Política de Tratamiento de Datos Personales

GLIM COLOMBIA S.A.S.

Última actualización: mayo de 2026 | Versión: 2.0

1. OBJETIVO

La presente política tiene como finalidad establecer los lineamientos bajo los cuales GLIM COLOMBIA S.A.S. (en adelante "GLIM" o la "Compañía") realiza el tratamiento de los datos personales de los titulares con los que se relaciona, garantizando su protección, confidencialidad, integridad y seguridad. Todo tratamiento se realiza conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto Único 1074 de 2015 y demás normas concordantes.

La presente política reconoce igualmente la aplicabilidad de la Ley 1266 de 2008 en materia de hábeas data financiero, la Ley 1273 de 2009 en materia de protección de la información y los datos, la Ley 2300 de 2023, y los lineamientos e instrucciones emitidos por la Superintendencia de Industria y Comercio, incluyendo las Circulares 002/2015 y 001/2023, así como demás normas concordantes, en tanto Glim opera como agregador de pagos con acceso a datos financieros y transaccionales de sus usuarios.

2. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Razón social: GLIM COLOMBIA S.A.S.

NIT: 901600579

Domicilio principal: Calle 99 No. 11B – 66, Bogotá D.C., Colombia

Correo electrónico: legales@getglim.com

3. ALCANCE

Esta política aplica al tratamiento de datos personales de empleados, clientes, usuarios, aliados, proveedores y demás personas naturales cuyos datos recolecta y trata GLIM en el desarrollo de sus actividades, ya sea en calidad de responsable o encargado del tratamiento.

Comprende el tratamiento de datos recolectados por medios físicos o digitales, de manera directa o a través de terceros, incluyendo formularios, contratos, plataformas tecnológicas, eventos, campañas comerciales, redes sociales y cualquier otro canal lícito.

Las principales categorías de titulares cuyos datos trata Glim son: (i) usuarios finales (empleados de empresas clientes beneficiarios de programas de beneficios y compensación laboral que utilizan los instrumentos de pago administrados por Glim); (ii) representantes legales y administradores de empresas clientes; (iii) comercios aliados y sus representantes; (iv) proveedores y aliados tecnológicos.

Glim opera bajo tres modelos de agregación de recursos que determinan el flujo de datos personales: (a) Modelo Prepago: tarjeta Mastercard emitida por Pomelo, con recursos del empleador que transitan por la cuenta agregadora de Glim en Banco Cooperativo Coopcentral hacia Pomelo; (b) Modelo Skandia: recursos depositados en un Fondo de Inversión Colectiva administrado por Skandia Sociedad Fiduciaria S.A., transferidos a Coopcentral y de ahí a Pomelo. En todos los modelos, Glim actúa bajo un contrato de mandato sin representación de naturaleza comercial con sus clientes.

En cuanto al rol de tratamiento, Glim actúa: (i) como encargado, frente a los datos de usuarios finales que le entrega el empleador-cliente para la ejecución del programa de beneficios; y (ii) como responsable autónomo, frente a los datos que trata con fines propios (prevención de fraude, SARLAFT, desarrollo de producto, analítica).

4. DEFINICIONES

Se adoptan las definiciones establecidas en el artículo 3 de la Ley 1581 de 2012 y normas complementarias:

  • Dato personal: Información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Dato sensible: Información que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación.
  • Titular: Persona natural cuyos datos son objeto de tratamiento.
  • Autorización: Consentimiento previo, expreso e informado del titular para el tratamiento de sus datos personales.
  • Tratamiento: Toda operación sobre datos personales (recolección, almacenamiento, uso, circulación o supresión).
  • Responsable del tratamiento: Persona natural o jurídica que decide sobre la base de datos y/o el tratamiento.
  • Encargado del tratamiento: Persona natural o jurídica que realiza el tratamiento por cuenta del responsable.
  • Transmisión: Comunicación de datos personales a un encargado dentro o fuera de Colombia.
  • Transferencia: Envío de datos a otro responsable ubicado dentro o fuera de Colombia.
  • Dato financiero: Información relativa a obligaciones, comportamientos e historial financiero del titular, sujeta al régimen especial de la Ley 1266 de 2008.
  • Dato transaccional: Información generada por el uso de los instrumentos de pago administrados por Glim (montos, comercios, fechas, frecuencia de consumos).
  • Dato biométrico: Información de características físicas o conductuales que permite la identificación unívoca del titular (p.ej. huella dactilar, reconocimiento facial); clasificado como dato sensible conforme al Art. 5 Ley 1581/2012.

