Políticas de tratamiento de la información Londoño Gómez S.A.S.

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN LONDOÑO GÓMEZ S.A.S. Y SOCIEDADES ALIADAS

I. GENERALIDADES.

Londoño Gómez S.A.S. (en adelante la “Sociedad”) es una empresa comercial colombiana, domiciliada en la ciudad de Medellín, debidamente constituida y registrada en la Cámara de

Comercio de Medellín para Antioquia, identificada con el NIT. 890.912.140-6, dedicada la prestación de servicios inmobiliarios, tales como gerencia, promoción, interventoría, desarrollo y venta de

proyectos inmobiliarios; así como a la venta, administración y arrendamiento de inmuebles usados. En tal sentido, y en razón del objeto social que desarrolla, la Sociedad recibe, recolecta y/o accede a

Datos Personales, bien sea directamente de sus titulares o a través de terceros con los cuales tiene suscritos convenios para el tratamiento de Datos Personales.

Adicionalmente, la Sociedad cuenta con convenios o contratos para el tratamiento de Datos Personales con varios de sus Aliados Estratégicos (en adelante las “Sociedades Aliadas”). Por tal motivo, cuando en la presente política se haga referencia a la Sociedad, se entenderán así mismo incluidas las Sociedades Aliadas.

Esta política se aplicará a todas las bases de datos tanto físicas como digitales, que contengan Datos Personales y que sean objeto de Tratamiento por parte de la Sociedad, considerada como responsable o Encargada del Tratamiento.

1.1 Propósito de la Política.

El propósito principal de esta Política es poner en conocimiento de los Titulares de los Datos Personales (i) el alcance y la finalidad del Tratamiento al cual serán sometidos los Datos Personales una vez otorguen su autorización expresa, previa e informada; (ii) los derechos que les asisten, los canales, procedimientos y mecanismos dispuestos por la Sociedad para ejercerlos; y (iii) las personas autorizadas dentro de la Sociedad para atender las consultas, quejas y reclamos, relacionados con el Tratamiento de sus Datos Personales, con el fin de proporcionar los lineamientos necesarios para el cumplimiento de las obligaciones legales en materia de protección de Datos Personales.

1.2 Alcance de la Política.

La presente Política de Tratamiento de la Información aplica y es de carácter obligatorio para los todos

los Datos Personales que sean tratados de cualquier manera por la Sociedad, y/o por terceros con los que la Sociedad acuerde en todo o en parte la realización de cualquier actividad relacionada con el Tratamiento de Datos Personales registrados en las bases de datos de la Sociedad.

1.3 Definiciones.

El significado de las siguientes expresiones es el contenido en la Ley Estatutaria 1581 de 2012 y su Decreto Reglamentario 1377 de 2013:

1

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

  • Aviso de privacidad: Comunicación verbal o escrita generada por el responsable y dirigida al Titular, mediante la cual se le informa acerca de la existencia de la Política de Tratamiento de Información que le será aplicable, la forma de acceder a la misma y las finalidades del Tratamiento que se pretende dar sus los Datos Personales.

  • Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso.

    • Calidad del Dato: Los Datos Personales sometidos a tratamiento deberán ser veraces,

completos, exactos, actualizados, comprobables y comprensibles. Cuando se esté en poder de Datos Personales parciales, incompletos, fraccionados o que induzcan a error, la Sociedad deberá abstenerse de someterlos a Tratamiento, o solicitar a sus titulares la completitud o corrección de la información.

  • Circulación Restringida: Los Datos Personales sólo serán tratados por aquel personal de Sociedad o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse Datos Personales a quienes no cuenten con autorización o no hayan sido habilitados por la Sociedad para tratarlos.

  • Confidencialidad: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.

  • Datos Financieros: Es todo Dato Personal referido al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, cuyo Tratamiento se rige por la Ley 1266 de 2008 o las normas que la complementen, modifiquen o adicionen.

  • Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

  • Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines

oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

• Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

2

• Derecho de los Niños, Niñas y Adolescentes: En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.

  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del responsable del Tratamiento.

  • Información Digital: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.

  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

  • Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

  • Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia envía la información de los Datos Personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

  • Transmisión: Tratamiento de Datos Personales que implica la comunicación a un tercero de los mismos dentro o fuera del territorio de la República de Colombia, cuando dicha comunicación tenga por objeto la realización de un Tratamiento por el Encargado en nombre y por cuenta del responsable, para cumplir con las finalidades de este último.

  • Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

1.4 Nuestro compromiso.

El Tratamiento y custodia de los Datos Personales por parte de la Sociedad, en su condición de Responsable y/o Encargado del tratamiento, según el caso, se hará de acuerdo con las finalidades, principios y obligaciones contenidos en la presente Política y previstos en las leyes colombianas y demás que normas aplicables en la materia.

II. FINALIDADES DEL TRATAMIENTO.

En desarrollo de su objeto social, la Sociedad podrá Recolectar, Almacenar, Usar, Transferir, Transmitir, y en general, realizar cualquier actividad u operación (Tratamiento) sobre los Datos Personales de sus clientes, proveedores, accionistas, empleados, personas aspirantes a desempeñar algún cargo en la Sociedad, personal retirado y demás terceros relacionados con la Sociedad, que hayan autorizado de manera previa, expresa e informada el tratamiento de sus Datos Personales.

3

La Sociedad realizará el Tratamiento de los Datos Personales para las finalidades informadas al momento en que el Dato Personal sea recolectado y siempre que hayan sido expresamente autorizadas por el Titular, tales como:

a. Mantener actualizado el registro de la información de los empleados, proveedores, clientes y demás, en la base de datos de la Sociedad.

b. Cumplir con las obligaciones tributarias, laborales, contractuales, comerciales, corporativas, contables y demás, a cargo de la Sociedad.

  1. Atender peticiones, quejas, reclamos y sugerencias (PQRS).

  2. Verificar la información jurídica, financiera y técnica de los Titulares, en los diferentes procesos administrativos, contractuales o comerciales adelantados por la Sociedad.

c. Transmitir o Transferir Datos Personales a terceros para fines comerciales, administrativos y/u

operativos, de acuerdo a las disposiciones legales vigentes.

d. Elaborar estudios técnico-actuariales, estadísticas, encuestas, análisis de tendencias de mercado, sobre los productos y servicios ofrecidos por la Sociedad.

e. Enviar información comercial y/o de mercadeo.

  1. Con propósitos de seguridad y prevención de actividades ilícitas como el fraude, la corrupción, el lavado de activos y/o la financiación del terrorismo, incluyendo, pero sin limitarse a la consulta en listas vinculantes, restrictivas y bases de datos públicas.

  2. Suministrar los Datos Personales a las autoridades de control y vigilancia, ya sean administrativas, de policía, judiciales, nacionales o internacionales.

  3. Cualquier otra finalidad que llegare a resultar en desarrollo de la relación comercial o contractual que vincule a la Sociedad con el Titular de la información, o que se determine en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley.

III. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES.

De acuerdo con Nuestro Compromiso, establecido en el numeral 1.4 de esta Política, el Tratamiento de los Datos Personales por parte de la Sociedad y/o de terceros en calidad de Encargados del

Tratamiento, se hará en cumplimiento de la normatividad aplicable y de acuerdo con los principios enunciados a continuación:

a. Acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de la Constitución y de la ley. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley; Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente

4

controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.

  1. Confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley. A la terminación de dicho vínculo, los Datos Personales deben continuar siendo Tratados de conformidad con esta Política y con la Ley.

  2. Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la constitución

y la ley, la cual debe ser informada al Titular al momento de obtener su Autorización. Los Datos Personales no podrán ser Tratados por fuera de las finalidades informadas y consentidas por los Titulares.

  1. Interpretación integral de los derechos constitucionales: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

  2. Legalidad: El Tratamiento a que se refiere la Ley 1581 de 2012 y sus Decretos Reglamentarios 1377 de 2013 y 886 de 2014, es una actividad reglada que debe sujetarse a lo establecido en dichas disposiciones y en las demás que las modifiquen o desarrollen.

  3. Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

g. Necesidad: Los Datos Personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

h. Temporalidad: La Sociedad no usará la información del Titular más allá del plazo razonable que exija la finalidad que fue informada al Titular, y en la medida que el propósito de su Tratamiento lo justifique. Una vez cumplida la o las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, se procederá con la supresión. No obstante lo anterior, los Datos Personales deberán ser conservados cuando así se requiera para el cumplimiento de una

obligación legal o contractual.

i. Transparencia: Se deberá garantizar al Titular el derecho a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Lo anterior, de conformidad con lo establecido en el numeral VIII de esta Política.

j. Seguridad: Los Datos Personales serán Tratados con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, uso o acceso no autorizado o fraudulento.

