SIMIT OCCIDENTE S.A. POLÍTICA DE TRATAMIENTO DE BASES DE DATOS PERSONALES.

Transcripción

1 SIMIT OCCIDENTE S.A. POLÍTICA DE TRATAMIENTO DE BASES DE DATOS PERSONALES. I. CONSIDERACIONES. PRIMERA.- SIMIT OCCIDENTE S.A., es una Compañía prestadora de servicios de elaboración, desarrollo, actualización y puesta en marcha de portales de internet y otras redes, por medio de las cuales efectúa compra, venta, intermediación, representación, suministro de productos y servicios del sector de tránsito y transporte y los conexos al mismo, esto a través del sistema de transacción electrónica, telemática y otros compatibles. SEGUNDA.- Hace parte de las políticas de SIMIT OCCIDENTE S.A., adecuar el desarrollo de su objeto social a la Constitución Política, en especial al artículo 15 que protege la intimidad personal, familiar y buen nombre, consagrándose en el Derecho al Habeas Data y, el artículo 20 Ibídem que promueve la libertad de informar y recibir información veraz. TERCERA.- Que la ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013, se crearon con el fin de promover la protección a los datos personales, familiares y buen nombre de las personas y, SIMIT OCCIDENTE S.A. en cumplimiento de su obligación legal ha adoptado dichas normas por medio de la presente Convención. CUARTA.- Que las principales actividades comerciales de SIMIT OCCIDENTE S.A., son la prestación del servicio de mediación para el almacenamiento y tratamiento de datos de las Secretarias de Transito de sur occidente Colombiano, por esta razón, en ejecución de su objeto social, es encargado del tratamiento de los datos recolectados por las autoridades de tránsito. QUINTA.- Que es deber de los accionistas, cuerpo administrativo y técnico, trabajadores, contratistas y clientes de SIMIT OCCIDENTE S.A. y, de toda persona

2 natural o jurídica que tenga o llegaré a tener relaciones civiles, comerciales o de cualquier tipo con la Compañía, acatar y hacer cumplir cada uno de los puntos que desarrolla la presente Convención y los protocolos que de ella se desprenden. SEXTA.- Consecuencia de todo lo anterior y por la naturaleza de su actividad económica, SIMIT OCCIDENTE S.A, es una sociedad que se encuentra adscrita a la Federación Colombiana de Municipios y, por la naturaleza de su objeto social, debe cumplir lineamientos establecidos por las Autoridades de Tránsito del País, los cuales cumple con estricto rigor. SÉPTIMA.- Dada la naturaleza de la actividad económica de la Compañía, ésta gestiona SIN MODIFICAR, datos personales de carácter público, por ser el encargo que le han otorgado contractualmente las autoridades de tránsito terrestre del país. OCTAVA.- Es deber de SIMIT OCCIDENTE S.A., procurar y promover la protección de datos personales y/o sensibles, y salvaguardar las bases de datos que en desarrollo de su actividad comercial se contengan dentro de la Compañía, para ello se adoptan las políticas estipuladas en el presente documento y los protocolos que de ella se desprenden. II. OBJETO El objeto de las presentes políticas de tratamiento de bases de datos personales y/o sensibles es, adoptar e implementar los lineamientos constitucionales, legales y normativos que componen el ordenamiento jurídico nacional e internacional para la protección de datos de carácter personal y/o sensible que sean objeto de tratamiento de las actividades que comprenden el objeto social de la Compañía. Los puntos desarrollados en la presente Convención dan cumplimiento a lo dispuesto en el artículo 15 y 20 de la Constitución Política, la ley 1581 de 2012, el Decreto 1377 de 2013 y a estándares internacionales, en cuanto a la protección de datos personales y/o sensibles, garantizando a los socios, directivos, trabajadores, contratistas, clientes y en general a todo el personal relacionado con SIMIT OCCIDENTE S.A. y la comunidad, del derecho que les asiste a la información, la intimidad y ejercicio del habeas data, de manera que se pueda prevenir su vulneración.

