facebook/Meta: Rastreo de conversiones, público objetivo
Instagram: Retargeting publicitario
TikTok: Análisis de interacción
LinkedIn: Datos profesionales

13.3 Consentimiento de Cookies

13.3.1 Cómo Consentir

Al visitar www.bathandbodyworks.co, verá un banner de cookies que permite:

✓ Aceptar todas: Todas las cookies (técnicas, análisis, marketing)
✓ Rechazar no esenciales: Solo cookies técnicas necesarias
✓ Personalizar: Seleccionar qué tipo de cookies permite

13.3.2 Cambio de Preferencias

Puede modificar sus preferencias de cookies en cualquier momento:

Vaya a www.bathandbodyworks.co
Busque enlace "Preferencias de Cookies" o "Cookie Settings"
Haga clic y ajuste sus preferencias
Guarde cambios
Las nuevas preferencias aplican en su próxima visita

13.4 Almacenamiento Local y Tecnologías Similares

Además de cookies, utilizamos:

LocalStorage y SessionStorage:

Almacenamiento de preferencias de usuario
Caché de datos para mejorar velocidad
Persistencia de carrito de compra

Pixels y Tags:

Google Tag Manager (análisis de conversiones)
Facebook Pixel (retargeting publicitario)
LinkedIn Insight Tag (datos demográficos)

Datos de dispositivo:

Información del navegador
Sistema operativo
Resolución de pantalla
Conexión de internet

13.5 Política de Cookies de Terceros

Bath & Body Works Colombia no controla las cookies establecidas por:

Redes sociales (Facebook, Instagram, TikTok)
Plataformas de análisis (Google Analytics)
Proveedores de publicidad (Google Ads, Criteo)

Para conocer cómo estos terceros manejan sus datos:

Google: https://policies.google.com/privacy
Facebook/Meta: https://www.facebook.com/privacy
Instagram: https://help.instagram.com/519522125107165

13.6 DNT - Do Not Track

Si su navegador tiene habilitada la opción "Do Not Track" (DNT), Bath & Body Works Colombia respetará esta preferencia y limitará cookies de seguimiento, aunque algunas cookies técnicas permanecerán por necesidad operacional.

Cómo habilitar DNT:

Chrome: Menú > Configuración > Privacidad > "Send a 'Do Not Track' request"
Firefox: about:config > privacy.trackingprotection.enabled = true
Safari: Preferencias > Privacidad > "Ask websites not to track me"
Edge: Configuración > Privacidad > "Send Do Not Track requests"

14. DECISIONES AUTOMATIZADAS

14.1 Procesamiento Automatizado

Bath & Body Works Colombia utiliza sistemas de procesamiento automatizado para:

14.1.1 Evaluación Automática

Detección de fraude: Análisis automático de patrones de transacción
Scoring de crédito: Para ofertas de financiación
Segmentación de clientes: Clasificación automática en públicos objetivo
Recomendaciones de productos: Algoritmos que sugieren artículos
Validación de identidad: Verificación automatizada contra bases de datos públicas

14.1.2 Sistemas de IA y Machine Learning

Análisis predictivo de compras futuras
Chatbots de atención al cliente
Clasificación automática de consultas
Optimización de inventario (no afecta derechos individuales)

14.2 Derechos en Decisiones Automatizadas

Conforme a la Ley 1581, usted tiene derecho a:

Conocer: Saber que una decisión es automatizada
Explicación: Recibir información sobre la lógica de la decisión
Impugnación: Cuestionar decisiones que afecten sus intereses
Intervención humana: Solicitar revisión por persona si la decisión tiene consecuencias significativas

14.3 Solicitar Revisión de Decisiones Automatizadas

Si considera afectado por una decisión automatizada:

Respuesta:

Plazo: Máximo 15 días hábiles
Revisión: Personal capacitado revisa la decisión
Resolución: Se notifica resultado y fundamentos
Apelación: Puede apelar si no está conforme

14.4 Casos Especiales Sin Decisión Automatizada

Bath & Body Works Colombia NO utiliza decisiones puramente automatizadas para:

✗ Denegación de crédito (hay revisión humana)
✗ Cancelación de cuenta (notificación y oportunidad de respuesta)
✗ Exclusión de programas de fidelización (revisión manual)
✗ Acciones legales (intervención de equipo legal)

15. SEGURIDAD DE LOS DATOS

15.1 Medidas Técnicas de Seguridad

Bath & Body Works Colombia implementa múltiples capas de protección técnica:

15.1.1 Encriptación

En tránsito: SSL/TLS 1.2+ para todas las comunicaciones
En reposo: Encriptación AES-256 para bases de datos sensibles
Datos especiales: Encriptación adicional para información médica/sensible
Certificados: Certificados de seguridad validados por autoridades

15.1.2 Autenticación y Control de Acceso

Contraseñas: Requisitos mínimos: 8 caracteres, mayúsculas, números, símbolos
Hash: Algoritmos bcrypt o PBKDF2 (no almacenamiento en texto plano)
MFA: Autenticación multifactor disponible para cuentas
Sesiones: Límite de inactividad (30 minutos para áreas sensibles)
Control de acceso: RBAC (Role-Based Access Control)

15.1.3 Firewalls y Redes

Firewalls: Web Application Firewalls (WAF) activos
DDoS: Protección contra ataques de denegación de servicio
VPN: Conexiones seguras para empleados
Segregación: Redes separadas para sistemas críticos
Monitoreo: IDS/IPS (Intrusion Detection/Prevention System)

15.1.4 Seguridad de Aplicaciones

Testing: Pruebas de seguridad periódicas (OWASP Top 10)
Code review: Revisión de código por especialistas
Actualizaciones: Parches de seguridad dentro de 48 horas
Dependencias: Análisis de vulnerabilidades en librerías
SAST/DAST: Análisis estático y dinámico de seguridad

15.2 Medidas Administrativas de Seguridad

15.2.1 Políticas y Procedimientos

Política de Seguridad de la Información integral
Política de Acceso a Datos
Procedimiento de Gestión de Incidentes
Plan de Continuidad y Recuperación de Desastres
Política de Eliminación Segura de Datos

15.2.2 Control de Personal

Cribado: Verificación de antecedentes para empleados con acceso
NDAs: Acuerdos de confidencialidad obligatorios
Capacitación: Entrenamientos anuales en privacidad y seguridad
Least privilege: Acceso solo a datos necesarios para función
Auditoría: Registros de quién accede qué datos y cuándo

15.2.3 Gestión de Proveedores

Evaluación: Auditoría de seguridad antes de contratar
Contratos: Cláusulas de seguridad en todos los acuerdos
Monitoreo: Auditorías periódicas de cumplimiento
SLA: Acuerdos de nivel de servicio con garantías de seguridad
Exclusión: Rescisión inmediata si hay incumplimiento

15.3 Medidas Físicas de Seguridad

Centros de datos: Ubicados en instalaciones certificadas
Acceso físico: Control biométrico y sistemas de vigilancia CCTV
Respaldo: Copias de seguridad automáticas cada 24 horas
Geografía: Datos replicados en múltiples ubicaciones
Redundancia: Servidores respaldados con UPS y generadores

15.4 Responsabilidades de Seguridad Compartidas

Bath & Body Works Colombia también espera que USTED:

Mantenga contraseña confidencial y única
No comparta credenciales de acceso
Reporte acceso no autorizado inmediatamente
Cierre sesión en computadoras compartidas
No guarde datos en dispositivos no seguros
Notifique si sospecha compromiso de seguridad
Use redes wifi seguras (no públicas) para transacciones

16. GESTIÓN DE INCIDENTES DE SEGURIDAD

16.1 Definición de Incidente de Seguridad

Un incidente de seguridad es cualquier evento que comprometa:

Confidencialidad: Acceso no autorizado a datos
Integridad: Modificación no autorizada de datos
Disponibilidad: Indisponibilidad de datos o servicios
Privacidad: Violación de derechos del titular

16.2 Proceso de Gestión de Incidentes

16.2.1 Detección y Reporte

Cuando Bath & Body Works Colombia detecta un incidente:

Alertas automáticas: Sistemas de monitoreo detectan anomalías
Reporte de usuario: Usted nos notifica exposición potencial
Terceros: Proveedores o autoridades reportan incidente

16.2.2 Contención Inmediata

Aislamiento del sistema afectado
Corte de acceso no autorizado
Preservación de evidencia forense
Escalamiento a equipo de seguridad

16.2.3 Investigación

Determinación del tipo de incidente
Alcance: cuántos datos, qué tipos
Causa raíz: cómo ocurrió
Impacto: qué afectó
Responsabilidad: quién fue responsable

16.2.4 Documentación

Bath & Body Works Colombia documenta:

Descripción detallada del incidente
Fecha y hora del descubrimiento
Fecha y hora probable del evento
Datos personales afectados
Número de titulares impactados
Medidas de contención tomadas
Recomendaciones para evitar repetición