5

k. Veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error; en este caso la Sociedad podrá solicitar al Titular que complete o corrija la información.

IV. TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES

La Sociedad podrá transferir y transmitir los Datos Personales a terceros con quienes suscriba convenios o contratos para el tratamiento de Datos Personales, en los cuales se indicará como mínimo:

  1. El alcance del tratamiento;

  2. Las actividades que el Encargado del Tratamiento realizará por cuenta del Responsable para el tratamiento de los Datos Personales;

  3. Las obligaciones del Encargado del Tratamiento para con el Titular de los Datos Personales y el Responsable;

  4. La obligación de dar tratamiento de los Datos Personales, a nombre del Responsable, conforme a los principios que los tutelan.

  5. La obligación de salvaguardar la seguridad de las bases de datos en los que se contengan Datos Personales.

  6. La obligación de guardar confidencialidad respecto del tratamiento de los Datos Personales.

Con la suscripción de los convenios o contratos, el Encargado del Tratamiento se comprometerá a dar aplicación a las obligaciones del Responsable bajo la Política de Tratamiento de la información fijada por este y a realizar el Tratamiento de Datos Personales de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.

V. DERECHOS DEL TITULAR DE DATOS PERSONALES.
5.1. Derechos.
Los Titulares de los Datos Personales tienen los siguientes derechos, establecidos por la Ley:
a. Conocer, actualizar y rectificar los Datos Personales frente a los Responsables del Tratamiento

y/o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

b. Solicitar prueba de la autorización otorgada al Responsable y/o Encargado del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.

6

c. Ser informado por el Responsable y/o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.

  1. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.

  2. Revocar la autorización y/o solicitar la supresión del dato cuando lo considere pertinente o cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable y/ o Encargado han incurrido

en conductas contrarias a la Ley 1581 de 2012 y a la Constitución.
f. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento. 5.2. AutorizacióndelTitular.

Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento de Datos Personales se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma digital, (iii) de forma oral, o (iv) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización, como cuando se ingresa a las instalaciones a sabiendas de la existencia de sistemas de video vigilancia.

5.3. Casos en que no es Necesaria la Autorización.

La autorización del Titular no será necesaria cuando se trate de:

  1. Información requerida por la Sociedad o por orden judicial.

  2. Datos de naturaleza pública.

  3. Casos de urgencia médica o sanitaria.

  4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

  5. Datos relacionados con el Registro Civil de las Personas.

Quien acceda a los Datos Personales sin que medie autorización previa deberá en todo caso cumplir

con las disposiciones contenidas en la Ley 1581 de 2012 y demás normas concordantes y vigentes.

5.4. Suministro de la Información.

La información solicitada por los Titulares de los datos Personales será suministrada principalmente por medios electrónicos, o por cualquier otro solo si así lo requiere el Titular. La información suministrada por la Sociedad será entregada sin barreras técnicas que impidan su acceso; su

7

contenido será de fácil lectura, acceso y tendrá que corresponder en un todo a aquella que repose en la base de datos.

5.5. DeberdeInformaralTitular.

La Sociedad al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

  1. El Tratamiento al cual serán sometidos sus Datos Personales y la finalidad del mismo.

  2. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

c. Los derechos que le asisten como Titular.

d. La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento.

La Sociedad como responsable del Tratamiento de los datos Personales, deberá conservar prueba del cumplimiento de lo previsto en el presente numeral y, cuando el Titular lo solicite, entregarle copia de esta.

5.6. PersonasaQuienesselespuedeSuministrarInformación.

La información que reúna las condiciones establecidas en la ley podrá ser suministrada a las siguientes personas:

  1. A los Titulares, sus causahabientes o sus representantes legales.

  2. A las Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

  3. A los terceros autorizados por el Titular o por la ley.

VI. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO.

Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley y en otras que rijan su actividad:

a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

  1. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular.

  2. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

  3. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

8

  1. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

  2. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

  3. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

  4. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento

esté previamente autorizado de conformidad con lo previsto en la Ley.

  1. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

  2. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.

  3. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

  4. Informar a solicitud del Titular sobre el uso dado a sus datos.

  5. Informaralaautoridaddeproteccióndedatoscuandosepresentenviolacionesaloscódigosde seguridad y existan riesgos en la administración de la información de los Titulares.

  6. Cumplir la Política de tratamiento de Datos Personales de la Sociedad.

  7. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

VII. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO.