5. FINALIDADES DEL TRATAMIENTO

GLIM tratará los datos personales de conformidad con las siguientes finalidades, bases legales y plazos de retención:

FinalidadTitular(es)Base legalRetención
Prestación del servicio y ejecución del mandatoUsuarios finales; empleadores/clientesEjecución contractualRelación + 2 años
Activación y gestión de tarjeta prepagoUsuarios finalesEjecución contractualRelación + 2 años
Procesamiento de pagos y transaccionesUsuarios finalesEjecución contractual / Obligación legal5 años (SARLAFT)
Soporte técnico y atención al cliente / PQRSTodos los titularesEjecución contractual / Obligación legal2 años
Comunicación sobre el servicio (extractos, saldos)Usuarios finalesEjecución contractualRelación + 1 año
Mercadeo, fidelización y encuestasUsuarios finales; empleadores/clientesConsentimientoHasta revocación
Prevención LA/FT, SARLAFT y listas restrictivasTodos los titularesObligación legalMínimo 5 años
Cumplimiento contable, fiscal y regulatorioTodos los titularesObligación legal10 años (Art. 60 C.Co.)
Atención de requerimientos de autoridadesTodos los titularesObligación legalSegún requerimiento
Prevención de fraude y seguridad transaccionalUsuarios finalesObligación legal / Interés legítimo5 años
Datos biométricos (autenticación en app)Usuarios finalesConsentimiento expresoDuración relación
Geolocalización (localización de comercios)Usuarios finalesConsentimiento expresoSesión / hasta revocación
Analítica digital y cookiesUsuarios finalesConsentimientoMáximo 13 meses
Gestión de comercios aliadosComercios y representantesEjecución contractualRelación + 2 años
Gestión laboral interna (colaboradores de Glim)Colaboradores de GlimEjec. contractual / Obligación legalRelación + 10 años
Auditorías internas y externasTodos los titularesObligación legal / Interés legítimo5 años
Videovigilancia (seguridad física)Personal y visitantesConsentimiento / Interés legítimoMáximo 1 mes

6. TRATAMIENTO DE DATOS SENSIBLES

GLIM podrá tratar datos sensibles únicamente en los siguientes casos:

  • Con autorización explícita del titular.
  • Cuando sea necesario para salvaguardar un interés vital.
  • Cuando esté permitido o requerido por ley.
  • Para el reconocimiento de derechos en el marco de relaciones laborales o contractuales.

Cuando se trate de datos biométricos utilizados para la autenticación del usuario en la app de Glim, se informará al titular de forma previa y expresa: (a) que se trata de un dato sensible; (b) que su entrega es facultativa; (c) que existe alternativa de autenticación no biométrica; y (d) que el dato biométrico no será compartido con terceros salvo obligación legal. Los datos biométricos se someterán a medidas de seguridad reforzadas.

7. DERECHOS DE LOS TITULARES

Los titulares tienen derecho a:

  • Conocer, actualizar y rectificar sus datos personales.
  • Solicitar prueba de la autorización otorgada.
  • Ser informados sobre el uso que se les ha dado a sus datos.
  • Presentar quejas ante la Superintendencia de Industria y Comercio.
  • Revocar la autorización y/o solicitar la supresión de sus datos cuando proceda.
  • Acceder gratuitamente a sus datos personales al menos una vez al mes o cuando haya modificaciones sustanciales de la política.

Los derechos podrán ejercerse por: el titular, acreditando su identidad; sus causahabientes, acreditando tal calidad; el representante o apoderado del titular, con acreditación de la representación o apoderamiento; y, en el caso de menores de edad, sus representantes legales.

La supresión de datos no procederá cuando exista deber legal o contractual de permanencia en la base de datos (p.ej. plazos SARLAFT o retención contable). En tales casos, Glim comunicará al titular la imposibilidad de la supresión y su fundamento normativo.

