MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES COLUMBUS NETWORKS DE COLOMBIA LTDA.

Transcripción

1 MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES COLUMBUS NETWORKS DE COLOMBIA LTDA. 1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE LOS DATOS PERSONALES Columbus Networks de Colombia Ltda., sociedad constituida y existente conforme a las leyes de la República de Colombia, NIT , con oficinas principales en la Av. Cra 45 No Torre 3 piso 9., teléfono (57-1) [ ] (la Compañía ), es una entidad comprometida con la protección de la privacidad, integridad, seguridad y confidencialidad de toda información que pueda asociarse o relacionarse a personas naturales determinadas o determinables (los Datos Personales ) a los cuales tiene acceso en el desarrollo de su actividad comercial. 2. FINALIDAD DEL MANUAL El objetivo del Manual interno de políticas y procedimientos para la Protección de Datos Personales (el Manual ), exigido por la Ley 1581 de 2012, es garantizar el cumplimiento de la legislación aplicable en materia de protección de Datos Personales, estableciendo el alcance y los procedimientos para la recolección de Datos Personales cuyo tratamiento se regirá por las Políticas de Tratamiento de la Información adoptadas por la Compañía, conforme sean modificadas de tiempo en tiempo, así como establecer los procedimientos y mecanismos internos para la atención de los reclamos, consultas, solicitudes y quejas que formulen los titulares de los Datos Personales (los Titulares ), con el fin de conocer, actualizar, modificar, y rectificar la Autorización para el Tratamiento, y de suprimir y revocar la Autorización siempre y cuando no exista una obligación legal o contractual con el Titular que le impida la revocatoria o supresión. Con el fin de que se cumpla este Manual, la Compañía buscará abrir espacios para la formación y sensibilización de los empleados sobre el Tratamiento de Datos Personales y el cumplimiento de la Ley. Los lineamientos aquí establecidos serán de obligatorio cumplimiento para los empleados de la Compañía que tengan dentro de sus funciones o que en ejercicio de ellas den Tratamiento a Datos Personales. 3. CONCEPTOS Y NOCIONES QUE HAY QUE TENER EN CUENTA Término Autorización o Consentimiento Definición Es el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento.

2 Aviso de Privacidad Base de Datos Dato Personal Dato Público Dato Sensible Encargado Legitimado Ley Es la comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento, mediante la cual se le informa acerca de la existencia de la Política, la forma de acceder a la misma y las finalidades del Tratamiento. Significa el conjunto organizado de Datos Personales que sean objeto de Tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso. Es cualquier información de cualquier tipo, vinculada o que pueda asociarse a una o varias personas naturales, determinadas o determinables. Significa el Dato Personal calificado como público según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Son los Datos Personales que podrían afectar la intimidad del Titular o cuyo uso indebido podría generar su discriminación, tales como aquellos que revelen afiliaciones sindicales, el origen racial o étnico, la orientación política, las convicciones religiosas, morales o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento por cuenta del Responsable. Son aquellas personas que pueden ejercer los derechos del Titular, tales como, el Titular, acreditando su identidad por los medios que tenga a su disposición, los causahabientes que acrediten esa calidad, el representante y/o apoderado acreditándose mediante apoderamiento o representación legal y aquellos que, por estipulación a favor de otro o para otro, estén acreditados. Es la Ley 1581 de 2012, el Decreto 1377 de 2013, la Sentencia C-748 de 2011 y la jurisprudencia de la Corte Constitucional relacionada con Datos Personales que sienta precedentes, y cualquier regulación expedida por el gobierno reglamentando los preceptos legales que se encuentren vigentes en el momento en que comience el Tratamiento por parte de la Compañía, según dicha Ley sea modificada de tiempo en tiempo y dicha modificación aplique al Tratamiento realizado por la Compañía.