3 III. DESTINATARIOS DE LA CONVENCIÓN. La Implementación de la presente Convención y los protocolos que de ella se desprenden, serán de aplicación obligatoria para todos los procesos comerciales, administrativos, técnicos, productivos y organizacionales de SIMIT OCCIDENTE, por tanto deberá ser cumplida a cabalidad por: i. Representantes Legales y/o administradores de SIMIT OCCIDENTE S.A. ii. Personal interno o externo SIMIT OCCIDENTE, directivos o no, que custodien y traten bases de datos de carácter personal. iii. Contratistas y personas naturales o jurídicas públicas o privadas que presten sus servicios a SIMIT OCCIDENTE bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice algún tratamiento de datos de carácter personal y/o Sensible. iv. Contratistas y personas naturales o jurídicas públicas o privadas a las que SIMIT OCCIDENTE S.A. preste sus servicios de tratamiento de información de carácter personal y/o sensible bajo cualquier tipo de modalidad contractual. v. Los socios, contadores, asesores jurídicos y aquellas otras personas con las cuales exista una relación legal contractual o estatutaria. vi. Personas naturales o jurídicas (públicas y privadas) en condición de usuarios de los datos personales y/o sensibles. vii. Aliados comerciales de SIMIT OCCIDENTE S.A. viii. Colaboradores de la Compañía. ix. Las demás personas que establezca la ley. IV. CONCEPTOS. i. Base de datos personales. Conjunto de datos ordenado y sistemático que contiene información de carácter personal ya sea nombres, apellidos, identificación, teléfonos, direcciones, correos electrónicos, genero, edad, fecha de nacimiento y cualquier otro atributo conceptual referente a una persona física o jurídica.

4 ii. iii. iv. Base de datos sensibles. Conjunto de datos ordenado y sistemático que contiene información sensible de los usuarios, como por ejemplo condición política, menores de edad, agremiación, tendencia sexual y/o religiosa. Base de datos públicos. Conjunto de datos ordenado y sistemático que contiene información pública de personas naturales y/o jurídicas. Base de datos automatizada. Conjunto de datos ordenado, estructurado y sistematizado que utiliza medios tecnológicos para operar, actualizar, eliminar, analizar las bases de datos. v. Base de datos no automatizada. Conjunto de datos ordenado en medio analógico para ser operado, actualizado, analizado o convertido en medios digitales. vi. vii. viii. ix. Cesión de datos. Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario. Custodio de la base de datos. Es la persona física que tiene bajo su custodia la base de datos personales al interior de SIMIT OCCIDENTE S.A., es decir Mario José Zambrano en calidad de Jefe de Operaciones de la Compañía. Dato personal. Se define como cualquier dato y/o información que identifique total o parcialmente a una persona física, este tipo de dato puede ser alfanumérico, numérico, grafico, biométrico, auditivo, o cualquier otro que permita su tratamiento. Dato sensible: Se define como cualquier dato de carácter personal y privado acerca de una persona física como por ejemplo orientación sexual, religiosa, política;

5 información médica, clínica o toxicológica e información relativa a menores de edad. x. Dato Público: Se define como cualquier dato que ha sido dispuesto en documentos de carácter público como los datos relativos al estado civil de las personas, su profesión u oficio, y a su calidad de comerciante o servidor público. Por su naturaleza que se encuentran contenidos en general en gacetas, directorios, certificados, entre otros. En razón a la ejecución de la actividad social de la Compañía, SIMIT OCCIDENTE S.A., custodia bases de datos de carácter público, tales como, registro de multas de tránsito y relación de vehículos terrestres, cuyo tratamiento se rige no sólo por lo establecido con la presente convención, sino también por los lineamientos exigidos por las autoridades de tránsito municipales xi. xii. xiii. Responsable del Tratamiento : Es la persona natural o jurídica, de naturaleza pública o privada que recolecta los datos personales y decide sobre la finalidad, contenido de los mismos, los gestiona y tiene bajo su custodia; quien es el responsable directo de la recolección de los datos personales tratados por SIMIT OCCIDENTE S.A., es la Autoridad de Tránsito correspondiente. Encargado del Tratamiento ento: Es la persona natural o Jurídica, autoridad pública o privada, que por sí misma o en asocio con otros, realice tratamiento de datos personales y/o sensibles por cuenta de un responsable. Fuentes Accesibles al Público: Se refiere a aquellas bases de datos de información personal que puede ser consultada por cualquier persona, que pueden o no incluir el pago de una contraprestación a cambio de un servicio de acceso a datos. Tienen esta condición de fuentes accesibles al público los directorios telefónicos, los directorios de industria y comercio, los directorios sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general.

