INTRODUCCIÓN

Con el objetivo de dar cumplimiento a la legislación vigente en materia de protección de datos, en especial las disposiciones contenidas en el literal k) del artículo 17 de la Ley 1581 de 2012 y a los Decretos 1377 de 2013 y el Decreto Único 1074 de 2015 así como las demás normas complementarias y las diversas decisiones proferidas por la Superintendencia de Industria y Comercio sobre el tema, la sociedad MIS IMPLANTS S.A.S. (En adelante ”La Compañía”), identificada con NIT. 900457991-0 ha decidido adoptar de forma voluntaria el presente Manual, el cual establece las políticas y procedimientos aplicables a la la recolección y uso de datos personales a los cuales tenga acceso, en desarrollo de su objeto social e institucional, de clientes, empleados y proveedores, en virtud de la autorización otorgada por los Titulares de los datos para adelantar dicho tratamiento, así como también el manejo de los mismos. La Compañía es respetuosa de los datos personales e información que le suministran sus empleados, proveedores y clientes actuales, pasados y potenciales, (en adelante, los Titulares). En la presente Política de Privacidad se establecen las finalidades, medidas y procedimientos de nuestras bases de datos, así como los mecanismos con que los Titulares cuentan para conocer, actualizar, rectificar, suprimir los datos suministrados o revocar la autorización que se otorga con la aceptación de la presente política. Conforme a lo previsto en el artículo 15 de la Constitución Política de Colombia y la legislación aplicable, tenemos una clara política de privacidad y protección de sus datos personales. No obtenemos información personal de terceros que tengan una relación comercial o jurídica con La Compañía, incluyéndolo a usted, a los Clientes, Empleados o Proveedores, a menos que estos la hayan suministrado voluntariamente mediante su consentimiento previo, expreso y calificado.

CAPÍTULO I.- DISPOSICIONES GENERALES Artículo Primero.- Legislación Aplicable: Este Manual fue diseñado, en atención a las disposiciones contenidas la Constitución Política (artículos 15 y 20), la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 886 de 2014 y el Decreto Único 1074 de 2015. A esta Política le serán aplicables todas las demás normas que complementen o sustituyan las anteriores.

Artículo Segundo.- Ámbito de Aplicación: El presente Manual le será aplicable a las bases de datos que se encuentren bajo la administración de La Compañía o sean susceptibles de ser conocidas por éste en virtud de las relaciones laborales y/o comerciales desarrolladas con empleados, proveedores y/o clientes, en desarrollo de su objeto social. Para efectos de la base de Datos de empleados, La Compañía actuará en calidad de Responsable, mientras que en los demás casos podrá actuar en calidad de Responsable o Encargado, dependiendo de si se reciben los datos de carácter personal y se define su finalidad por parte de un tercero o si es La Compañía quien lo hace de forma directa.

Parágrafo.- La presente política es de obligatorio cumplimiento por parte de todos los empleados de La Compañía. Así mismo, a los aliados comerciales, proveedores y/o contratistas de La Compañía que tengan acceso a los datos personales de los Titulares, se les exigirá el cumplimiento tanto de la ley como de ésta política. La Compañía adelantará las campañas pedagógicas y de capacitación necesarias, para que las áreas que tienen un mayor nivel de interacción con la administración de datos personales, conozcan la ley y las disposiciones adoptadas por la compañía para asegurar su cumplimiento. Estas capacitaciones se deberán incorporar en el Plan de Capacitaciones, el cual cuenta con mecanismos de evaluación.

Artículo Tercero.- Finalidad: La Política consagrada en el presente Manual, tiene por finalidad desarrollar el derecho constitucional de Habeas data que tienen todas las personas, respecto de las cuales La Compañía haya recogido y/o capturado, administrado y/o conservado información de carácter personal.

Parágrafo Primero.- En el evento que se recolecten datos personales sensibles, el Titular podrá negarse a autorizar su Tratamiento.

Artículo Cuarto.- Definiciones: Para la interpretación de esta Política y, en atención a lo dispuesto en el artículo 3° de la Ley 1581 de 2012, es necesario tener en cuenta las siguientes definiciones: a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales; b) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales. c) Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento. d) Cliente: Toda persona para quien la Compañía preste un servicio o con quien sostiene una relación contractual/obligacional. e) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. f) Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. g) Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular. h) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. i) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del tratamiento. j) Empleado/Contratista: Persona natural o jurídica que cuente con un contrato de trabajo directo con el Responsable o que preste servicios temporales o en misión por interpuesta persona a favor del Responsable. k) Política de Tratamiento: Se refiere al presente documento, como política de tratamiento de datos personales aplicada por la Compañía de conformidad con los lineamientos de la legislación vigente en la materia. l) Proveedor: Toda persona natural o jurídica que preste algún servicio a la Compañía en virtud de una relación contractual/obligacional. m) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. n) Titular: Persona natural cuyos datos personales sean objeto de tratamiento. o) Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. p) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. q) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos. Para el entendimiento de los términos que no se encuentran incluidos dentro del listado anterior, usted deberá remitirse a la legislación vigente, en especial a la Ley 1266 de 2008, Ley 1581 de 2012 y al Decreto 1377 de 2013, dando el sentido utilizado en dicha norma a los términos de cuya definición exista duda alguna.