3 Manual Es el presente documento en el cual están consignados las políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y a través del cual se fijan las directrices, lineamientos y prácticas que los empleados de la Compañía deberán seguir en todo lo relativo a la protección de datos. Política Es la Política de Tratamiento de la Información exigida por el Decreto 1377, que podrá consultarse en la cual contiene las orientaciones y directrices en relación con la protección de datos personales y que incluye, entre otras cosas, (i) plena identificación del Responsable (nombre, razón social, domicilio, dirección, correo electrónico y teléfono); (ii) las formas de Tratamiento; (iii) las finalidades del Tratamiento; (iv) los derechos de los Titulares; (v) los procedimientos para consultas, reclamos y quejas y ejercer los derechos que están en cabeza de los Titulares, y (vi) la persona o dependencia encargada de atender todas las consultas de los Titulares. Responsable Es toda persona que realice actividades de Tratamiento en nombre de, en representación de o para la Compañía. SIC Superintendencia de Industria y Comercio Titular Es la persona natural a quien se refieren los Datos Personales, que podrá reposar en una Base de Datos, y quien es el sujeto del derecho de hábeas data. Transferencia Es el Tratamiento que implica el envío de la información o de los Datos Personales a un receptor, que es Responsable y se encuentra fuera o dentro del país. En la Transferencia el receptor actuará en calidad de Responsable y no estará sujeto a los términos y condiciones de la Política. Transmisión Es el Tratamiento que implica la comunicación de los Datos Personales dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. En la Transmisión el receptor actuará en calidad de Encargado y se someterá a la Política y/o a los términos establecidos en el contrato de Transmisión. Tratamiento Es toda operación y procedimiento sistemático, electrónico o no, que permita la recolección, conservación, ordenamiento, almacenamiento, modificación, relacionamiento, uso, circulación, evaluación, bloqueo, destrucción y, en general, el procesamiento de Datos Personales, así como también su entrega a terceros a través de comunicaciones, consultas, interconexiones, cesiones, mensajes de datos. La Compañía Cuando en este Manual se haga referencia a la Compañía como actuando o con el deber de actuar de determinada manera, se entenderá que se refiere a todo empleado o personal de la Compañía que esté en posición o deber legal o contractual de cumplir con la acción especificada.

4 4. CUÁNDO SE DEBE APLICAR ESTE MANUAL? Este Manual se aplicará a todo Tratamiento ocurrido en el territorio de la República de Colombia por parte de la Compañía y sus funcionarios. Para ilustración de quienes implementen este Manual, son tres los procesos básicos que hacen parte del ciclo vital del Dato Personal: (1) la etapa de recolección, (2) la etapa de mantenimiento y uso, y (3) la etapa de supresión o eliminación del Dato Personal (el Ciclo Vital del Dato Personal ). CUÁL ES EL CICLO VITAL DEL DATO PERSONAL? Recolección / Autorización. Todo Tratamiento estará precedido por la obtención de la Autorización por medios físicos, electromagnéticos o por conductas inequívocas. Para ello la Compañía, sus empleados y terceros autorizados deberán obtener la Autorización procurando que el Titular suscriba el formato de autorización y conservando copia de este documento para consultas futuras. Adicionalmente, a través de cualesquiera mecanismos que se obtenga el consentimiento, se le deberá informar al Titular el tipo de Tratamiento al qué serán sometidos sus Datos Personales, con quién se compartirán, la finalidad que se persigue con su Tratamiento y las formas y mecanismos para formular consultas, quejas, reclamos, etc. Qué datos se van a recolectar? 1. Tener en cuenta las categorías para determinar si es necesaria la Autorización (Dato Público, Dato Sensible, Dato Personal, entre otros). 2. Si es un Dato Personal, por ejemplo, nombre y apellido, correo electrónico, teléfono o información que permita identificar por sí solo o en conjunto con otros datos a un titular, entonces hay que obtener una Autorización. 3. Si es un Dato Público como el nombre de la cédula no hay necesidad de obtener la Autorización del Titular, pero sí será necesario darle Tratamiento conforme a los principios de Tratamiento aquí mencionados. 4. Si es un Dato Personal de un menor de edad, deberá sujetarse a lo dispuesto en este Manual para su recolección y Tratamiento. 5. Si es un dato que por sí solo no permite identificar a una persona natural determinada o determinable, no se tratará de un Dato Personal por lo que no será necesaria la Autorización de los Datos Personales de los Titulares. 6. Si es un Dato Personal proveniente de una persona jurídica, la Compañía deberá determinar si ese tercero es un Responsable o un Encargado, y exigirle a uno u otro que demuestre que tiene las Autorizaciones de los Titulares de tales datos para Transferírselos