6 xiv. xv. xvi. xvii. xviii. xix. Habeas Data: Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable. Consagrado en el artículo 15 de la Constitución Política de Colombia. Procedimiento de análisis y creación de Información: Es el conjunto de pasos para el análisis y creación de información respecto a una persona, a partir de información recolectada con las debidas autorizaciones, con fines de analizar y extraer perfiles o hábitos de comportamiento, que generan valor agregado sobre la información del titular de cada dato personal. Principios para el tratamiento de datos: Son las reglas fundamentales, de orden legal, que inspiran y orientan el tratamiento de los datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales y el derecho a la información. Tenedor de la base de datos. Dentro de los procesos de negocios de SIMIT OCCIDENTE, es tenedor de la base de datos, el área que tiene bajo su responsabilidad el tratamiento de los mismos, los gestiona y tiene bajo su custodia. Titular del dato. Es la persona a la cual pertenece el dato en sí mismo y sobre el cual se realiza algún tipo de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente. Tratamiento de Datos:

7 xx. xxi. Se determina a cualquier operación de análisis, actualización, modificación, de carácter automatizado o manual, digital o análogo, sobre los datos personales tales como la recolección, grabación, digitación, almacenamiento, conservación, uso, análisis, circulación, bloqueo, cancelación, supresión entre otros. Usuario: Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal. Actividad de naturaleza pública: Se definen como todas las actividades realizadas por un estamento Público que pueden ser delegadas a un particular para su aplicación, ejecución y/o Tratamiento en nombre de dicho estamento. Tal como se ha manifestado en la presente política de tratamiento de bases de datos, SIMIT OCCIDENTE S.A., por encargo de la Federación Colombiana de Municipios, es encargado del tratamiento de datos personales de las Autoridades de Tránsito del Suroccidente colombiano, tal como consta en el contrato de concesión número 180 de xxii. xxiii. Violación de datos personales: Violación de datos personales. Es el delito consagrado en la ley 1273 de 2009, contenido en el Artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Aliados Comerciales Persona natural o jurídica con la cual se desarrollan actividades en conjunto con SIMIT OCCIDENTE para la elaboración, comercialización o venta de los servicios contemplados dentro del objeto social de las Compañías Aliadas. V. SIGLAS UTILIZADAS.

8 i. OT: Organismo de Tránsito ii. FCM: Federación Colombiana de Municipios iii. STTM: Secretaria de Tránsito y Transporte Municipal VI. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES Y/O SENSIBLES. El desarrollo, interpretación y aplicación de las medidas de tratamiento y protección de datos personales y/o sensibles de SIMIT OCCIDENTE consignadas en esta Convención, se aplicarán, de manera armónica con el ordenamiento jurídico en materia de protección a datos personales y con los siguientes principios: i. Integridad. SIMIT OCCIDENTE se regirá siempre bajo los marcos éticos de la Compañía, promoviendo la salvaguarda de los derechos humanos, en especial aquellos que tienen relación con la protección a la intimidad, el ejercicio del habeas data y la libertad de información. ii. iii. iv. Confidencialidad. SIMIT OCCIDENTE y todas las personas de carácter natural, jurídicas públicas o privadas, con las que tenga relación en desarrollo de las actividades comerciales, administrativas y laborales que intervengan en el tratamiento de datos personales y/o sensibles, están obligados a garantizar la reserva de la información. Principio de Libertad. La información de carácter personal y/o sensible estará siempre sujeta a revisión, modificación, cancelación y exclusión de las bases de datos de SIMIT OCCIDENTE por parte de los usuarios o cuando ésta advierta que se está violando o se encuentra en peligro algún derecho fundamental del titular. Legalidad. El tratamiento de la información en la Compañía, estará sujeto a lo consagrado en la Constitución Política, en la ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demás normas nacionales e internacionales que regulen la protección de datos personales y/o sensibles. v. Consentimiento informado. El tratamiento de la información sólo podrá realizarse por consentimiento previo, expreso e informado del titular, para lo cual el