Artículo Quinto.- Principios: En atención a los principios establecidos en la Ley, el manejo y tratamiento de datos personales, sensibles y de menores, al interior de La Compañía está enmarcado bajo los siguientes principios: a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento de Datos Personales es una actividad reglamentada que se rige por la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demás normatividad que las complementen, modifiquen o deroguen. b) Principio de finalidad: El Tratamiento de datos personales que La Compañía realiza, obedece a la finalidad legítima, informada, al Titular. La finalidad en el tratamiento de datos personales por parte de La Compañía corresponde al cumplimiento de sus funciones, previstas en sus estatutos, al desarrollo de los ejes estratégicos previstos en su plan de acción y al cumplimiento de las obligaciones adquiridas con terceros a través de contratos o convenios. c) Principio de libertad: El Tratamiento que realiza La Compañía de los datos personales de nuestros clientes, empleados y proveedores, sólo podrá ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales que nos sean suministrados no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento; d) Principio de veracidad o calidad: La Compañía garantiza que la información contenida en las bases de datos diferentes será veraz, completa, exacta, actualizada, comprobable y comprensible. La veracidad y calidad de los datos personales estarán sujetas a lo informado por cada uno de los Titulares de la misma, quedando eximida de cualquier tipo de responsabilidad La Compañía frente a su calidad. e) Principio de transparencia: La Compañía garantiza a los titulares de datos personales, que podrán obtener en cualquier momento, de forma gratuita y sin restricciones, información acerca de la existencia de datos que le conciernan y que estén almacenados en nuestras bases de datos, bajo los parámetros establecidos en el artículo 21 del Decreto Reglamentario 1377 de 2013. f) Principio de acceso y circulación restringida: El tratamiento dado por La Compañía a los datos suministrados por sus clientes, empleados y proveedores, se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones del presente Manual, de la Ley, y de la Constitución Política de Colombia. En tal sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas por ley. Los datos operados por La Compañía en el cumplimiento de sus funciones están destinados a cumplir una función constitucional, por lo tanto, se garantizará su acceso, de conformidad con lo establecido en la Ley. Sobre datos provenientes de otras fuentes, el acceso y circulación será restringido acorde con la naturaleza del dato y con las autorizaciones dadas por el Titular o demás personas previstas en la Ley. Los datos personales, excepto aquellos de naturaleza pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido a los Titulares o terceros autorizados. Para estos propósitos, la obligación de La Compañía será de medio y no de resultado. g) Principio de seguridad: La Compañía ha adoptado todas las medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. h) Principio de Necesidad y proporcionalidad. Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del Tratamiento, informadas al Titular. En tal sentido, deben ser adecuados, pertinentes y acordes con las finalidades para los cuales fueron recolectados. i) Principio de Temporalidad o caducidad. El período de conservación de los datos personales será el necesario para alcanzar la finalidad para la cual se han recolectado. j) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. La Compañía garantiza la confidencialidad de los datos dependiendo de la naturaleza del mismo y, en tal sentido, a no revelar a terceros, la información personal, contable, técnica, comercial o de cualquier otro tipo suministrada en la ejecución y ejercicio de las funciones propias, salvo autorización suministrada para tal efecto.

CAPÍTULO II. USO Y FINALIDAD DEL TRATAMIENTO Artículo Sexto.- Finalidad: Las finalidades de tratamiento de datos personales que realiza La Compañía, se enmarcan en las disposiciones contenidas en la Ley 1266 de 2008 y 1581 de 2012, e tal sentido, las actividades que involucre Tratamiento de Información Personal, quedan cubiertas bajo el marco de la Ley 1581 de 2012. En tal sentido, las finalidades para las cuales se realiza el tratamiento de la información personal, son las siguientes:

Datos Personales de Empleados: La finalidad de la recolección, administración, tratamiento y conservación de los datos personales de los empleados, obedece la necesidad de cumplir con las obligaciones derivadas del contrato laboral, realizar la vinculación al sistema de seguridad social integral, a las cajas de compensación, hacer los reportes que demanden las leyes laborales a entidades gubernamentales, pagar impuestos, comunicar ausencias, licencias e incapacidades o cualquier otra novedad o situación de carácter laboral a las entidades prestadoras de servicios de salud y riesgos labores, distribuir información de interés para el funcionario, difundir beneficios laborales, normas de seguridad en el trabajo y, en general, cualquier otra finalidad señalada en las leyes pertinentes. Así mismo, la recolección, administración, tratamiento y conservación de los datos personales del grupo familiar del empleado se realizara para que estos puedan ser partícipes de los beneficios legales, extralegales, afiliaciones al Sistema de Seguridad Social Integral, Caja de Compensación Familiar y para las diferentes actividades de bienestar que desarrolle La Compañía. La información que se requerirá será la que se considere necesaria y razonable para garantizar el acceso a dichos beneficios y actividades, la cual será utilizada de manera segura y sujeta a la finalidad al vínculo establecido anteriormente. Adicionalmente, los datos enunciados anteriormente, serán utilizados para adelantar Planes o Programas de Bienestar orientados a crear, mejorar y mantener las condiciones laborales, ocupacionales y familiares que favorezcan tanto el desarrollo integral de los trabajadores como el mejoramiento de su nivel de vida y el de los miembros del grupo familiar de cada uno de ellos. Las cuales, sin limitarse, pueden considerarse como actividades, planes o jornadas de capacitación, recreación, salud, actividades físicas y/o deportivas, de integración familiar y/o motivación, entre otras. Los Datos y en general la información que suministre el empleado de niños, niñas y adolescentes estará sujeta a esta finalidad. Cualquier finalidad diferente a las aquí establecidas, requerirá de autorización especial para el tratamiento de los datos. Igualmente, es de resaltar que el empleado no está obligado a suministrar esta información en los términos de lo dispuesto en la normatividad aplicable. En cuanto a la recolección, administración y conservación de los datos tales como fotos, huellas y/o video se realizará con la finalidad de lograr la identificación del empleado y, en tal sentido facilitar y permitir su acceso a las instalaciones de La Compañía, lo cual por razones de seguridad y, en general, para el desarrollo propio de sus funciones y de la relación laboral existente entre éste y La Compañía. La grabación de llamadas telefónicas será para efectos de garantizar la calidad del servicio que presta La Compañía. Por otra parte, se busca igualmente, mantener la comunicación con los Titulares para efectos laborales e institucionales u organizacionales, desarrollo de proyectos, concursos, socialización de políticas, programas, resultados, cambios organizacionales, realización de análisis estadísticos, estratégicos, financieros, contables, legales, sociales y la implementación de estrategias laborales, organizacionales o de mercadeo.

Finalidades de los Datos Personales de Exempleados: La Compañía realiza el tratamiento de los datos personales de los ex-empleados con la finalidad de expedir certificaciones laborales, y para las finalidades que la ley establezca. Datos Personales de Contratistas y/o Proveedores: Los datos personales de los contratistas y/o proveedores de La Compañía, serán tratados con la finalidad de desarrollar la relación contractual y comercial de prestación de bienes y/o servicios, así como para la realización de sondeos de mercado, calificación de propuestas y/o proveedores y/o contratistas tanto con ocasión del servicio prestado como en futuros procesos de contratación. Igualmente se realizarán gestiones de control, supervisión, encuestas y/o análisis estadísticos, gestión de cobranza y/o seguridad y/o prevención de fraudes, gestión contable y tributaria, gestión de auditoría interna o externa, generación de base de datos, mantener la comunicación con los Titulares para efectos comerciales, de mercadeo, desarrollo de proyectos, concursos, socialización de políticas, programas, resultados, cambios organizacionales, la realización de análisis estadísticos, estratégicos, financieros, contables, legales, sociales y la implementación de estrategias, mediante el envío y/o recepción de comunicaciones para cualquier propósito relacionado con las finalidades antes referidas, ya sea mediante llamadas telefónicas, mensajes de texto, correos electrónicos y/o físicos.

