1. B2 PAGOS La sociedad identificada con NIT 901853579-0, debidamente constituida mediante documento privado del 03 de junio de 2014 por la Asamblea de Accionistas, según consta en el certificado de existencia y representación legal expedido por la Cámara de Comercio de Pereira, con domicilio en la KM 11 vía cerritos malabar, oficina 204, Centro logístico eje cafetero, actualmente se dedica a la prestación, comercialización, y distribución de servicios, productos, accesorios y actividades relacionadas con las telecomunicaciones, así como a la creación, generación, implementación y explotación comercial de tecnologías de la información. Igualmente, a través de su plataforma transaccional, facilita la distribución de medios de pago para servicios de telecomunicación, tales como recargas en línea de telefonía celular, y en general, cualquier servicio que permita la transacción electrónica.

En cumplimiento de lo establecido en la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, y el Decreto 1377 de 2013, junto con sus normas reglamentarias y complementarias, B2 PAGOS garantiza la protección integral del derecho fundamental de habeas data de todos los titulares de información personal de la cual sea responsable o encargada de su tratamiento. Asimismo, asegura en todo momento los derechos fundamentales a la intimidad, el buen nombre y la privacidad de las personas. Por ello, adopta y aplica la presente política de protección de datos personales, la cual contiene todos los elementos esenciales para el cumplimiento de la legislación correspondiente.

Esta política incluye la razón social, domicilio, dirección, correo electrónico y teléfono de B2 PAGOS, el tratamiento al cual serán sometidos los datos y su finalidad, los derechos que asisten al titular de los datos, el área responsable de la atención de peticiones, consultas y reclamos, así como la vigencia de la base de datos.

2. DEFINICIONES

2.1. Aviso de privacidad: Comunicación verbal o escrita generada por el responsable del tratamiento, dirigida al titular de los datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información aplicables, la forma de acceder a ellas y las finalidades del tratamiento que se pretende dar a los datos personales.

2.2. Autorización: Consentimiento previo, expreso e informado del titular de los datos personales para llevar a cabo su tratamiento.

2.3. Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

2.4. Datos personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Se entiende como «dato personal» cualquier información relacionada con una persona natural (persona individualmente considerada).

2.5. Dato público: Es aquel dato que no es semiprivado, privado o sensible. Se consideran datos públicos, entre otros, los relativos al estado civil de las personas, su profesión u oficio, y su calidad de comerciante o servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. También se entenderá que todos los datos que estén contenidos en registros públicos tendrán esta misma naturaleza.

2.6. Dato sensible: Es aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, la vida sexual y los datos biométricos.

2.7. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento.

2.8. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que decide sobre la base de datos y/o el tratamiento de los datos personales.

2.9. Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

2.10. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

2.11. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

2.12. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos de carácter personal, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.

2.13. Oficial de protección de datos: Persona dentro de la empresa encargada de la vigilancia y control de la aplicación de la política de protección de datos personales. El oficial será designado por el gerente o, en su defecto, por la junta directiva o la asamblea.

3. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

Para dar cumplimiento a la política de protección de datos personales, se aplicarán de manera armónica e integral, los siguientes principios:

3.1. Principio de legalidad en materia de tratamiento de datos: El tratamiento es una actividad reglada que debe sujetarse a lo establecido en la ley y sus decretos reglamentarios.

3.2. Principio de finalidad: El tratamiento obedecerá a una finalidad legítima de acuerdo con la Constitución y la ley, y será informado al titular.

3.3. Principio de libertad: El tratamiento sólo podrá ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin autorización, excepto por mandato legal o judicial que obligue a relevar el consentimiento.

3.4. Principio de veracidad o calidad: La información sujeta al tratamiento será veraz, completa, exacta, actualizada, comprobable y comprensible. No se realizará el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

3.5. Principio de transparencia: Se garantizará el derecho del titular a obtener en cualquier momento y sin restricciones, información acerca de la existencia de los datos que le conciernen.

3.6. Principio de acceso y circulación restringida: El tratamiento se sujetará a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo se ejercerá por personas autorizadas por el titular o por las personas previstas en la ley. Salvo la información pública, los datos no estarán disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.

3.7. Principio de seguridad: La información se maneja con las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3.8. Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos garantizarán la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.