9 responsable de la información deberá certificar dicho consentimiento por medio de los protocolos establecidos por la Compañía. vi. vii. viii. ix. Finalidad del Dato. El tratamiento de la información personal y/o sensible deberá obedecer una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular por SIMIT OCCIDENTE en los casos que sea responsable de la información y, por el responsable de la información en los casos que SIMIT OCCIDENTE sea encargado de la misma, en este caso la correspondiente Autoridad de Tránsito Calidad o veracidad del dato. La información personal y/o sensible de la cual SIMIT OCCIDENTE sea responsable debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. En los casos en que SIMIT OCCIDENTE sea encargada de la información es obligación del responsable, es decir la Autoridad de Tránsito que corresponda, certificar que los datos cumplen con dichas condiciones. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Disponibilidad. El titular de la información podrá en cualquier momento y sin restricciones obtener información acerca de sus datos de que SIMIT OCCIDENTE sea responsable o encargada. Acceso y Circulación Restringida. Los datos personales y/o sensibles que reposen en las bases de datos de SIMIT OCCIDENTE serán usados por ella sólo en el ámbito de la finalidad y autorización concedida por el titular del dato personal o cuando el responsable de la información lo certifique; por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros sin previa autorización del titular o responsable. Consecuencia que la información contenida en las bases de datos en las que SIMIT OCCIDENTE S.A. es encargado de su tratamiento, son de naturaleza pública, esta podrá estar disponible en internet, únicamente bajo los lineamientos que establezca la Autoridad de Tránsito correspondiente y la Federación Colombiana de Municipios x. Temporalidad del dato.

10 Agotada la finalidad de la actividad para la cual fue recolectado y/o tratado el dato personal y/o sensible, SIMIT OCCIDENTE deberá cesar en su uso y por ende adoptará las medidas de seguridad pertinentes a tal fin, excepto en los casos en los cuales el responsable de la información autorice que se conserve dicha información en las bases de datos de SIMIT OCCIDENTE S.A. xi. xii. VII. Seguridad del Dato. SIMIT OCCIDENTE, en calidad de responsable o encargado del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, confidencialidad y disponibilidad de los datos personales y/o sensibles; las cuales estarán desarrolladas en protocolos que se implementarán en el desarrollo de cualquier actividad de carácter comercial, administrativa u organizacional y, serán de obligatorio cumplimiento. Protección especial e de datos sensibles. conforme la clasificación de los datos personales, SIMIT OCCIDENTE implementará medidas de seguridad de nivel alto, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento de datos s de carácter sensible, en caso que los hubiere. DERECHOS DE LOS TITULARES DE LOS DATOS i. Derecho de Acceso. El titular de la información podrá en cualquier momento acceder de forma gratuita a los datos a su nombre que hayan sido objeto de tratamiento; lo anterior sin perjuicio de los lineamientos establecidos por las Autoridades de Tránsito que corresponda. ii. iii. Derecho de Actualización. Podrá el titular de la información personal y/o sensible en cualquier momento solicitar la actualización sus datos cuando éstos hayan tenido alguna modificación; lo anterior sin perjuicio de los lineamientos establecidos por las Autoridades de Tránsito que corresponda. Derecho de Rectificación. Podrá el titular en cualquier momento solicitar la modificación de los datos que resulten ser inexactos, incompletos o inexistentes, en aquellos casos en que la información personal y/o sensible del titular sea objeto de una actividad de naturaleza pública y los que dicte la Ley, dicha