Datos Personales de Clientes: La Compañía realizará a través de cualquier medio, en forma directa o indirecta mediante terceros, la recolección, administración, tratamiento y conservación de los datos personales de sus clientes para: Ofrecer productos y servicios que complementen los bienes y/o servicios previamente conocidos por éste; suministrar, compartir, enviar o entregar la información y datos personales de los Titulares a las sociedades subsidiarias, filiales, vinculadas, subordinadas o afiliadas a la Compañía, aliados estratégicos o a otras sociedades o personas ubicadas en Colombia o cualquier otro país que requieran la información y/o que la Compañía encargue para realizar el procesamiento de la información y cumplir con las finalidades descritas en la presente Política, Realizar trámites jurídicos, comerciales, de seguridad y/o prevención de fraudes y/o contables referentes al pago y/o cobro de las obligaciones contractuales y/o soportar procesos de auditoría interna o externa, Registro de la información de los Titulares en la base de datos de la Compañía y creación o generación de bases de datos, Evaluar la calidad de nuestros productos, mercancías y/o servicios al igual que realizar estudios sobre hábitos de consumo, preferencias de consumo, interés de compra, prueba de productos, mercancía y/o servicios, Realizar, a través de cualquier medio, en forma directa o indirecta mediante terceros, actividades de mercadeo, promoción y/o publicidad propia o de terceros, venta, gestiones de cobranza, inteligencia de mercado, mejoramiento del servicio y/o satisfacción de clientes, verificaciones, consultas, control así como cualquier otra relacionada con nuestros productos y/o servicios actuales y futuros para el cumplimiento de nuestras obligaciones contractuales y de nuestro objeto social, realizar análisis de consumo y/o estadístico, Actualizar, verificar y complementar los datos personales y de contacto del cliente, tales como celular, dirección, teléfonos y correo electrónico; gestión de control y/o supervisión de clientes, realizar encuestas, gestión de cobranza, mantener la comunicación con los Titulares para efectos comerciales, de mercadeo, desarrollo de proyectos, concursos, socialización de políticas, programas, resultados y la implementación de estrategias comerciales u organizacionales, mediante el envío y/o recepción de comunicaciones para cualquier propósito relacionado con las finalidades antes referidas, ya sea mediante llamadas telefónicas, mensajes de texto, correos electrónicos y/o físicos.

Datos Personales para la atención de todas las PQRS: Los datos personales que suministre el titular del dato o que recolecte La Compañía, en sus diferentes canales de atención, para la radicación de solicitudes, consultas, quejas y reclamos, serán tratados con la finalidad de atender y dar respuesta a las mismas.

Datos Personales de los visitantes en las instalaciones: Los datos personales que recolecte La Compañía de los visitantes de nuestras instalaciones serán tratados por razones de seguridad y control de acceso; para facilitar procesos de evacuación; para ser utilizada en caso de la ocurrencia de un siniestro; para reportar a las autoridades en caso que La Compañía lo considere o en el evento en que sea requerida por éstas.

Artículo Séptimo.- Usos: En cumplimiento de lo dispuesto en la legislación aplicable y, de conformidad de las autorizaciones impartidas por los Titulares de la Información, la Compañía realizará operaciones o actividades tendientes a la recolección, almacenamiento, procesamiento y/o circulación, uso y/o supresión de los Datos personales u otra información de los Titulares para las finalidades descritas en el presente Manual. La Compañía realizará el Tratamientos de datos personales del Titular cuando exista una obligación legal, comercial o contractual para ello, al amparo de lo previsto en la normatividad vigente.

Parágrafo Primero: Respecto de los datos recolectados directamente en los puntos de seguridad, y/o tomados de los documentos que suministran las personas al personal de seguridad u obtenidos de las videograbaciones que se realizan dentro o fuera de las instalaciones de La Compañía, éstos se utilizarán para fines de seguridad de las personas, los bienes e instalaciones de La Compañía y podrán ser utilizados como prueba en cualquier tipo de proceso

Parágrafo Segundo: Si el Titular proporciona Datos Personales, ésta información será utilizada sólo para los propósitos aquí señalados, y no procederemos a vender, licenciar, transmitir o divulgar la misma fuera de la Compañía salvo que: (i) El Titular nos autorice expresamente a hacerlo, (ii) sea necesario para permitir a nuestros contratistas o agentes Encargados prestar los servicios que les hemos encomendado, (iii) con el fin de proporcionarle al Titular nuestros productos o servicios, (iv) sea divulgada a las entidades que prestan servicios de publicidad, tecnología, marketing, call center en nuestro nombre o conjunto, (v) tenga relación con una fusión, consolidación, adquisición, desinversión u otro proceso de restructuración, o (vi) según sea requerido o permitido por la ley. Los Datos Personales suministrados podrán circular y transferirse a la totalidad de las áreas de La Compañía incluyendo a su fuerza comercial, red de distribución o servicios, equipos de telemercadeo y proveedores de servicios y/o procesadores de datos que trabajen en nombre de La Compañía, incluyendo pero sin limitarse, contratistas, delegados, outsourcing, tercerización, red de oficinas o aliados, con el objeto de desarrollar servicios de alojamiento de sistemas, de mantenimiento, servicios de análisis, servicios de mensajería por e-mail o correo físico, servicios de entrega, gestión de transacciones de pago, cobranza, entre otros. En consecuencia, el titular entenderá y aceptará que mediante la autorización que otorgue para el tratamiento de sus datos, concede a esos terceros, autorización para acceder a sus Datos Personales en la medida en que así lo requieran para la prestación de los servicios para los cuales fueron contratados por la Compañía. Consecuencia de lo anterior, advertimos a dichos terceros sobre la necesidad de proteger dicha información personal con medidas de seguridad apropiadas, les prohibimos el uso de su información personal para fines propios y les impedimos que divulguen su información personal a otros.