---

4. TRATAMIENTO Y FINALIDAD DE DATOS PERSONALES

4.1. Tratamiento:
B2 PAGOS obtendrá de manera libre, previa, expresa y voluntaria la autorización para transferir, almacenar, usar, circular, suprimir, compartir, actualizar y transmitir los datos personales a través de correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto, o cualquier medio análogo y/o digital de comunicación, conocido o por conocer, de acuerdo con la presente política de protección de datos personales.

4.2. Responsable de tratamiento:

• Razón social: B2 PAGOS S.A.S
• NIT: 901853579-0
• Domicilio: Pereira – Risaralda – Colombia
• Dirección: KM 11 vía cerritos malabar CNC eje cafetero 
• Área: Gerencia
• Correo electrónico: admin@b2pagos.com
• Teléfono: +573104029262

4.3. Tratamiento de datos públicos:
La empresa advierte que tratará sin previa autorización del titular los datos de naturaleza pública y los contenidos en los registros públicos. Esta situación no implica que no se adopten las medidas necesarias que garanticen el cumplimiento de los otros principios y obligaciones contempladas en la Ley 1581 de 2012 y demás normas que regulen esta materia, así como en el presente manual.

4.4. Tratamiento de datos sensibles:
La empresa sólo tratará datos personales sensibles para lo estrictamente necesario, solicitando consentimiento previo y expreso a los titulares e informándoles sobre la finalidad exclusiva para su tratamiento.

La empresa solo utilizará y tratará datos catalogados como sensibles cuando:

• El tratamiento haya sido autorizado expresamente por el titular de los datos sensibles, salvo en los casos que, por ley, no se requiera el otorgamiento de dicha autorización.
• El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes deberán otorgar la autorización.
• El tratamiento se refiere a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

En este sentido, la empresa cumplirá con las siguientes obligaciones:

• Informar al titular que, por tratarse de datos sensibles, no está obligado a autorizar su tratamiento.
• Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de tratamiento son de carácter sensible y la finalidad del tratamiento, y obtener el consentimiento expreso.
• No condicionar ninguna actividad a que el titular suministre datos personales sensibles, salvo que exista una causa legal o contractual para hacerlo.

4.5. TRATAMIENTO DE DATOS DE MENORES

La empresa sólo tratará datos personales de menores de edad cuando estos sean de naturaleza pública, provengan de la información suministrada por empleados o contratistas al momento de su vinculación laboral o de prestación de servicios con la empresa y/o sean suministrados en virtud de la actividad comercial que desarrolla la empresa. Lo anterior, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y, cuando el tratamiento cumpla con los siguientes parámetros y requisitos:

• Que responda y respete el interés superior de los niños, niñas y adolescentes.
• Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, la empresa exigirá al representante legal o tutor del niño, niña o adolescente la autorización del menor, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

La empresa y cualquier persona involucrada en el tratamiento de los datos personales de niños, niñas y adolescentes, velarán por el uso adecuado de los mismos. En cumplimiento de lo anterior, se aplican y desarrollan los principios y obligaciones establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

4.6. CLASIFICACIÓN DE LAS BASES DE DATOS

La empresa ha clasificado sus bases de datos de la siguiente manera:

4.6.1. Bases de datos de clientes: Son las bases de datos manuales o automatizadas, que se encuentran estructuradas y que contienen datos de naturaleza pública, privada, datos sensibles y de menores de edad. La base de datos se encuentra conformada por personas jurídicas o naturales. La empresa realizará el tratamiento de sus datos para los siguientes fines:

• Lograr una eficiente comunicación con nuestros clientes, permitiéndonos brindar información relacionada con nuestros productos y servicios.
• Informar sobre nuevos productos, eventos y lanzamientos.
• Dar cumplimiento a obligaciones contraídas con contratistas, contratantes, clientes, proveedores, y empleados.
• Informar sobre cambios de precios y servicios.
• Evaluar la calidad de nuestro servicio.
• Realizar estudios de mercadeo asociados a la preferencia por nuestros productos.
• Envío de publicidad.
• Transferir o transmitir la información de contacto, para el envío de información comercial de los productos y/o servicios comercializados por B2 PAGOS.
• Dar cumplimiento a las obligaciones contraídas en virtud de los contratos y relaciones comerciales celebradas.
• Programas de fidelización y actualización de datos.
• Utilización de datos biométricos como huella digital, audio, video y/o fotografía o a través de cualquier otro medio conocido o por conocerse (se entiende como “imagen” el nombre, seudónimo, voz, firmas, iniciales, figura, fisionomía de cuerpo, cara o cualquier signo que se relacione con la identidad de la persona), para reproducción, comunicación o transmisión.
• Establecer comunicación directa por diferentes medios (impreso, telefónico, SMS, correos electrónicos) con los objetivos comerciales asociados a productos y/o servicios.
• Información para el diligenciamiento de planillas, manejo y uso de la plataforma SIRSE.
• Para efectos de envío, recaudo, despachos y garantías de los productos.
• Dar respuesta a requerimientos de autoridades competentes o judiciales.
• Procesos de certificación en calidad.
• Información específica del contacto para manejo de SAGRILAFT.
• Vinculación de contrapartes y transferencia de información para vinculación de corresponsalía bancaria.