11 modificación estará sujeta a los lineamientos establecidos por la Autoridad de Tránsito correspondiente. iv. Derecho de Cancelación. Podrá el titular del dato solicitar la cancelación de sus datos personales y/o sensibles o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas; lo anterior sin perjuicio de los lineamientos establecidos por las Autoridades de Tránsito que corresponda. v. Derecho a la Revocatoria del Consentimiento. Podrá en cualquier momento el titular de los datos personales y/o sensibles revocar el consentimiento o la autorización que habilita a SIMIT OCCIDENTE S.A. o al Responsable de la información para un tratamiento con determinada finalidad; con excepción de los casos en que la información personal y/o sensible del titular sea objeto de una actividad de naturaleza pública o judicial y los que dicte la Ley. vi. vii. viii. Derecho de Oposición. Podrá el titular del dato oponerse al tratamiento de sus datos personales y/o sensibles, excepto en los casos en que el dato sea utilizado para una actividad de naturaleza pública o judicial y en los casos que dicte la Ley. Derecho a presentar Quejas y Reclamos o a ejercer Acciones. Podrá en cualquier momento el titular del dato personal y/o sensible presentar ante SIMIT OCCIDENTE S.A., la Superintendencia de Industria y Comercio, o la entidad que fuera competente, quejas y reclamos, así como las acciones que resultaren pertinentes, para la protección de sus datos. Derecho a otorgar Autorización para el tratamiento de datos. De manera excepcional, esta autorización no será requerida en los siguientes casos: a. Cuando sea solicitada por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial. b. Cuando se trate de datos de naturaleza pública. c. Cuando se trate de datos personales y/o sensibles en desarrollo de una actividad pública. d. En casos de emergencia médica o sanitaria.

12 e. Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. f. Cuando se trate de datos personales relacionados con el Registro Civil de las personas. VIII. DEBERES DE LOS DESTINATARIOS DE ESTA NORMA RESPECTO DE LAS BASES DE DATOS CUANDO OSTENTEN LA CALIDAD DE RESPONSABLES Y ENCARGADOS. i. Encargados del Tratamiento. a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente Convención y la ley. d) Actualizar la información reportada por los Responsables del Tratamiento dentro de las veinticuatro (24) horas hábiles siguientes contadas a partir de su recibo, siempre y cuando se constate la veracidad del dato en concordancia con el principio de calidad o veracidad del dato consignado en la presente convención. e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en el presente documento y en la ley. f) Registrar en la base de datos la leyenda "reclamo en trámite" en la forma en que se regula en la presente Convención y la ley. g) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. h) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o por la autoridad de Tránsito Correspondiente; lo anterior sin perjuicio de lo ordenado en el contrato de concesión número 180 de 2002, en concordancia con lo manifestado en las consideraciones de este documento. i) Permitir el acceso a la información únicamente a las personas que estén debidamente autorizadas en este documento o por Gerente.

13 j) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. k) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio, la Federación Colombiana de Municipios y la Autoridad de Tránsito correspondiente. l) Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos que contengan datos personales y/o sensibles. m) Gestionar de manera segura las bases de datos que contengan datos persones y/o sensibles. n) Llevar un registro central de las bases de datos que contengan información de datos personales y/o sensibles que comprendan el historial de su creación, tratamiento de la información y cancelación de datos personales y/o sensibles. o) Gestionar de manera segura el acceso a las bases de datos de información personal contenidos en las bases de datos. i. Responsables de los Datos. a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar, en las condiciones previstas en la presente norma y en la ley, copia de la respectiva autorización otorgada por el Titular. c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

14 g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento. h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en este documento y en la ley. i) Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. j) Tramitar las consultas y reclamos formulados en los términos señalados en esta Convención y en la ley. k) Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos que contengan datos personales y/o sensibles. l) Gestionar de manera segura las bases de datos que contengan datos persones y/o sensibles. m) Llevar un registro central de las bases de datos que contengan información de datos personales y/o sensibles que comprendan el historial de su creación, tratamiento de la información y cancelación de datos personales y/o sensibles. n) Gestionar de manera segura el acceso a las bases de datos de información personal contenidos en los sistemas de información. IX. POLÍTICA INSTITUCIONAL La presente Convención hace parte de las Políticas Institucionales de SIMIT OCCIDENTE S.A. y lo contenido en ella será de obligatorio cumplimiento por todo el personal directivo, administrativo, operativo y, cualquier persona natural o jurídica con la cual tenga o llegare a tener relación la Compañía. X. MEDIDAS DE SEGURIDAD PARA LA PROTECCIÓN DE DATOS PERSONALES Y/O SENSIBLES. i. Protección de Datos: SIMIT OCCIDENTE S.A. maneja la información del usuario (titular) con los niveles máximos de seguridad posibles en un sistema automatizado de tratamiento de datos. La información del usuario se incorpora a bases de datos y archivos propiedad de la