16.3 Reporte a la SIC (OBLIGATORIO - 15 DÍAS HÁBILES)

Conforme a la Ley 1581, Bath & Body Works Colombia debe reportar a la SIC cualquier incidente que implique:

Acceso no autorizado a datos personales
Pérdida de datos personales
Modificación no autorizada de datos
Pérdida de confidencialidad, integridad o disponibilidad

16.3.1 Plazo de Reporte

Investigación: Máximo 5 días hábiles desde detección
Reporte a SIC: Máximo 15 días hábiles desde conocimiento del incidente
Documentación: Incluir todos los detalles especificados en Decreto 1377

16.3.2 Información en Reporte a SIC

El reporte a la SIC incluye:

Dirección para reporte:

16.4 Notificación al Titular

16.4.1 Cuándo Notificamos

Bath & Body Works Colombia notifica a titulares afectados cuando el incidente presenta:

Riesgo alto: Para derechos e intereses del titular
Datos especiales: Información médica, financiera, biométrica
Datos bancarios: Información de tarjetas o cuentas
Identidad personal: Documentos de identidad duplicados
Daño inminente: Riesgo de fraude o robo de identidad

16.4.2 Información en Notificación

Notificamos con:

Descripción clara del incidente
Datos afectados específicamente
Medidas de contención implementadas
Recomendaciones para protegerse
Contacto para consultas
Información de derechos ARCO

16.4.3 Método y Plazo de Notificación

Método: Correo electrónico, SMS o llamada
Plazo: Máximo 10 días hábiles desde descubrimiento
Idioma: Español claro y comprensible
Copia: Se remite a SIC al mismo tiempo

16.5 Preservación de Derechos Post-Incidente

Después de un incidente, usted mantiene derecho a:

Solicitar copia del reporte de incidente
Conocer medidas implementadas
Exigir compensación por daños (si aplica)
Revocar consentimientos
Solicitar eliminación de datos
Presentar reclamo ante SIC
Acciones legales si hubo negligencia

16.6 Compromiso de Bath & Body Works Colombia

Bath & Body Works Colombia se compromete a:

✓ Mantener sistemas de seguridad actualizados
✓ Realizar auditorías de seguridad anuales
✓ Capacitar personal en protección de datos
✓ Responder rápidamente a incidentes
✓ Transparencia total en comunicación
✓ Cooperar con autoridades (SIC, policía)
✓ Mejorar controles basado en lecciones aprendidas

17. MENORES DE EDAD

17.1 Política para Menores

Bath & Body Works Colombia limita servicios a mayores de 18 años en la mayoría de transacciones, pero reconoce que menores pueden interactuar con nuestro sitio bajo supervisión parental.

17.2 Definición de Menor

Conforme a la legislación colombiana:

Menor: Persona menor de 18 años
Capacidad: Requiere autorización de padres/tutores para actos jurídicos

17.3 Recopilación de Datos de Menores

Cuando recopilamos datos de menores:

17.3.1 Para Menores de 14 Años

Prohibición: No recopilamos datos personales de menores de 14 años
Excepción: Contacto de padre/tutor con consentimiento explícito
Redes sociales: No permitimos cuentas para menores de 14

17.3.2 Para Menores de 14 a 18 Años

Podemos recopilar datos limitados:

Consentimiento parental: Requerido de padre/tutor legal
Limitación: Solo datos necesarios para servicios específicos
Formato: Consentimiento por escrito (email firmado o formulario)
Datos: No recopilamos datos especiales sin consentimiento adicional

17.4 Consentimiento Parental o de Tutor

17.4.1 Cómo Dar Consentimiento

Padre o tutor puede:

Firmar digitalmente: Documento PDF enviado por correo
Enviar correo: Confirmando consentimiento expresamente
Llenar formulario: Con datos completos en plataforma

17.4.2 Información Necesaria en Consentimiento

17.5 Derechos Especiales de Menores

17.5.1 Derechos del Menor

El menor tiene derecho a:

✓ Acceder a sus datos personales
✓ Solicitar corrección de datos
✓ Oponerse a tratamiento (a través de padre/tutor)
✓ Revocar consentimiento (a través de padre/tutor)
✓ Retirar información de redes sociales

17.5.2 Derechos del Padre/Tutor

El padre o tutor puede:

✓ Solicitar acceso a datos del menor
✓ Rectificar datos del menor
✓ Revocar consentimiento en cualquier momento
✓ Solicitar eliminación (supresión) de datos
✓ Oponerse a ciertos tratamientos
✓ Exigir no transferencia de datos a terceros