4.6.2. Bases de datos de empleados: Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales que se vinculan laboralmente con la empresa, cuyo tratamiento tiene como finalidad cumplir con las disposiciones legales, reglamentarias y políticas empresariales. En esta base de datos, se incorporan tanto información privada, pública, datos sensibles y de menores de edad. El tratamiento de los datos para fines diferentes a las obligaciones derivadas de la relación laboral requerirá autorización previa del titular o su representante legal, según sea el caso. En ningún caso, la empresa dará tratamiento a los datos sensibles o de menores sin autorización previa.

La empresa realizará el tratamiento de sus datos para los siguientes fines:

• Ejecución del contrato suscrito con la compañía.
• Pago de obligaciones contractuales.
• Envío de información a entidades gubernamentales o judiciales por solicitud expresa de las mismas.
• Soporte en procesos de auditoría externa/interna.
• Registro de la información de los candidatos, contratistas y empleados en la base de datos de las compañías.
• Contacto con candidatos, contratistas y empleados para el envío de información relacionado con la relación contractual y obligacional que tenga lugar.
• Recolección de datos para el cumplimiento de los deberes que, como responsable de la información y datos personales, le corresponde a la compañía.
• Con propósitos de seguridad o prevención de fraude.
• Información de eventos y envío de publicidad.
• Para tratar los datos relativos a los exámenes médicos de ingreso, prevención y retiro, así como las historias clínicas en caso de requerirse.
• Para tratar datos sensibles como la huella, foto y grabaciones de las cámaras de seguridad para control de asistencia, pago de horas extras, entre otros.
• Para recolectar, usar, almacenar y circular su hoja de vida.
• Transferencia de datos a terceros para realizar procesos de selección, afiliación a empresas de salud, pensión, ARL, aseguradoras, pagos de nómina y demás que se requieran para la formalización del proceso de contratación.
• Realizar consulta en listas restrictivas y demás requisitos asociados al sistema SAGRILAFT.
• Cualquier otra finalidad que resulte en el desarrollo del contrato o la relación entre usted y la compañía.

Bases de Datos de Proveedores y Contratistas: Estas bases de datos, sean manuales o automatizadas, incluyen información de personas naturales o jurídicas vinculadas contractual y comercialmente con la empresa. El propósito de su tratamiento es cumplir con los compromisos contractuales estipulados por la empresa para la adquisición de bienes y servicios necesarios para su funcionamiento o para cumplir ciertas funciones empresariales. Esta base incluye datos personales, públicos, privados y sensibles, destinados al desarrollo y mantenimiento de relaciones contractuales. El uso de estos datos para propósitos distintos a los mencionados, o el cumplimiento de obligaciones legales, requerirá la autorización previa del titular de los datos.

Finalidades del Tratamiento de Datos de Proveedores y Contratistas:

• Evaluación y selección de proveedores o contratistas potenciales.
• Comunicación de políticas y procedimientos para la vinculación de nuevos proveedores.
• Envío de información requerida por entidades gubernamentales o judiciales.
• Apoyo en procesos de auditoría externa e interna.
• Registro de información relevante en las bases de datos corporativas.
• Interacción con candidatos y empleados para propósitos relacionados con obligaciones contractuales.
• Cumplimiento de deberes asignados a la empresa como responsable de la información.
• Implementación de medidas de seguridad y prevención de fraude.
• Divulgación de eventos corporativos y material publicitario.
• Gestión de información médica necesaria para el ingreso, permanencia o salida de personal.
• Tratamiento de datos biométricos y otros sensibles para control interno.
• Recolección y circulación de datos personales para procesos de contratación.
• Consultas en listas restrictivas y cumplimiento de requisitos del sistema SAGRILAFT.
• Envío de invitaciones y comunicaciones corporativas.