Parágrafo Tercero: Tratamiento de datos sensibles: La Compañía solo trata datos personales sensibles para lo estrictamente necesario y previa autorización o consentimiento expreso a los titulares de los datos. Dichas autorizaciones podrán ser conferidas de forma directa por los Titulares o bien a través de sus representantes legales, apoderados, causahabientes e informándoles igualmente, respecto de la finalidad para su tratamiento. La Compañía utilizará y tratará los datos que hayan sido y/o se encuentren catalogados como sensibles, siempre y cuando: a) El tratamiento haya sido previa y expresamente autorizado por el Titular, salvo los casos que por Ley no se requiera el otorgamiento de dicha autorización. b) Informar al titular que no está obligado a autorizar el Tratamiento de dicha información, salvo que la misma se encuentre dentro de las excepciones del Art. 6º de la Ley 1581 de 2012, c) Informar al titular, previa y explícitamente, cuáles de los datos que serán objeto de Tratamiento son sensibles y su finalidad y d) En procesos de mejoramiento; este último, siempre y cuando se adopten las medidas conducentes a la supresión de identidad de los Titulares o el dato este disociado, es decir, el dato sensible sea separado de la identidad del titular y no sea identificable o no se logre identificar a la persona Titular del dato o datos sensibles. La Compañía tendrá especial cuidado con la conservación de la información sensible, dispondrá de medidas de seguridad acordes con este tipo de información, y adoptará las herramientas de control y monitoreo que permitan asegurar el Tratamiento seguro y confidencial e la información personal que administra.

Parágrafo Cuarto: De igual forma, La Compañía podrá transferir, ceder o transmitir (según corresponda) sus datos personales a otras compañías nacionales o en el extranjero por razones de seguridad, eficiencia administrativa y mejor servicio, de conformidad con las autorizaciones de cada una de estas personas. La Compañía ha adoptado las medidas del caso para que esas personas implementen en su jurisdicción y de acuerdo a las leyes a ellas aplicables, estándares de seguridad y protección de datos personales siquiera similares a los previstos en este documento y en general en la política de la Compañía sobre la materia. En el caso de transmisión de datos personales, se suscribirá el contrato de transmisión a que haya lugar en los términos del Decreto 1377 de 2013.

Parágrafo Quinto: En virtud del tratamiento de los datos personales, la Compañía podrá compartir la información con (i) personas jurídicas o naturales que ostenten la calidad de proveedores, contratistas y/o terceros relacionados directa o indirectamente con la Compañía para adelantar gestiones de cobranza, recaudo, publicidad, mercadeo, promociones, ventas o cualesquier otra actividad derivada y/o relacionada con el objeto social de la Compañía y (ii) Filiales, subsidiarias y/o matrices de la Compañía.

Parágrafo Sexto: Una vez cese la necesidad de tratamiento de los datos del Titular, los mismos podrán ser eliminados de las bases de datos de la Compañía o archivados en términos seguros a efectos de que solamente sean divulgados cuando a ello hubiere lugar de acuerdo con la ley. Los datos personales incorporados en la Base de Datos estarán vigentes durante el plazo necesario para cumplir sus finalidades.

CAPITULO III.- AUTORIZACIÓN Artículo Octavo.- Autorización: La recolección, almacenamiento, uso / tratamiento, circulación y supresión de datos personales por parte de la Compañía requiere del consentimiento libre, previo, expreso e informado de los Titulares de los mismos. La Compañía, en su condición de Responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los Titulares de los datos, a más tardar en el momento de la recolección de sus datos, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización. La Compañía podrá solicitar autorización de los Titulares para la recolección, almacenamiento, uso y/o tratamiento o circulación de sus datos o información para propósitos diferentes a los expresados en la presente Política, para lo cual la descripción de la finalidad y el tratamiento de los datos será informada mediante el mismo documento específico o adjunto, garantizando en todo caso al Titular de los datos (i) el tratamiento al que serán sometidos sus datos personales y la finalidad específica del mismo tratamiento, (ii) el tiempo por el cual serán tratados sus datos personales, (iii) Los derechos que le asisten como titular y (iv) los canales de comunicación por medio de los cuales podrá formular consultas y/o reclamos ante el Responsable o Encargado del tratamiento. En consecuencia, la recolección de datos personales que realice La Compañía deberá limitarse a aquellos que sean pertinentes, adecuados y necesarios para: (i) el desarrollo de su objeto social, (ii) la atención y respuesta de PQR´s, (iii) el desarrollo de relaciones comerciales y/o financieras, (iv) la intención que éste se proponga conforme a la normatividad vigente y (v) la atención de las solicitudes efectuadas por las Autoridades judiciales y/o administrativas. No se requerirá la autorización del titular en los siguientes eventos: a) La Información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. b) Se trate de datos de naturaleza pública. c) Se trate de casos de urgencia médica o sanitaria. d) El tratamiento de datos personales esté autorizado por la ley para fines históricos, estadísticos o científicos. e) Se trate de datos relacionados con el registro civil de las personas.