15 Federación Colombiana de Municipios y sólo son accedidos por las Autoridades de Transito correspondientes. La información del usuario se almacena en los servidores de la Federación Colombiana de Municipios y se conserva en el entorno más seguro posible, con todo tipo de medidas de seguridad física y tecnológica, por lo que se trata con la más absoluta confidencialidad. ii. Seguridad de la información. SIMIT OCCIDENTE S.A. ha empleado todos los sistemas y medidas técnicas a su alcance para evitar la pérdida, mal uso, alteración, acceso no autorizado y sustracción de los datos facilitados por la Autoridad de Tránsito Correspondiente. XI. ÁREA RESPONSABLE DE LA ATENCIÓN, CONSULTAS Y RECLAMOS DE LOS TITULARES DE LA INFORMACIÓN Estará encargado de la gestión de protección de datos personales y, será responsable del trámite que se le dé a la atención de consultas y reclamos de los titulares de la información el Dr. Mario José Zambrano en calidad de Jefe de Operaciones de SIMIT OCCIDENTE S.A. SIMIT OCCIDENTE S.A. realizará auditorias para evaluar el cumplimiento de los lineamientos normativos que en esta Convención se establecen y los protocolos que de ella se desprenden. XII. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION, CANCELACION Y OPOSICION DE LOS TITULARES DE LOS DATOS El titular de la información podrá modificar sus datos personales, siempre y cuando SIMIT OCCIDENTE S.A. sea responsable de la información, en cualquier momento, enviando un correo electrónico a la siguiente dirección electrónica: servicioalcliente@simitoccidente.com; solicitando, dar de alta, modificar y/o dar de baja los datos personales que hubieran ingresado en la base de datos. Una vez recibido el correo y comprobado que los datos son reales, se procederá a ejecutar las acciones solicitadas por el usuario en un lapso no mayor a cuarenta y ocho (48) horas, contadas a partir de la confirmación de la información. Si la solicitud del usuario es darse de baja de la base de datos, SIMIT OCCIDENTE S.A., garantizará que

16 todos sus datos serán eliminados por completo de nuestros registros y que bajo ningún procedimiento técnico o informático, podrán ser recuperados. Lo anterior, no será aplicable en los casos que SIMIT OCCIDENTE S.A. sea encargado de la información, consecuencia que el tratamiento de dichas bases de datos se encuentran regulado por la Autoridad de Tránsito correspondiente y por la Federación Colombiana de Municipios, es decir, son datos que son considerados de carácter público. XIII. SANCIONES. Es deber del personal que detente relación directa o indirecta con SIMIT OCCIDENTE, salvaguardar la información contenida en las bases de datos, seguir los protocolos de seguridad e informar cualquier novedad que se desprenda del manejo éstos, de lo contrario, le será imputable a título personal, sanción grave, en especial lo relacionado con el artículo 269F de la ley 599 de 2000 (Código Penal), y el literal a del artículo 23 de la ley 1581 de 2012, eximiendo a SIMIT OCCIDENTE S.A. de cualquier multa o sanción penal. Artículo 269F. Ley 599 de 2000 (Código Penal): El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Lit. A. Artículo 23. Ley Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó. XIV. CAMBIOS EN LA POLÍTICA DE SEGURIDAD Y PROTECCIÓN DE DATOS.

17 SIMIT OCCIDENTE S.A. se reserva el derecho de modificar su política de seguridad y protección de datos de forma discrecional, siempre con arreglo a la legislación vigente en materia de protección de datos, con efectos de la fecha de publicación de dicha modificación en el sitio Web de la institución. XV. VIGENCIA. Esta Convención ha sido adoptada de acuerdo a la normatividad legal de protección de datos personales, cualquier incongruencia entre la Convención y la Ley, se aplicará lo previsto en el ordenamiento Jurídico, en especial en aquellos casos en los cuales se pueda ver vulnerado un derecho fundamental. Entra en vigencia en la Compañía desde el primero (1) de diciembre del año 2015