5 o Transmitírselos los datos a la Compañía. Si no existen las Autorizaciones de los Titulares, será necesario verificar con el área jurídica de la Compañía si se puede celebrar un contrato de Transmisión de Datos Personales o de lo contrario abstenerse de recibir los datos. Se recolectan Datos Sensibles? 1. Determinar si se recolectan Datos Sensibles. 2. En caso afirmativo, informarle al Titular que su consentimiento es facultativo (excepto cuando sus Datos Personales se requieran para cumplir una obligación legal). 3. Informar cuáles de los Datos Personales recolectados son Datos Sensibles. 4. Establecer mayores medidas de seguridad sobre estos Datos Sensibles y ser más cuidadoso con su Tratamiento. 5. Se recomienda separar las Bases de Datos Sensibles de las Bases de Datos de otros Datos Personales, y someter las primeras a reglas más estrictas de acceso y seguridad. Información al momento de recolectar Datos Personales 1. Informar al Titular las Finalidades del Tratamiento. 2. Informar los derechos al Titular. 3. Informar la existencia y modo de acceder a la Política. 4. Informar los datos de contacto del responsable del Tratamiento (dirección electrónica, física y teléfono del Responsable). Mantenimiento y uso. La Compañía utilizará los Datos Personales para las Finalidades que han sido consignadas en la Política o que sean informadas al momento de la recolección de los Datos Personales. Todas las Finalidades estarán relacionadas con las actividades comerciales, operativas y financieras de la Compañía. La Compañía podrá Transmitir o Transferir, según sea apropiado, los Datos Personales a terceros cuando externalice algunos servicios o actividades, cuando encargue a terceros el almacenamiento (web-hosting, call centers) o el uso de los Datos Personales o para fortalecer las alianzas comerciales, crear nuevas oportunidades de negocio o ejecutar contratos que obliguen a la Compañía a realizar la Transferencia. Qué áreas de la Compañía o personas se involucrarán en el Tratamiento? 1. Identificar qué áreas o personas en la Compañía acceden a la información personal de los Titulares para el desarrollo de sus funciones laborales. Qué tipo de Tratamiento realiza cada una de estas áreas o personas? 1. Identificar qué procedimiento y actividades realiza cada persona que procesa Datos Personales. Sobre todo, entender a qué finalidades se dedican.

6 2. Mantener la confidencialidad y seguridad de los Datos Personales. 3. Si hay Transferencia o Transmisión, asegurarse que haya Autorización o un contrato de Transmisión según sea el caso. Garantizar la veracidad y actualizar la información periódicamente 1. Diseñar mecanismos para mantener la información actualizada. 2. Verificar periódicamente con el Titular si sus Datos Personales están actualizados. 3. No utilizar Datos Personales que estén manifiestamente desactualizados o no sean veraces. Área encargada para atender las consultas y reclamos 1. Seguir el presente Manual y la Política para responder las consultas y reclamos. 2. Documentar los procesos para demostrarle a la Superintendencia de Industria y Comercio la responsabilidad de la Compañía y sus procedimientos para garantizar el derecho al habeas data (Responsabilidad Demostrada). 3. Determinar cuáles son los flujos de información personal y, sobre todo, los puntos críticos. 4. Garantizar la seguridad de las Bases de Datos. Supresión. La supresión de Datos Personales procederá cuando hacerlo no obstaculice, actuaciones judiciales o administrativas vinculadas a obligaciones fiscales; la investigación y persecución de delitos; la actividad comercial de la Compañía, y el cumplimiento de sus obligaciones legales, contractuales o de otro tipo. En caso de proceder la solicitud de supresión y eliminación de Datos Personales teniendo en cuenta que no haya un deber legal o contractual que limite dicha solicitud, el encargado de la Base de Datos y los empleados de la Compañía que tengan acceso al sistema, deberán eliminar los Datos Personales desde su raíz. Se asegurarán que no queden archivos ocultos, mirrors o cualquier otro dato en el sistema que haga referencia a los Datos Personales. Recuerde que los Datos Personales que no sean utilizados deberán suprimirse en la medida que solo se podrán conservar los Datos Personales cuando estén cumpliendo sus finalidades. Cuánto tiempo deben conservarse los Datos Personales? 1. El área responsable o persona encargada debe asegurarse que los Datos Personales permanezcan en la Base de Datos solo por el tiempo necesario para la finalidad para la cual fueron recolectados. 2. Determinar si la finalidad para la cual se recolectó el Dato Personal ya se cumplió. Solicitud de revocatoria o supresión 1. Verificar si no hay un deber legal o contractual que impida la supresión de la información