Artículo Noveno.- Forma y Mecanismos para Otorgar la Autorización. La autorización emanada del Titular de los datos podrá constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo mediante el cual se pueda concluir de manera inequívoca, que de no haberse surtido una conducta del Titular, los datos nunca hubieren sido recolectados y almacenados en la base de datos del Responsable. La Compañía solicitará expresamente a los Titulares la autorización para el tratamiento y, en tal sentido, cumplir la finalidad de la Base de Datos. Los datos a solicitarse son -entre otros- su nombres y apellidos, razón social, tipo de documento de identificación, número de identificación, fecha de nacimiento, dirección de correspondencia, teléfono de contacto, correo electrónico, nombre del punto de venta en el cual fue atendido, de sus establecimientos de comercio, experiencia, antecedentes comerciales, judiciales, relaciones comerciales y familiares con otras compañías o con entidades públicas, lugar de trabajo, referencias e historia laboral, necesidades e intereses. Los datos podrán ser suministrados explícitamente a la Compañía mediante formatos elaborados por ésta y serán puestos a disposición del Titular previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2102 y demás normas concordantes. La Compañía no recopilará datos considerados como Datos Sensibles según lo dispuesto en la Ley 1581 de 2012, como por ejemplo, datos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, datos relacionados con la salud, vida sexual o datos biométricos.

Parágrafo Primero: La Compañía adoptará las medidas necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo la autorización por parte de los titulares de datos personales para el tratamiento de los mismos.

Parágrafo Segundo: En cuanto a la revocatoria de la autorización, es necesario informar que los Titulares de los datos personales pueden revocar el consentimiento otorgado para el tratamiento de sus datos en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para efectos de lo anterior, ha de tenerse en cuenta que la revocación del consentimiento puede darse sobre la totalidad de las finalidades consentidas o sobre parte de los tratamientos consentidos. Por lo anterior, será necesario que el Titular al momento de elevar la solicitud de revocatoria, indique en ésta si la revocación que pretende realizar es total o parcial.

Artículo Décimo.- Aviso de Privacidad: La Compañía implementará un Aviso de Privacidad, el cual corresponde a un documento físico, electrónico o en cualquier otro formato, que es puesto a disposición del Titular para el tratamiento de sus datos personales a más tardar al momento de recolección de los datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. El Aviso de Privacidad, como mínimo, deberá contener la siguiente información: (i) identidad, (ii) domicilio, (iii) datos de contacto del Responsable del Tratamiento, (iv) tipo de tratamiento al cual serán sometidos los datos, (v) la finalidad del tratamiento, (vi) los derechos que le asisten al Titular, (vii) los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de tratamiento de información y (viii) Cuando se recolecten datos personales sensibles, el aviso de privacidad señalará expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

CAPÍTULO IV.- DERECHOS LOS TITULARES Y DEBERES DE LOS RESPONSABLES Artículo Décimo Primero.- Derechos de los Titulares: De conformidad con el artículo 6 de la Ley 1266 de 2008, el artículo 8 de la Ley 1581 de 2012 y los artículos 21 y 22 del Decreto 1377 de 2013, los derechos que le asisten al Titular, en relación con sus datos personales son: a) Conocer, actualizar y rectificar sus datos personales frente a la Compañía como Responsable y/o Encargado del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado; b) Solicitar prueba de la autorización otorgada a la Compañía como Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento; c) Ser informado por la Compañía, como Responsable del Tratamiento o por el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales; d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen; e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales; f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento; g) Acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia; h) Acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley. La Compañía mantendrá habilitados medios de contacto para que los Titulares de los datos puedan ejercer sus derechos y, en tal sentido, dar aplicación a los procedimientos previstos en la presente Política.