Bases de Datos de Órganos Sociales: Incluyen información de los miembros de la junta directiva y la asamblea de accionistas, gestionada para cumplir con disposiciones legales y políticas internas. Esta base considera datos tanto públicos como privados y sensibles, tratados con un alto nivel de confidencialidad y protección legal especial.

Finalidades del Tratamiento de Datos de Órganos Sociales:

• Gestión y almacenamiento de datos profesionales.
• Comunicación de información institucional, incluyendo material publicitario y eventos.
• Emisión de certificaciones relacionadas con la participación accionaria y otros aspectos financieros.
• Intercambio de información con terceros para actividades empresariales, respetando las limitaciones y normativas aplicables.

Sección de Contratos: Incluye cláusulas específicas en contratos laborales y de servicios que autorizan el tratamiento de datos personales en relación con la ejecución contractual. Esto incluye la posibilidad de modificar, corregir o ceder datos a terceros para tareas externalizadas, siempre con referencia al presente manual y su consulta en el sitio web corporativo.

Para contratos de servicios externos, se garantiza la provisión de datos personales solo bajo autorización expresa del titular, excluyendo datos de naturaleza pública y aquellos contenidos en registros públicos.

Tratamiento por Terceros: Los terceros encargados del tratamiento de datos incluirán en sus contratos cláusulas que especifican los fines permitidos por la empresa, delimitando su uso y asegurando el cumplimiento de obligaciones legales y medidas de seguridad para proteger la integridad y confidencialidad de los datos.

La empresa, al actuar como encargada del tratamiento de datos de terceros, verifica que las finalidades autorizadas se mantengan vigentes y relacionadas con los motivos legales, contractuales o jurisprudenciales por los cuales se reciben los datos, asegurando así el adecuado tratamiento de los mismos.

4.8 TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES

Regulaciones Aplicables: La transferencia y transmisión internacional de datos personales se regirá bajo los lineamientos del artículo 26 de la Ley 1581 de 2012.

Contratos de Transmisión de Datos: Para transmisiones internacionales de datos personales entre responsables y encargados, no se requiere informar al titular ni obtener su consentimiento, siempre que se cumplan los siguientes criterios contractuales:

• Detalles Contractuales: El contrato estipula los límites y naturaleza del tratamiento, las actividades específicas que el encargado realizará por cuenta del responsable, y las obligaciones del encargado hacia el titular y el responsable.
• Compromisos del Encargado: Acatar la política de tratamiento de datos del responsable, asegurando que el tratamiento de datos se alinee con las finalidades autorizadas por los titulares y conforme a la legislación vigente.

Obligaciones del Encargado en el Contrato:

• Tratar los datos personales conforme a los principios legales aplicables.
• Proteger la seguridad de las bases de datos que contengan datos personales.
• Mantener la confidencialidad en el tratamiento de datos personales.

5. DEBERES Y DERECHOS

5.1 Generalidades sobre la Autorización: La empresa solicitará la autorización para el tratamiento de datos personales mediante mecanismos que sirvan como prueba. Esta autorización, que puede formar parte de documentos como contratos o formularios, incluirá al menos:

• El tipo de tratamiento a realizar y su finalidad.
• La naturaleza opcional de responder preguntas sobre datos sensibles o de menores.
• Los derechos del titular de los datos.
• Información de contacto del responsable del tratamiento.

5.3 Del Derecho de Consulta: La empresa asegura el derecho de consulta sobre datos personales privados, sensibles y de menores, conforme a la Ley 1581 de 2012, facilitando a los titulares acceso a la información contenida en las bases de datos controladas por la empresa. Se establecerán medidas de autenticación seguras para la identificación del solicitante.

Procedimientos para la Atención de Consultas:

• Se habilitarán medios electrónicos y otros canales considerados seguros y apropiados para la recepción y manejo de consultas.
• Se dispondrán formularios y sistemas específicos, cuyos detalles se informarán en la autorización o en el aviso de privacidad.
• Se utilizarán los servicios de atención al cliente o de reclamaciones existentes para gestionar las consultas.