7 o revocatoria de la Autorización. 2. Seguir los procedimientos establecidos en este Manual. 3. Estar atentos ante los requerimientos de supresión de los titulares y de la Superintendencia de Industria y Comercio. Procedimiento para garantizar la supresión 1. Coordinar un proceso con el área de tecnología que garantice la eliminación efectiva del Dato Personal. 2. Informar al Titular, mediante certificación o constancia, la eliminación del Dato Personal. 3. Asegurar que el Dato Personal no quede guardado o almacenado en los sistemas de información de la Compañía. Además de estos tres procesos, un área o dependencia de la Compañía se encargará y responsabilizará del proceso relativo a las consultas y reclamos que formulen los Titulares para acceder, modificar, rectificar, actualizar o suprimir sus Datos Personales, así como revocar la Autorización o suprimir los datos cuando fuere procedente. 5. QUÉ PRINCIPIOS RIGEN EL TRATAMIENTO DE DATOS PERSONALES? En todo Tratamiento de Datos Personales realizado por la Compañía como Responsable o Encargado, se dará cumplimiento a los principios y reglas establecidas en la Ley, en la Política y en este Manual. Un principio es una pauta de conducta que debe emplearse para la realización de una actividad. A continuación se describen los principios consignados en la Ley de manera que los empleados de la Compañía puedan darles aplicación: Principio Circulación restringida Confidencialidad Libertad Descripción Los Datos Personales solo pueden ser accedidos y Tratados por aquel personal de la Compañía que cuente con autorización para ello o por quienes dentro de sus funciones tengan a cargo la realización de tales actividades. El Tratamiento deberá someterse a estricta confidencialidad y, por tanto, las personas que intervengan en el mismo deberán mantener la reserva de la información, incluso después de que se haya terminado el vínculo que dio origen al Tratamiento, y aún después de que haya terminado la relación entre el empleado y la Compañía. El Tratamiento requiere la Autorización del Titular, por cualquier medio siempre que pueda ser objeto de consulta posterior. La Autorización puede darse por escrito, verbalmente, o mediante conductas inequívocas siempre que no se trate de Datos Personales Sensibles, según lo establecido por el Decreto La Compañía deberá

8 Tratamiento de Datos Sensibles Finalidad Integridad Seguridad Temporalidad obtener siempre la Autorización del Titular al momento de recolectar u obtener el Dato Personal. Los Datos Sensibles que se recolecten en el desarrollo de las actividades de la Compañía deberán ser tratados con la mayor diligencia para preservar su integridad, acceso restringido y seguridad. Toda actividad de Tratamiento debe obedecer a las finalidades legítimas y mencionadas en la Política de la Compañía, y ser informadas al Titular al momento de obtener su Autorización. El Dato Personal sometido a Tratamiento debe ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de Datos Personales parciales, incompletos, fraccionados o que induzcan a error, la Compañía deberá abstenerse de Tratarlos o buscará maneras para solicitar al Titular la completitud o corrección de la información. La Compañía debe siempre realizar el Tratamiento disponiendo las medidas técnicas, humanas y de seguridad necesarias para mantener la confidencialidad y seguridad de los Datos Personales. La SIC establecerá unos lineamientos en relación con la seguridad de los Datos Personales, éstos de igual manera deberán ser cumplidos. La Compañía no usará los Datos Personales más allá del plazo razonable que exija la finalidad que fue informada al respectivo Titular y llevará a cabo medidas tendientes a garantizar la supresión del Dato Personal cuando éste deje de cumplir la finalidad para la cual fue recolectado. Aun cuando la Ley permita que no haya autorización para la recolección de los datos, la Ley exige que el tratamiento de esos Datos Personales se rija por los demás principios aquí listados en todo momento. 6. PARA QUÉ SE PUEDEN RECOLECTAR Y UTILIZAR LOS DATOS? La Compañía podrá recolectar Datos Personales para dar cumplimiento a las Finalidades del Tratamiento establecidas en la Política de la Compañía. La Política deberá ser modificada, actualizada o reformada cuando las Finalidades del Tratamiento allí inscritas lo ameriten, siempre que sea con antelación a la fecha de entrada en vigencia de las nuevas Finalidades o sus modificaciones. 7. POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN Y AVISO DE PRIVACIDAD