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones legales:

a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

  1. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  2. Realizar oportunamente la actualización, rectificación o supresión de los Datos Personales en los términos de la Ley 1581 de 2012 y del numeral VIII de esta Política.

  3. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

9

  1. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley 1581 de 2012 y del numeral VIII de esta Política.

  2. Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la Ley 1581 de 2012.

  3. Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del Dato Personal.

  4. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo

haya sido ordenado por la Superintendencia de Industria y Comercio.

  1. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

  2. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

  3. Cumplir la Política de tratamiento de Datos Personales de la Sociedad.

  4. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

VIII. DATOS SENSIBLES.

8.1 Datos Sensibles.

El Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los siguientes casos expresamente señalados en el artículo 6° de la citada norma:

  1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

  2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

  3. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías

por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

10

e. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

En el Tratamiento de Datos Personales Sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

1. Informar al titular que por tratarse de Datos Sensibles no está obligado a autorizar su Tratamiento.

2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de Dato Personal, cuáles de los datos que serán objeto de Tratamiento son Sensibles y la finalidad del Tratamiento, así como obtener su

consentimiento expreso.
3. Ninguna actividad podrá condicionarse a que el Titular suministre Datos Sensibles. 8.2 Derechos de los Niños, Niñas y Adolescentes.

El tratamiento de Datos Personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:

a. b.

9.1

Que respondan y respeten el interés superior de los niños, niñas y adolescentes. Que se asegure el respeto de sus derechos fundamentales.

Tratamiento de la Información.

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

IX. DE LA PROTECCIÓN DE LOS DATOS PERSONALES.

Todos los miembros de la Sociedad, al realizar las actividades propias de su cargo, asumirán las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

9.2 Uso de la Información.

La información de carácter personal contenida en las bases de datos debe ser utilizada y tratada de acuerdo con las finalidades descritas en la presente política.

En caso de que algún área identifique nuevos usos diferentes a los descritos en la presente política de tratamiento de Datos Personales deberá informar al encargado de los Datos Personales de la Sociedad, quien evaluará y gestionará, cuando aplique, su inclusión en la presente política.

Igualmente, se deben tomar en consideración los siguientes supuestos:

11

  1. En caso de que un área diferente de la que recolectó inicialmente el Dato Personal requiera utilizar los Datos Personales que se han obtenido, ello se podrá hacer siempre que se trate de un uso previsible por el objeto social de la Sociedad y para una finalidad contemplada dentro de la presente Política de Tratamiento de Datos Personales.

  2. Cadaáreadebegarantizarqueenlasprácticasdereciclajededocumentosfísicosnosedivulgue información confidencial ni Datos Personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.

  1. Los funcionarios no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del Titular del dato, en los casos en que así sea necesario.

  2. Únicamentelosfuncionariosycontratistasautorizadospuedenintroducir,modificaroanularlos datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el Área de Sistemas de la Sociedad, de acuerdo a los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información personal.

  3. Cualquier uso de la información diferente al establecido, será previamente consultado con el Encargado de Datos Personales de la Sociedad.

9.3 Almacenamiento de Información.

El almacenamiento de la información digital y física se realizará en medios que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

9.4 Destrucción.

La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realizará únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción.

c. EncasodequeunEncargadohayafacilitadoDatosPersonalesobasesdedatosaalgúnáreapara

un fin determinado, el área que solicitó los Datos Personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de Tratamiento de Datos Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los Datos Personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un titular haya presentado algún reclamo.

12

La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

9.5 Procedimiento de Gestión de Incidentes con Datos Personales.

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas.

En caso de conocer alguna incidencia ocurrida, el usuario debe comunicarla al Encargado de Datos Personales de la Sociedad que adoptará las medidas oportunas frente al incidente reportado.

Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:

a. Notificación de Incidentes: Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal, Datos Personales, se deberá informar al Encargado de Datos Personales de la Sociedad quién gestionará su reporte en el Registro Nacional de Bases de Datos.

  1. Gestión de Incidentes: Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de las bases de datos de la Sociedad.

  2. Identificación: Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado en la organización. Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre el Encargado de Datos Personales de la Sociedad y el Área Jurídica de la Sociedad.

  3. Reporte: Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible al Encargado de Datos Personales de la Sociedad.

    Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el Encargado de Datos Personales de la Sociedad, debe ser notificado de forma inmediata.