Plazos para la Respuesta: Las solicitudes de consulta se responderán dentro de un plazo máximo de diez (10) días hábiles desde su recepción. Si no es posible responder en este plazo, se notificará al interesado las razones del retraso, y la respuesta se proporcionará dentro de los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

5.4. Del derecho a reclamar

El titular de los datos personales que considere necesario realizar correcciones, actualizaciones o supresión de sus datos, o quien detecte un incumplimiento de los deberes y principios normativos de protección de datos, tiene derecho a presentar una reclamación ante la empresa conforme a lo dispuesto en el artículo 15 de la Ley 1581 de 2012. El proceso para presentar una reclamación es el siguiente:

1. Formulación del Reclamo: El reclamo debe dirigirse al responsable o encargado del tratamiento de datos personales, incluyendo la identificación del titular, una descripción detallada de los hechos que motivan el reclamo, la dirección de contacto, y los documentos de soporte. Si el reclamo es incompleto, el interesado será requerido dentro de los cinco (5) días siguientes a la recepción para que complete la información faltante. Si no se completa la información dentro de dos (2) meses desde el requerimiento, se considerará desistido el reclamo.
2. Trámite del Reclamo: Si quien recibe el reclamo no tiene competencia para resolverlo, deberá trasladarlo al responsable adecuado en un máximo de dos (2) días hábiles, e informar al interesado. Una vez el reclamo esté completo, se registrará en la base de datos con la leyenda «reclamo en trámite» y el motivo correspondiente dentro de los dos (2) días hábiles siguientes. Esta leyenda se mantendrá hasta que se resuelva el reclamo.
3. Resolución del Reclamo: El plazo máximo para resolver el reclamo es de quince (15) días hábiles desde su recepción. Si no es posible resolverlo dentro de este plazo, se informará al interesado sobre los motivos de la demora y la fecha estimada de resolución, que no podrá exceder los ocho (8) días hábiles tras el vencimiento del primer término.

5.5. Del derecho a la rectificación y actualización de datos

La empresa se compromete a rectificar y actualizar los datos personales a solicitud del titular cuando la información sea incompleta o inexacta, conforme a los siguientes términos:

• El titular debe indicar específicamente las correcciones o actualizaciones necesarias y aportar la documentación que sustente su petición.
• La empresa facilitará medios electrónicos o cualquier otro método que considere pertinente y seguro para que el titular ejerza este derecho.

5.6. Del derecho a la supresión de datos

El titular tiene el derecho de solicitar en cualquier momento la supresión de sus datos personales cuando:

• Los datos no se estén tratando conforme a los principios y obligaciones establecidos en la normativa vigente.
• Los datos ya no sean necesarios o pertinentes para la finalidad para la cual fueron recogidos.
• El periodo necesario para los fines del tratamiento haya expirado.

Esta supresión se llevará a cabo mediante la eliminación total o parcial de la información personal, según lo solicite el titular. Sin embargo, este derecho no es absoluto y puede ser denegado cuando:

• Existe un deber legal o contractual que justifique la retención de los datos.
• La eliminación de los datos impide el cumplimiento de procesos judiciales o administrativos.

5.7. Del derecho a revocar la autorización

El titular puede revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, a través de mecanismos que la empresa pondrá a disposición de forma sencilla y gratuita. La revocación puede ser total o parcial y se procederá de acuerdo a lo siguiente:

• Total: Cesando completamente el tratamiento de los datos personales del titular.
• Parcial: Suspendiendo el tratamiento de los datos personales del titular respecto a ciertas finalidades específicas.

El derecho de revocación no es absoluto y puede ser limitado cuando:

• Existe un deber legal o contractual que requiera mantener los datos.
• La revocación impide la ejecución de procedimientos legales o administrativos.
• Los datos sean necesarios para proteger los intereses legítimos del titular o para cumplir una obligación legal.

5.8 Derecho a Presentar Quejas ante la Autoridad Competente

El titular de datos personales tiene el derecho constante de presentar quejas ante la Superintendencia de Industria y Comercio en caso de infracciones a las disposiciones de la ley y otras normas que la modifiquen, adicionen o complementen, relacionadas con la protección de datos personales.

5.9 Deberes como Responsable del Tratamiento

La empresa, como responsable del tratamiento de datos personales, se compromete a cumplir con los siguientes deberes para garantizar la protección y el correcto manejo de los datos personales:

a) Asegurar en todo momento el pleno y efectivo ejercicio del derecho de hábeas data por parte del titular. b) Solicitar y conservar en archivo la autorización otorgada por el titular para el tratamiento de sus datos. c) Informar al titular sobre la finalidad de la recolección de datos y sus derechos en virtud de la autorización otorgada. d) Mantener la información bajo las condiciones de seguridad adecuadas para prevenir su alteración, pérdida, consulta, uso o acceso no autorizado. e) Verificar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada y comprensible. f) Actualizar la información, comunicando cualquier novedad al encargado del tratamiento y asegurando que la información proporcionada se mantenga al día. g) Rectificar la información cuando sea incorrecta y comunicar los cambios al encargado del tratamiento. h) Proporcionar al encargado del tratamiento únicamente los datos cuyo tratamiento haya sido autorizado previamente. i) Exigir al encargado del tratamiento el cumplimiento de las condiciones de seguridad y privacidad de la información del titular. j) Gestionar de manera adecuada las consultas y reclamos formulados por los titulares de los datos. k) Implementar un manual interno de procedimientos para asegurar un adecuado tratamiento de consultas y reclamos. l) Informar al encargado del tratamiento cuando un dato esté en disputa por el titular y aún esté en proceso de reclamación. m) Informar al titular sobre el uso de sus datos cuando éste lo solicite. n) Notificar a la autoridad de protección de datos ante cualquier violación de las medidas de seguridad que pueda poner en riesgo la información de los titulares. o) Acoger y cumplir las instrucciones y requerimientos emitidos por la Superintendencia de Industria y Comercio.

5.10 Deberes del Encargado del Tratamiento

El encargado del tratamiento de datos personales tiene las siguientes obligaciones:

a) Asegurar el pleno y efectivo ejercicio del derecho de hábeas data en todo momento. b) Mantener la información bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado. c) Realizar la actualización, rectificación o supresión de los datos de manera oportuna. d) Actualizar la información reportada por los responsables del tratamiento dentro de cinco (5) días hábiles desde su recepción. e) Procesar las consultas y reclamos formulados por los titulares de manera adecuada. f) Implementar un manual interno de procedimientos para la atención de consultas y reclamos. g) Registrar la leyenda «reclamo en trámite» en la base de datos cuando sea aplicable. h) Insertar la leyenda «información en discusión judicial» en la base de datos cuando se notifique sobre procedimientos judiciales relacionados. i) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia. j) Permitir el acceso a la información únicamente a las personas autorizadas. k) Informar a la Superintendencia de Industria y Comercio sobre cualquier violación a los códigos de seguridad que pueda implicar riesgos para la gestión de la información. l) Cumplir con las instrucciones y requerimientos que emita la Superintendencia de Industria y Comercio.

6. MODIFICACIONES A LAS POLÍTICAS

La empresa se reserva el derecho de modificar su política de protección de datos personales en cualquier momento. Cualquier cambio será comunicado de manera oportuna a los titulares de datos mediante los medios habituales de contacto y a través del sitio web de la empresa. En caso de cambios sustanciales en el tratamiento de datos personales que afecten la finalidad del tratamiento o la identificación del responsable, estos cambios serán notificados a los titulares, y se solicitará una nueva autorización cuando el cambio afecte la finalidad del tratamiento de los datos.

7. EL REGISTRO NACIONAL DE BASES DE DATOS

La empresa cumple con la obligación de registrar sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) de acuerdo con las normativas vigentes. Este registro se actualiza anualmente y refleja la política de tratamiento de datos personales de la empresa, garantizando la transparencia y el acceso público a dicha información.

8. REFERENCIA A OTROS DOCUMENTOS

La política de protección de datos personales de la empresa está alineada con la legislación colombiana relevante, incluyendo:

• Constitución Política de Colombia Artículo 15: Garantiza el derecho a la intimidad personal y familiar y el derecho a conocer, actualizar y rectificar informaciones recogidas en bancos de datos.
• Ley Estatutaria 1581 de 2012: Establece disposiciones generales para la protección de datos personales.
• Decreto Reglamentario 1377 de 2013: Reglamenta parcialmente la Ley 1581 de 2012.
• Decreto Único 886 de 2014 y Decreto 1074 de 2015: Detallan los requisitos para el Registro Nacional de Bases de Datos.
• Circular 003 del 1 de agosto de 2018 y Decreto 090 del 18 de enero de 2018: Modifican y aclaran disposiciones sobre el registro de bases de datos.

9. VIGENCIA

La política de protección de datos personales entra en vigencia desde su publicación y permanecerá vigente mientras la empresa continúe en operación, conforme a lo establecido en sus estatutos. Cualquier modificación será debidamente comunicada y registrada, asegurando el cumplimiento continuo con las normas legales aplicables.

Firma y Confirmación

• Nombre: Mary perez
• Cargo: Líder Administrativa y Financiera
• Fecha: junio 2024
• Versión: Segunda Versión