9 Los cambios en las Políticas deberán ser comunicados a los Titulares a más tardar al tardar al momento de implementar las nuevas Políticas. Además, la Compañía deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la Finalidad del Tratamiento. Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. En los casos en los que no sea posible poner a disposición del Titular las Políticas, la Compañía deberá informar por medio de un Aviso de Privacidad al Titular sobre la existencia de tales Políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los Datos Personales. Siempre que la Compañía cuente con terceros que realicen el Tratamiento de Datos Personales de los cuales la Compañía es Responsable, deberá suscribir contratos mediante los cuales tales Encargados se sometan al cumplimiento de la Política de la Compañía. 8. TRATAMIENTO DE DATOS PERSONALES DE MENORES DE EDAD El Tratamiento de Datos Personales de niños, niñas y adolescentes sólo podrá referirse a Datos Públicos y siempre que el Tratamiento (i) responda y respete el interés superior de los niños, niñas y adolescentes y (ii) asegure el respeto de sus derechos fundamentales. Para que la Compañía pueda dar, en estos términos, Tratamiento a Datos Personales de menores, deberá obtener la Autorización del representante legal del niño, niña o adolescente, pero siempre asegurándose de que el menor sea escuchado y se valore la opinión de éste según su madurez, capacidad y autonomía. El Tratamiento de Datos Personales de menores de edad requiere un nivel más elevado de cuidado de parte de la Compañía, en la aplicación de este Manual y el cumplimiento de las Políticas y la Ley. 9. TRANSFERENCIAS Y TRANSMISIONES DE DATOS PERSONALES A TERCEROS EN COLOMBIA Y EN EL EXTERIOR Para realizar una Transferencia de Datos Personales a terceros Responsables ubicados en el exterior, la Compañía deberá haber obtenido la autorización expresa e inequívoca del Titular para el envío al exterior del Dato Personal. Si la Transferencia de Datos Personales es a terceros Responsables ubicados en Colombia, se requerirá que el Titular haya dado su autorización para que el dato circule entre tales terceros.

10 Para realizar una Transmisión de Datos Personales a terceros Encargados ubicados en el exterior, la Compañía deberá haber obtenido la autorización expresa e inequívoca del Titular para el envío al exterior del Dato Personal, a menos que entre la Compañía y el Encargado en el exterior exista un contrato de transmisión de Datos Personales que contenga, por lo menos: - Los alcances de la obligación del Encargado de realizar el Tratamiento de Datos Personales - Las actividades que el Encargado deberá realizar por cuenta de la Compañía para el Tratamiento de los Datos Personales - Las obligaciones del Encargado para con el Titular y la Compañía - La obligación del Encargado de dar cumplimiento a las obligaciones de la Compañía bajo la Política de la Compañía - La obligación del Encargado de realizar el Tratamiento de Datos Personales de acuerdo con las Finalidades autorizadas por los Titulares y con las leyes aplicables - La obligación del Encargado de dar Tratamiento, a nombre del Responsable, a los Datos Personales conforme a los principios que los tutelan - La obligación del Encargo de salvaguardar la seguridad de las Bases de Datos en los que se contengan Datos Personales - La obligación del Encargado de guardar confidencialidad respecto del tratamiento de los Datos Personales. 10. TRANSFERENCIAS Y TRANSMISIONES DE DATOS PERSONALES DE TERCEROS EN COLOMBIA A LA COMPAÑÍA Para recibir Datos Personales de un tercero ubicado en Colombia, la Compañía deberá haberse cerciorado de en qué calidad actúa ese tercero sobre los Datos Personales (si como Responsable o si como Encargado), y si el tercero ha obtenido la Autorización expresa e inequívoca de los Titulares para compartir esa información con la Compañía, y para que la Compañía la use para sus propósitos particulares. El uso que la Compañía haga de esos datos personales estará siempre circunscrito al cumplimiento de la Política de la Compañía, en caso de que la Compañía actúe como Responsable, o a la Política del Responsable remitente de los Datos, en caso de que la Compañía actúe como Encargado. Si la Compañía actúa como Encargado (esto es, rige el Tratamiento de los Datos Personales recibidos conforme a la Política de ese tercero), entonces podrá celebrar, como Encargado, un contrato de transmisión de Datos Personales con ese tercero que contenga, por lo menos: - Los alcances de la obligación del Encargado (la Compañía) de realizar el Tratamiento de Datos Personales