    Los funcionarios deben reportar a su jefe directo y al Encargado de Datos Personales de la Sociedad cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder de la Entidad.

El Encargado de Datos Personales de la Sociedad informará de la incidencia a la Delegatura de

Protección de Datos Personales de LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO, en el módulo habilitado para tal efecto dentro de los 15 días a partir del conocimiento de esta.

13

A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, el Área Jurídica de la Sociedad deberá intervenir con el fin de prestar el asesoramiento adecuado.

En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, el Encargado de Datos Personales de la Sociedad y el Área Jurídica de la Sociedad, reportara tal información a las autoridades de investigaciones judiciales respectivas.

Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal.

  1. Solución: El Área de Sistemas de la Sociedad, así como cualquier área comprometida y los directamente responsables de la gestión de Datos Personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.

  2. Cierre de Incidente y Seguimiento: El Área de Sistemas, conjuntamente con el Encargado de Datos Personales de la Sociedad y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.

    Encargado de Datos Personales de la Sociedad preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.

  3. Reporte de incidentes ante la SIC como autoridad de control :Se reportarán como novedades los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

    La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, deberán reportarse al Registro Nacional de Bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

e. Contención, Investigación y Diagnostico: El Encargado de Datos Personales de la Sociedad debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado con el Área de Sistemas de la Sociedad.

Los líderes de proceso y/o propietarios de activos de información, reportarán de forma interna los incidentes asociados a datos personales ante el Encargado de Datos Personales de la Sociedad, quién dentro del plazo legal procederá a reportarlos ante el Registro Nacional de Bases de Datos.

14

9.6 Video Vigilancia.

La Sociedad cuenta con cámaras de video vigilancia que tienen como finalidad dar cumplimiento a las políticas de seguridad física, cumpliendo con los parámetros establecidos en la Guía para la Protección de Datos Personales en Sistemas de Videovigilancia, expedidos por la SIC como autoridad de control.

Las imágenes deberán ser conservadas por un tiempo máximo de 90 días. En caso que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

X. PROCEDIMIENTOS PARA EJERCER LOS DERECHOS DE LOS TITULARES.

La Sociedad ha dispuesto a la Dirección de Publicidad y Mercadeo de Londoño Gomez S.A.S. como encargada del manejo de los Datos Personales y de atender las peticiones, quejas y reclamos (PQRS) por parte de los Titulares, quienes podrán hacer valer sus derechos a través de las siguientes direcciones:

Dirección física: Calle 7D N° 43A – 99, Piso 8, Medellín.

Correo electrónico: tratamientodedatos@londonogomez.com

Teléfono: (604) 311 16 16.

Una vez recibida la PQRS, la persona encargada de dar respuesta verificará los datos del remitente y procederá a dar respuesta de acuerdo con el tipo de solicitud, teniendo en cuenta lo establecido en la Ley:

• Consultas. Los Titulares, o sus causahabientes, podrán consultar la información personal del Titular que repose en la base de datos de la Sociedad. En este caso, la Sociedad deberá suministrar toda la información contenida en el registro individual o que esté vinculado al Titular, previa verificación de la identidad del solicitante, en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la solicitud.

Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer

término.

Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del Dato Personal.

• Reclamos. Los Titulares, o sus causahabientes, que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la presente Política o en la Ley, podrán presentar un reclamo ante la Sociedad, el cual será tramitado bajo las siguientes reglas:

15

1. El reclamo se formulará mediante solicitud dirigida a las direcciones dispuestas por la Sociedad, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección de notificaciones y los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

  1. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

  2. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

XI. APLICACIÓN Y VIGENCIA

La presente Política de Tratamiento de la Información ha sido formulada con base en lo establecido en el artículo 13 “Políticas de tratamiento de la información” del Decreto 1377 de 2013, expedido por el Ministerio de Comercio Industria y Turismo, por medio del cual se reglamenta parcialmente la Ley Estatutaria 1581 de 2012 reglamentado por el Decreto 886 de 2014; que tiene por objeto “desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.

Esta Política formará parte integrante de todos los acuerdos y contratos que celebre la Sociedad y podrá ser consultada por los Titulares en la página web de Londoño Gómez S.A.S a través del siguiente link:

https://londonogomez.com/politica-tratamiento-de-datos

Asimismo, toda modificación o actualización de esta Política será publicada en la página web de la Sociedad o enviada a la dirección física o electrónica de los Titulares, contenida en la base de datos de la Sociedad.