8. MECANISMOS DE AUTORIZACIÓN Y EJERCICIO DE DERECHOS

Glim obtiene la autorización de tratamiento de datos de la siguiente forma diferenciada:

  • Usuario final (empleado/beneficiario): la autorización se recaba de forma individual al momento de la activación de la tarjeta o del primer registro en la app de Glim. El empleador no puede sustituir al empleado en el otorgamiento de esta autorización.
  • Empleador/cliente: la autorización para el tratamiento de los datos del representante legal y administradores se recaba al momento de la suscripción del contrato de mandato.
  • Representantes de comercios aliados: la autorización se recaba al momento de la vinculación comercial.

Todas las autorizaciones quedan registradas y almacenadas conforme al Art. 7 y Art. 8 del Decreto 1377/2013, de manera que puedan ser consultadas posteriormente.

Para el ejercicio de sus derechos, los titulares pueden enviar una solicitud a: legales@getglim.com

La solicitud debe incluir: nombre completo y número de identificación, relación con GLIM, derecho que desea ejercer y medio para recibir respuesta.

GLIM dará respuesta dentro de los plazos previstos por la ley: diez (10) días hábiles para consultas y quince (15) días hábiles para reclamos.

Si el reclamo está incompleto, Glim requerirá al titular dentro de los cinco (5) días hábiles siguientes para que subsane las fallas. Si el titular no presenta la información en los dos (2) meses siguientes, se entenderá desistido el reclamo. Mientras el reclamo esté en trámite, Glim incluirá la leyenda "reclamo en trámite" en la base de datos. Si se recibe notificación judicial sobre la calidad del dato, se incluirá la leyenda "información en discusión judicial".

9. TRATAMIENTO POR ENCARGADOS Y TRANSFERENCIA DE DATOS

GLIM podrá compartir datos personales con:

  • Encargados del tratamiento que presten servicios en nombre de GLIM.
  • Terceros nacionales o extranjeros para fines legítimos y conforme a la autorización del titular.
  • Autoridades administrativas, judiciales o fiscales cuando sea legalmente exigido.

En todos los casos, GLIM garantiza que dichos terceros cuenten con mecanismos de protección y confidencialidad adecuados.

10. MEDIDAS DE SEGURIDAD

GLIM ha implementado medidas técnicas, legales, administrativas y organizacionales para proteger los datos personales, incluyendo políticas de seguridad de la información, restricción y monitoreo de accesos, contratos de confidencialidad, capacitaciones periódicas y procedimientos para la gestión de incidentes de seguridad.

En caso de un incidente de seguridad que afecte datos personales, Glim aplicará el siguiente protocolo: (a) incidentes de alto impacto (acceso no autorizado masivo, exfiltración de datos financieros o biométricos): notificación a la SIC dentro de las setenta y dos (72) horas de conocido el hecho; (b) incidentes de impacto medio o bajo: notificación a la SIC dentro de los cinco (5) días hábiles siguientes; (c) en todos los casos donde el incidente afecte derechos de los titulares, Glim los notificará directamente indicando la naturaleza del incidente, los datos comprometidos y las medidas adoptadas. Lo anterior conforme a la Circular SIC 001/2023.

11. DATOS FINANCIEROS Y TRANSACCIONALES — RÉGIMEN ESPECIAL

En su calidad de agregador de pagos, Glim trata datos financieros y transaccionales de sus usuarios (saldos disponibles, historial de transacciones, patrones de consumo e información de instrumentos de pago). Este tratamiento está sujeto al régimen especial de la Ley 1266 de 2008 sobre hábeas data financiero, adicionalmente a las disposiciones de la Ley 1581 de 2012.

Glim no reportará datos de sus usuarios ante operadores de información financiera o centrales de riesgo, salvo que en el marco de futuras líneas de negocio se generen obligaciones dinerarias incumplidas por parte del usuario, caso en el cual se informará previamente al titular y se atenderán los procedimientos de la Ley 1266/2008. Los datos transaccionales serán conservados por un período mínimo de cinco (5) años conforme a las exigencias del SARLAFT.