11 - Las actividades que el Encargado (la Compañía) deberá realizar por cuenta de la Compañía para el Tratamiento de los Datos Personales - Las obligaciones del Encargado (la Compañía) para con el Titular y la Compañía - La obligación del Encargado (la Compañía) de dar cumplimiento a las obligaciones de la Compañía bajo la Política de la Compañía - La obligación del Encargado (la Compañía) de realizar el Tratamiento de Datos Personales de acuerdo con las Finalidades autorizadas por los Titulares y con las leyes aplicables - La obligación del Encargado (la Compañía) de dar Tratamiento, a nombre del Responsable, a los Datos Personales conforme a los principios que los tutelan - La obligación del Encargo (la Compañía) de salvaguardar la seguridad de las Bases de Datos en los que se contengan Datos Personales - La obligación del Encargado (la Compañía) de guardar confidencialidad respecto del tratamiento de los Datos Personales. 11. CUÁLES SON LOS DERECHOS QUE SE TIENEN QUE PROTEGER AL REALIZAR EL TRATAMIENTO? Los derechos de los titulares que se deben proteger en todo Tratamiento son los derechos siguientes: a) Conocer, actualizar y rectificar sus Datos Personales frente a la Compañía o los Encargados. Este derecho se podrá ejercer, entre otros, frente a Datos Personales parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. b) Solicitar prueba de la Autorización otorgada a la Compañía, salvo que la Ley indique que dicha Autorización no es necesaria. c) En caso de que se le estén recolectando Datos Sensibles, informarle cuáles tiene ese carácter y a qué tipo de Tratamiento serán sometidos. d) Presentar solicitudes ante la Compañía o el Encargado respecto del uso que le han dado a sus Datos Personales, y a que éstas le entreguen tal información. e) Revocar su Autorización y/o solicitar la supresión de sus Datos Personales de las Bases de Datos de la Compañía, siempre y cuando no exista un deber legal o contractual de permanecer en la respectiva Base de Datos. Si no hay un deber legal o contractual y la Compañía no ha suprimido los Datos Personales de sus Bases de Datos o no ha revocado la Autorización de quien está legitimado para revocarla dentro del término legal para ello, el Titular podrá acudir a la Superintendencia de Industria y Comercio para que exija la revocación de la Autorización y/o la supresión de los Datos Personales. f) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley, previa solicitud de consulta o reclamo ante la Compañía y omisión o silencio de ésta. 12. REGISTRO NACIONAL DE BASES DE DATOS

12 La Compañía seguirá los parámetros que expidan las autoridades competentes para realizar el registro de su Base de Datos ante el Registro Nacional de Base de Datos que será administrado por la Superintendencia de Industria y Comercio y será un directorio público de las bases de datos que operan y están sometidas a la Ley, y que podrán ser consultadas por los ciudadanos de acuerdo con la normatividad pertinente que se expida para dicho efecto. 13. TRÁMITE DE HOMOLOGACIÓN DE ESTÁNDARES DE SEGURIDAD EN LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO Teniendo en cuenta que a la fecha la Superintendencia de Industria y Comercio no cuenta con una lista de países que ofrezcan niveles adecuados de protección de Datos Personales y a los cuales puedan enviarse Datos Personales, se deberá seguir el procedimiento de Declaración de Conformidad relativa a la Transferencia de Datos Personales. Para ello, se enviará una petición a la Superintendencia de Industria y Comercio que deberá contener: a) La designación: Superintendencia de Industria y Comercio. Delegatura de Protección de Datos. b) La identificación del solicitante: nombres y apellidos, documento de identificación y dirección física y electrónica donde se recibirá la correspondencia. c) Objeto de la petición: Declaración de Conformidad del país [ ] con los estándares de protección de Datos Personales para la Transferencia. d) Las razones en las que se fundamenta la petición. e) Si se desea allegar documentos, entonces se deberá establecer la relación entre los requisitos exigidos por la ley y los documentos. f) La firma del solicitante. 14. DEPENDENCIA RESPONSABLE EN LA COMPAÑÍA PARA LA PROTECCIÓN DE DATOS PERSONALES. La Compañía cuenta con una dependencia encargada de la recepción y atención de Peticiones, Quejas y Reclamos relacionados con Datos Personales, denominada Customer Care. La dependencia cuenta con los Analistas Customer Care, quienes de manera específica tramitarán las consultas y reclamaciones en materia de Datos Personales de conformidad con la Ley, el Manual y la Política. Algunas de las funciones particulares de esta área en relación con Datos Personales son: a) Recibir todas las solicitudes de los Titulares, y tramitar aquellas que tengan fundamento en la Ley, en la Política o en este Manual, como por ejemplo, solicitudes de actualización de Datos Personales, solicitudes de conocimiento de sus Datos Personales, solicitudes de modificación, solicitudes de supresión de Datos Personales cuando sea procedente, solicitudes de información sobre el uso dado a sus Datos Personales,