Artículo Décimo Segundo.- Deberes de los Responsables del Tratamiento: En atención a lo dispuesto en el artículo 17 de la Ley 1581 de 2012 y los artículos 21 y 22 del Decreto 1377 de 2013, la Compañía, en calidad de Responsable del Tratamiento, se compromete a cumplir con los siguientes deberes: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos, b) Conservar la información bajo las condiciones de seguridad necesarias que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, c) Informar debidamente al Titular sobre la finalidad de la recolección, d) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible, e) Realizar oportunamente, según lo previsto en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos; f) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; g) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; h) Informar a solicitud del Titular sobre el uso dado a sus datos; i) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley 1581 de 2012; j) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal; k) Insertar en la base de datos la leyenda “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles de recibido el reclamo completo. l) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio; m) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; n) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; ñ) Designar a un área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el Decreto 1377 de 2013. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo Primero.- Deberes de la Compañía cuando actúa como Encargado del tratamiento de datos personales. Si La Compañía realiza el tratamiento de datos personales por cuenta, riesgo y en nombre de otra entidad u organización responsable del tratamiento, la Compañía deberá cumplir los siguientes deberes: (i) Verificar que el Responsable del tratamiento se encuentre autorizado para suministrar a terceras personas, los datos personales que tratará la Compañía como Encargado, (ii) Garantizar al Titular de los datos, en todo momento, el pleno y efectivo ejercicio de sus derechos conforme a lo dispuesto en la Ley. (iii) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. (iv) Realizar oportunamente la actualización, rectificación o supresión de los datos, previa solicitud del Titular de los Datos o del Responsable del Tratamiento. (v) Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo o solicitud. (vi) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política y/o en la Ley. (vii) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. (ix) Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto. (x) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. (xi). Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo Segundo.- Deberes cuando realiza el tratamiento a través de un Encargado (i) Suministrar al Encargado del tratamiento únicamente los datos personales cuyo tratamiento esté previamente autorizado. Para efectos de la transmisión nacional o internacional de los datos se deberá suscribir un contrato de transmisión de datos personales o pactar cláusulas contractuales según lo establecido en el artículo 25 del decreto 1377 de 2013. (ii) Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. (iii) Comunicar de forma oportuna al Encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. (iv) Informar de manera oportuna al Encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes. (v) Exigir al Encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular. (vi) Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

CAPÍTULO V.- PROCEDIMIENTOS PARA EL EJERCICIO DE LOS DERECHOS Artículo Décimo Tercero.- Procedimiento para el ejercicio de sus derechos como titular: Si se tienen consultas acerca de esta Política, o cualquier inquietud o reclamo respecto de la administración de la Política, o quiere ejercer sus derechos como Titular de los Datos, esto es, a conocer, actualizar, rectificar y suprimir sus datos y/o revocar su autorización como titular de la información, comuníquese con nuestra área de Servicio al Cliente a través de cualquiera de los siguientes medios: Línea de Atención al Cliente: En Bogotá 6203800 Correo electrónico: servicioalcliente@miscol.com En el caso de ejercicio de queja, rectificación, actualización, consulta, o solicitud de acceso o de sustracción de datos, el Titular deberá remitirla al área de Servicio al Cliente de la Compañía, en la dirección Avenida 9 No. 103 A – 36 Oficina 301 de la ciudad de Bogotá o al Correo electrónico servicioalcliente@miscol.com Tenga en cuenta que una vez se ponga en conocimiento al área responsable al interior de La Compañía, se dará trámite a la consulta, solicitud o queja.

Artículo Décimo Cuarto.- Peticiones y Consultas Sobre Datos Personales: Cuando el Titular de los datos o sus causahabientes deseen consultar la información que reposa en la base de datos, en ejercicio de lo dispuesto en el artículo 14 de la Ley 1581 de 2012 y el artículo 21 del Decreto 1377 de 2013, la Compañía responderá la solicitud en plazo de máximo diez (10) días. En cumplimiento a lo dispuesto en la Ley 1581 de 2012, cuando no fuere posible atender la consulta dentro de dicho término, se informará al CLIENTE expresándole los motivos de la demora y se le señalará la fecha en que se atenderá su consulta, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Artículo Décimo Quinto.- Derecho de Reclamo: De conformidad con lo establecido en el artículo 15 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, el Decreto 1377 de 2013 u cualquier otra norma aplicable, podrán presentar un reclamo ante el Responsable del Tratamiento, el cual será tramitado bajo las siguientes reglas: (a) La solicitud o petición en relación con los datos personales del Titular deberá ser atendida en un término máximo de quince (15) días hábiles desde el recibo de la solicitud o petición. Para la correcta y completa consideración de su petición, solicitud o reclamo, le solicitamos allegar la identidad del solicitante, su número de identificación, la dirección de notificaciones/respuestas y los documentos que quiere hacer valer. (b) Si la solicitud o petición efectuada por el Titular no tiene los datos (nombre(s), apellido(s) y documento de identificación) del titular y una breve pero concisa descripción de los hechos suficientes que permiten a la Compañía atenderla de forma correcta y completa, se le requerirá dentro de los cinco (5) días siguientes a la recepción de la solicitud, petición o reclamo para que subsane sus fallas. Después de transcurridos quince (15) días desde la fecha del requerimiento, si usted como solicitante no ha subsanado según lo requerido, la Compañía en calidad de receptora de la petición entiende que ha desistido de su solicitud. (c) Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “Reclamo en Trámite” y el motivo del mismo, la cual se mantendrá hasta tanto el reclamo no sea decidido y según lo dispuesto en el Artículo Décimo Primero del presente documento. (d) En el caso de consulta, peticiones, reclamos o quejas, específicamente en materia de información financiera, crediticia y comercial, el trámite y los términos pertinentes será el señalado en el artículo 16 de la Ley 1266 de 2008.