12. PREVENCIÓN DE LAVADO DE ACTIVOS, FINANCIACIÓN DEL TERRORISMO Y VERIFICACIÓN EN LISTAS RESTRICTIVAS

En cumplimiento de las obligaciones legales en materia de prevención del lavado de activos y financiación del terrorismo (LA/FT), Glim realiza las siguientes actividades de tratamiento de datos, que por su naturaleza no requieren autorización del titular conforme al Art. 10 lit. a de la Ley 1581/2012:

  • Verificación del titular y sus representantes en listas restrictivas nacionales e internacionales (ONU, OFAC y demás listas vinculantes).
  • Monitoreo transaccional para la detección de operaciones inusuales o sospechosas.
  • Reporte de operaciones sospechosas ante la Unidad de Información y Análisis Financiero (UIAF) cuando sea procedente, sin necesidad de consentimiento del titular.

La información tratada en el marco del SARLAFT será conservada por un mínimo de cinco (5) años, conforme a las instrucciones de la Superintendencia Financiera de Colombia.

13. GEOLOCALIZACIÓN, ANALÍTICA DIGITAL Y COOKIES

La app de Glim puede utilizar datos de geolocalización en tiempo real con la finalidad exclusiva de mostrar al usuario los comercios aliados más cercanos. Esta funcionalidad requiere autorización expresa del usuario, es facultativa y puede desactivarse en cualquier momento desde la configuración del dispositivo. Los datos de geolocalización no serán compartidos con terceros salvo obligación legal.

La app y el sitio web de Glim pueden utilizar tecnologías de rastreo y analítica (cookies, SDKs y tecnologías similares) para: (a) garantizar el funcionamiento técnico de las plataformas; (b) recordar preferencias del usuario; y (c) analizar el comportamiento de uso para mejorar el servicio. Las cookies no esenciales requieren consentimiento expreso del usuario, revocable en cualquier momento desde la configuración de la app o del navegador.

14. DEBERES DE GLIM COMO RESPONSABLE Y COMO ENCARGADO

a) Como responsable del tratamiento, Glim deberá:

  • Solicitar y conservar copia de la autorización otorgada por el titular.
  • Informar al titular sobre la finalidad del tratamiento y los derechos que le asisten.
  • Tramitar en tiempo las consultas y reclamos formulados por los titulares.
  • Conservar la información bajo condiciones de seguridad que impidan su adulteración, pérdida o acceso no autorizado.
  • Actualizar la información cuando el titular lo requiera o cuando se produzcan novedades.

b) Como encargado del tratamiento, Glim deberá:

  • Realizar el tratamiento conforme a las instrucciones del responsable (empleador-cliente) y dentro de los límites de la autorización del titular.
  • Garantizar al titular el ejercicio del derecho de hábeas data.
  • Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado.

15. VIGENCIA Y MODIFICACIONES

Esta política rige a partir de su publicación y podrá ser modificada por GLIM en cualquier momento. Las actualizaciones serán comunicadas a través de la página web oficial u otros canales de contacto. Las modificaciones entrarán en vigor desde su publicación.

Si se realizare un cambio en las finalidades del tratamiento de datos, Glim solicitará nueva autorización a los titulares que se vean afectados por el cambio, conforme al Art. 5 del Decreto 1377/2013.

Los datos personales serán tratados por los plazos de retención indicados en la tabla del numeral 5 de la presente política, según la categoría del dato y la finalidad del tratamiento, conforme al Art. 11 del Decreto 1377/2013. Una vez vencido el plazo aplicable, los datos serán eliminados o anonimizados de forma segura, salvo que una norma legal o contractual exija su conservación por un período mayor.

16. LEGISLACIÓN APLICABLE

Esta política se rige por la legislación colombiana, en particular: el artículo 15 de la Constitución Política de Colombia; la Ley 1266 de 2008; la Ley 1273 de 2009; la Ley 1581 de 2012; el Decreto 1377 de 2013; el Decreto Único Reglamentario 1074 de 2015; la Ley 2300 de 2023; y los lineamientos e instrucciones emitidos por la Superintendencia de Industria y Comercio, incluyendo las Circulares 002/2015 y 001/2023.

© 2026 GLIM COLOMBIA SAS. Todos los derechos reservados.