13 solicitudes de actualización de los Datos Personales y solicitudes para obtener prueba de la Autorización. b) Dar respuesta a los Titulares de los Datos Personales sobre aquellas solicitudes que no procedan de acuerdo con la Ley. Datos de contacto de la persona y/o área encargada en la Compañía Dependencia, persona y/o área Customer Care encargada de los asuntos de protección de datos: Dirección física: Av. Cra 45 No Torre 3 Piso 9 Dirección de correo customercareco@columbus.co electrónico: Teléfono: Cargo de la persona de Analistas Customer Care contacto: 15. PROCEDIMIENTOS INTERNOS DE CONSULTAS Y RECLAMOS a. CONSULTAS La Compañía dispondrá de mecanismos para que el Titular y/o los Legitimados, o los representantes de menores de edad Titulares, formulen CONSULTAS respecto de cuáles son los Datos Personales que reposan en las Bases de Datos de la Compañía. Estos mecanismos podrán ser físicos, como trámite de ventanilla, electrónicos, a través del correo electrónico de la Dependencia de Datos Personales de la Compañía. Cualquiera que sea el medio, la Compañía deberá guardar prueba de la consulta y su respuesta. a) Antes de proceder, el responsable de atender la consulta verificará: La identidad del Titular o su Legitimado. Para ello, podrá exigir un documento de identificación del Titular, mecanismos alternos de identificación (preguntas relacionadas con la persona) o las acreditaciones o poderes, según sea el caso. La Autorización o contrato con terceros que dieron origen al Tratamiento por parte de la Compañía, del respectivo Dato Personal. b) Si el solicitante tuviere capacidad para formular la consulta, el responsable de atenderla recopilará toda la información sobre el Titular que esté contenida en el registro individual de esa persona o que esté vinculada con la identificación del Titular dentro de las Bases de Datos de la Compañía. c) El responsable de atender la consulta dará respuesta al solicitante siempre y cuando tuviere derecho a ello por ser el Titular, su causahabiente, su representante y/o apoderado, aquellos que por estipulación a favor de otro o para otro estén legitimados, o el responsable legal en el caso de menores de edad. Esta respuesta deberá ser

14 enviada dentro de los diez (10) días hábiles contados a partir de la fecha en la que la solicitud fue recibida por la Compañía. Esta respuesta será obligatoria aún en los casos en que se considere que el solicitante no tiene capacidad para realizar la consulta, en cuyo caso así se le informará al solicitante y se dará opción de que demuestre el interés y capacidad aportando documentación adicional. d) En caso de que la solicitud no pueda ser atendida a los diez (10) días hábiles, se contactará al solicitante para comunicarle los motivos por los cuales el estado de su solicitud se encuentra en trámite y señalando la fecha en la que se atenderá la consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. Para ello se utilizará el mismo medio o uno similar a aquel mediante el cual fue presentada la consulta. e) La respuesta definitiva a todas las solicitudes no puede tardar más de quince (15) días hábiles desde la fecha en la que la solicitud inicial fue recibida por la Compañía. b. RECLAMOS (VER ANEXO 2) La Compañía dispondrá de mecanismos para que el Titular, sus causahabientes, sus representantes y/o apoderado, aquellos que por estipulación a favor de otro o para otro estén legitimados, o los representantes de menores de edad Titulares, formulen RECLAMOS respecto de (i) Datos Personales Tratados por la Compañía que deben ser objeto de corrección, actualización o supresión, o (ii) el presunto incumplimiento de los deberes de Ley de la Compañía. Estos mecanismos podrán ser físicos, como trámite de ventanilla, o electrónicos, como correo electrónico. Cualquiera que sea el medio, la Compañía deberá guardar prueba de la consulta y su respuesta. a) El RECLAMO deberá ser presentado por el Titular, sus causahabientes, sus representantes y/o apoderado, aquellos que por estipulación a favor de otro o para otro estén legitimados, o los representantes de menores de edad cuando éstos sean Titulares, así: Deberá dirigirse por vía electrónica a la dirección de correo electrónica de Customer Care. Deberá contener el nombre y documento de identificación del Titular. Deberá contener una descripción de los hechos que dan lugar al reclamo y el objetivo perseguido (actualización, corrección o supresión, o cumplimiento de deberes). Deberá indicar la dirección y datos de contacto e identificación del reclamante. Deberá acompañarse por toda la documentación que el reclamante quiera hacer valer. b) Antes de proceder, el responsable de atender el reclamo verificará: La identidad del Titular o su representante. Para ello, puede exigir la cédula de ciudadanía u otro tipo de documento de identificación del Titular y los poderes especiales o generales, según sea el caso.