Artículo Décimo Sexto.- Revocación de autorización, retiro o supresión de la Base de Datos y reclamos Sobre Datos Personales: Cuando el titular de los datos o sus causahabientes consideren que la información contenida en las bases de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante la Compañía, el cual será tramitado bajo las siguientes reglas:


  1. El reclamo se formulará mediante solicitud dirigida al área de Servicio al Cliente de la Compañía con la identificación de los Titulares, la descripción de los hechos que dan lugar al reclamo, la dirección, y se anexarán los documentos que se quieran hacer valer. Si el reclamo resulta incompleto, La Compañía podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso que la Compañía no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al Titular, con lo cual quedará relevada de cualquier reclamación o responsabilidad por el uso, rectificación o supresión de los datos.
  2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al Titular los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. Es necesario aclarar, respecto del ejercicio del derecho de supresión de los datos, que éste implica la eliminación total o parcial de la información personal del Titular, contenida en los registros, archivos, bases de datos o tratamientos realizados por el Responsable o el Encargado. La Compañía, en calidad de Responsable, podrá negarse a la supresión de los datos, cuando: (i) El Titular tenga un deber legal o contractual de permanecer en la base de datos. (ii) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas y (iii) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.

CAPITULO VI. SEGURIDAD DE LA INFORMACIÓN Artículo Décimo Séptimo.- Medidas de Seguridad: Las medidas de seguridad con las que cuenta la Compañía buscan proteger los datos de los Titulares en aras de impedir su adulteración, pérdida, usos y accesos no autorizados. Para ello, la Compañía de forma diligente implementa medidas de protección humanas, administrativas y técnicas que razonablemente están a su alcance. El Titular acepta expresamente esta forma de protección y declara que la considera conveniente y suficiente para todos los propósitos.

Artículo Décimo Octavo.- Protección de datos en los contratos: En los contratos laborales se deberán incluir cláusulas tendiente a obtener de forma expresa, previa y general la autorización para el tratamiento de datos personales relacionados con la ejecución del contrato laboral, lo que incluye la autorización de recolectar, modificar o corregir, en momentos futuros, datos personales del Titular, ser entregados o cedidos a terceros con los cuales La Compañía tenga algún tipo de vínculo legal y/o comercial para la realización de tareas tercerizadas o a ellos encomendadas. En los contratos de prestación de servicios externos, cuando el contratista requiera de datos personales, La Compañía podrá suministrar dicha información, siempre y cuando, exista una autorización previa y expresa del Titular para la realización de dicha transferencia, quedando excluida de esta autorización, los datos personales de naturaleza pública definido en el numeral 2° del artículo 3° del Decreto Reglamentario 1377 de 2013 y los contenidos en los registros públicos. En este caso, teniendo en cuenta que los terceros autorizados ostentarán la calidad de Encargados del tratamiento, los respectivos sus contratos incluirán cláusulas que (i) sometan a dichos terceros a las Políticas de Tratamiento de Datos de la Compañía, es decir, que contengan los fines y los tratamientos autorizados por La Compañía en aras de delimitar el uso que los terceros le podrán realizar a los datos, (ii) exigir medidas de seguridad necesarias que garanticen en todo momento la confidencialidad, integridad y disponibilidad de la información de carácter personal encargada para su tratamiento.

Artículo Décimo Noveno.- Transferencia de datos personales a terceros países: En los casos en que La Compañía, en desarrollo de alguna de sus funciones, requiera realizar la transferencia de datos de carácter personal a terceros países, se deberán tener en cuenta los siguientes aspectos: a) La transferencia de datos personales a terceros países solamente se realizará cuando exista autorización previa y expresa del titular. B) Tramitar y obtener autorización previa de la Delegatura de Datos Personales de la Superintendencia de Industria y Comercio, salvo que dicha trasferencia internacional de datos se encuentre amparada en alguna de las excepciones previstas en la Ley, y c) Debe considerarse como transferencia internacional de Datos, cualquier tratamiento que suponga una transmisión de datos fuera del territorio colombiano, tanto si se realiza una cesión de datos, como si tuviera por objeto la prestación de un servicio al responsable fuera de Colombia.

CAPÍTULO VII.- DISPOSICIONES FINALES Artículo Vigésimo.- Responsable del

 

COP