17.6 Eliminación de Datos de Menores

Cuando un menor alcanza mayoría de edad (18 años), Bath & Body Works Colombia:

Valida: Confirma deseo del nuevo adulto de continuar relación
Actualiza: Pasa datos a categoría de adulto
Elimina: Borra datos que no son más necesarios
Comunica: Notifica cambio de términos aplicables

17.7 Seguridad Especial para Menores

Para menores, implementamos:

Restricción de marketing agresivo: No dirigimos publicidad de productos inapropiados
Parental controls: Opciones para restringir acceso a ciertos contenidos
Comunicación clara: Lenguaje simple y comprensible
Sin datos especiales: No recopilamos información médica/sensible sin causa
Supervisión: Personal capacitado en protección de menores

17.8 Explotación y Abuso Infantil

Bath & Body Works Colombia se compromete a:

✓ Reportar a autoridades cualquier sospecha de explotación
✓ Eliminar inmediatamente contenido abusivo
✓ Cooperar con investigaciones
✓ Implementar controles contra pornografía infantil
✓ Respetar Código de Infancia y Adolescencia (Ley 1098 de 2006)

Reporte de abuso:

18. MODIFICACIONES A ESTA POLÍTICA

18.1 Reserva de Enmienda

Bath & Body Works Colombia se reserva el derecho de modificar, actualizar o cambiar esta Política de Privacidad en cualquier momento, sin necesidad de consentimiento previo.

Las razones para enmiendas incluyen:

Cambios en la legislación colombiana
Nuevos servicios o funcionalidades
Decisiones de autoridades (SIC, Fiscalía)
Incidentes de seguridad
Mejoras operacionales
Cambios en proveedores o tecnología

18.2 Notificación de Cambios

Cuando realizamos cambios significativos, notificamos:

18.2.1 Métodos de Notificación

Correo electrónico: Envío a direcciones registradas
Sitio web: Banner prominente en www.bathandbodyworks.co
Aplicación móvil: Pop-up con cambios principales
Redes sociales: Anuncio de cambios significativos

18.2.2 Plazo de Notificación

Cambios significativos: Notificamos 30 días antes de entrada en vigor
Cambios menores: Publicamos sin demora
Cambios por ley: Si la ley requiere inmediatez, aplicamos al instante

18.3 Definición de Cambios Significativos

Consideramos "significativo" cuando afecta:

✓ Cómo recopilamos datos
✓ Para qué tratamos datos
✓ Con quién compartimos datos
✓ Derechos del titular
✓ Base legal del tratamiento
✓ Transferencias internacionales
✓ Período de conservación

NO son significativos cambios en:

Correos de contacto (información operativa)
Links o referencias (correcciones técnicas)
Clarificaciones gramaticales
Reorganización de secciones

18.4 Fecha de Vigencia

Versión 1.0: Enero 28, 2026
Próximas versiones: Indicadas en encabezado

Cada versión se archiva con fecha para referencia histórica.

18.5 Consentimiento a Cambios

Al continuar usando nuestros servicios después de notificación de cambios, usted:

✓ Acepta la política modificada
✓ Consiente el nuevo tratamiento de datos
✓ Reconoce cambios en derechos/obligaciones

Si no acepta cambios:

Puede dejar de usar servicios
Solicitar eliminación de datos
Revocar consentimientos previos

19. LEY APLICABLE Y JURISDICCIÓN

19.1 Ley Aplicable

Esta Política de Privacidad está regida exclusivamente por las leyes de la República de Colombia, específicamente:

Ley 1581 de 2012: Protección de datos personales
Decreto 1377 de 2013: Regulación de reglamentación
Decreto Único 1074 de 2015: Consolidación normativa comercial
Ley 527 de 1999: Comercio electrónico
Ley 1480 de 2011: Estatuto del Consumidor
Código Civil Colombiano: Derechos patrimoniales
Resoluciones SIC: Orientaciones de autoridad de control

19.2 Jurisdicción y Competencia

19.2.1 Foro Principal

Cualquier reclamo, demanda o litigio relacionado con esta política deberá presentarse ante:

19.2.2 Escalamiento Judicial

Si no se resuelve en SIC, usted puede acudir a:

Juzgados Civiles: Para reclamaciones de daños (ley civil)
Juzgados Administrativos: Para acciones contra actos administrativos
Defensoría del Consumidor: Para defensa de derechos como consumidor

19.3 Procesos de Resolución Alternativa

Antes de acciones legales, ofrecemos:

19.3.1 Proceso Administrativo Interno

Presentar solicitud: A infobbwcolombia@grupodavid.com
Evaluación: Equipo legal revisa en 10 días hábiles
Respuesta formal: Resolución escrita con fundamentos
Apelación: 10 días hábiles para apelar internamente

19.3.2 Mediación

Si hay desacuerdo después del proceso interno:

Ofrecemos mediación amistosa con mediador neutral
Costo compartido por ambas partes
Duración estimada: 30-60 días
Resultado: Acuerdo vinculante si ambas partes aceptan

19.3.3 Arbitraje

Si mediación no resuelve:

Disponible arbitraje conforme a Ley 1563 de 2012
Árbitro seleccionado de Centro de Arbitraje colombiano
Decisión arbitral es definitiva

19.4 Renuncia a Inmunidades

Bath & Body Works Colombia renuncia a cualquier inmunidad que pudiera tener y se somete a:

✓ Jurisdicción exclusiva de tribunales colombianos
✓ Leyes colombianas aplicables
✓ Autoridad de la SIC
✓ Procesos legales colombianos

19.5 Idioma

Este documento está en idioma español conforme al Decreto 2363 de 1997 (Protocolo Referido al Idioma Español). Si existe traducción a otro idioma, la versión en español es la oficial.

20. CONTACTO Y CONSULTAS

20.1 Datos Principales de Contacto

Para cualquier consulta, reclamo, solicitud ARCO, o reporte de incidente relacionado con protección de datos:

Aspecto	Información
Empresa	TOP FASHION GROUP INVESTMENTS, S.A. de C.V.
Nombre Comercial	Bath & Body Works Colombia
Sitio Web	www.bathandbodyworks.co
Correo Principal	infobbwcolombia@grupodavid.com
Teléfono	[Número de contacto general]
Dirección	[Dirección registrada en Colombia]
País	Colombia

20.2 Correos Específicos por Tipo de Solicitud

20.3 Horarios de Atención

Horario: Lunes a viernes, 8:00 AM a 6:00 PM (Hora de Colombia)
Zona horaria: GMT-5 (Horario Estándar Colombiano)
Días festivos: No se atienden solicitudes los festivos colombianos
Tiempo de respuesta: Máximo 15 días hábiles (ARCO)

20.4 Proceso de Contacto Recomendado

Para garantizar respuesta efectiva:

Use correo electrónico: Más rápido que teléfono
Incluya: Nombre completo, documento, descripción clara
Tema específico: Use línea de asunto descriptiva
Mantenga copia: Para referencia personal
Guarde confirmación: Cuando reciba acuse de recibo

20.5 Autoridades de Control

Para presentar reclamos formales sobre incumplimiento de esta política:

20.5.1 Superintendencia de Industria y Comercio (SIC)

20.5.2 Defensoría del Consumidor (SIC)

20.5.3 Fiscalía General de la Nación

20.6 Sitio de Registro Nacional de Bases de Datos (RNBD)

Para consultar si Bath & Body Works Colombia está registrada como responsable:

20.7 Accesibilidad de la Política

Esta Política de Privacidad está disponible en:

✓ Sitio web: www.bathandbodyworks.co/privacidad
✓ Correo electrónico: Disponible bajo solicitud
✓ Formatos accesibles: PDF, texto plano, grande
✓ Idiomas: Español (principal), disponemos inglés bajo solicitud
✓ Actualizaciones: Consultable en cualquier momento

GLOSARIO DE TÉRMINOS

Datos personales: Información que identifica o puede identificar a una persona
Titular: Persona a quién pertenecen los datos
Responsable: Quien decide cómo y por qué tratar datos (Bath & Body Works)
Encargado: Quien trata datos siguiendo instrucciones del responsable
Consentimiento: Autorización informada, previa y explícita
Tratamiento: Cualquier operación con datos (recopilar, usar, compartir)
ARCO: Acceso, Rectificación, Cancelación, Oposición
SIC: Superintendencia de Industria y Comercio (autoridad de control)
RNBD: Registro Nacional de Bases de Datos
Transferencia: Compartir datos con otros países
Incidente: Violación de seguridad o privacidad
Anonimización: Proceso que imposibilita identificar titular
Cookie: Archivo pequeño que se guarda en dispositivo

HISTORIAL DE VERSIONES

Versión	Fecha	Cambios
1.0	Enero 28, 2026	Versión inicial conforme a Ley 1581/2012

Política de Privacidad válida a partir de Enero 28, 2026

Para consultas: infobbwcolombia@grupodavid.com