15 La Autorización o contrato con terceros que dieron origen al Tratamiento. c) Si el reclamo o la documentación adicional están incompletos, la Compañía requerirá al reclamante por una sola vez dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas o complemente la documentación allegada. Si el reclamante no presenta la documentación e información requerida dentro de los dos (2) meses siguientes a la fecha del reclamo inicial, se entenderá que ha desistido del reclamo. d) Si por cualquier hecho la persona que recibe el reclamo al interior de la Compañía no es competente para resolverlo, dará traslado a la Dependencia de Datos Personales de la Compañía dentro de los dos (2) días hábiles siguientes a haber recibido el reclamo. e) Una vez recibido el reclamo con la documentación completa, se incluirá en la Base de Datos de la Compañía donde reposen los Datos Personales sujetos a reclamo una leyenda que diga reclamo en trámite y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Esta leyenda deberá mantenerse hasta que el reclamo sea decidido. f) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. c. SUPRESIÓN. Cuando el reclamo verse específicamente sobre una solicitud de supresión del Dato Personal, la Compañía empleará las medidas necesarias a su alcance para asegurarse que el Dato Personal sea efectivamente suprimido de las Bases de Datos. a) La solicitud de SUPRESIÓN o ELIMINACIÓN del Dato Personal deberá ser presentada por el Titular, Legitimados, o los representantes de menores de edad cuando éstos sean Titulares, así: Deberá dirigirse por vía electrónica a la dirección de correo electrónico de Customer Care Deberá contener el nombre y documento de identificación del Titular. Deberá contener una descripción de los hechos que dan lugar al reclamo y el objetivo perseguido. Especialmente, debe contener una breve descripción justificando que no hay ningún deber contractual o legal que prohíba o limite que el Dato Personal pueda ser eliminado de las Bases de Datos. Deberá indicar la dirección y datos de contacto e identificación del reclamante. Deberá acompañarse por toda la documentación que el reclamante quiera hacer valer.

16 b) La supresión de Datos Personales procederá cuando la eliminación no obstaculice, actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. c) En caso de proceder la solicitud de supresión y eliminación de Datos Personales, teniendo en cuenta que no hay un deber legal ni contractual que limite la posibilidad del Titular de elevar dicha solicitud, el encargado de la Base de Datos y los empleados de la Compañía que tengan acceso al sistema, deberán eliminar los Datos Personales desde su raíz. Se asegurarán que no queden archivos ocultos, mirrors o cualquier otro dato en el sistema que haga referencia a los Datos Personales. d) Internamente se nombrará una persona que hará un proceso de verificación, con el objetivo de establecer si queda algún residuo del Dato Personal. Este proceso de verificación se hará por medio de buscadores dentro del sistema y dentro de las Bases de Datos de la Compañía. Si el responsable de llevar a cabo el proceso de verificación encuentra rastros del Dato Personal cuya supresión se solicitó, deberá eliminarlo del sistema inmediatamente. e) Una vez se haya llevado a cabo el proceso de verificación, se le entregará al Titular una certificación de que la Compañía ha realizado la supresión y el alcance de la misma (en caso de que la solicitud no recaiga sobre la totalidad de los Datos Personales que reposan en las Bases de Datos de la Compañía). 16. RESPONSABILIDAD DEMOSTRADA La Compañía llevará a cabo sus mejores esfuerzos para realizar capacitaciones, entrenamientos y sensibilización a los empleados relevantes y cercanos al Tratamiento y a aquellos que hacen parte de la dependencia responsable del Tratamiento y de las quejas, consultas y reclamos que se presenten en materia de protección de Datos Personales. Para ello, se incluirá en el Plan de Capacitación Anual de la Compañía lo relativo a la protección de Datos Personales. De igual manera, la Compañía se encargará de la adopción e implementación de este Manual y la Política, de una manera proporcional al tamaño y volumen de los Datos Personales que se están manejando, el tipo de Tratamiento que se está llevando a cabo y las finalidades del Tratamiento. Esta implementación comprende labores de sensibilización, entrenamientos, comunicaciones y otras actividades dirigidas a la adopción y cumplimiento del Manual y las Políticas. 17. VIGENCIA Y TEMPORALIDAD Este Manual empezará a regir junio 28 de Los Datos Personales que sean almacenados, utilizados o transmitidos permanecerán en las Bases de Datos de la Compañía, con base en el criterio de temporalidad, durante el tiempo que sea necesario para las finalidades mencionadas en este Manual, para las cuales fueron recolectados.

17 1. ANEXOS ANEXO 1. FLUGRAMA DE CONSULTAS

18 ANEXO 2: FLUJOGRAMA DE RECLAMOS