1. DISPOSICIONES ESPECIALES.

1.1. DEBERES DE CREDIMOTOS DE COLOMBIA S.A.S. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES ,

De acuerdo con las definiciones legales y propias de esta política empresarial interna de tratamiento de datos, CREDIMOTOS DE COLOMBIA S.A.S., actuará como responsable del tratamiento de datos personales y cumplirá con los deberes establecidos en el artículo 17 de la Ley 1581 de 2012.

1.2. DEBERES DE LOS FUNCIONARIOS DESIGNADOS PARA EL TRATAMIENTO DE LA INFORMACIÓN.,

Los empleados o funcionarios encargados para el tratamiento de datos asumirán suresponsabilidad como tales y tendrán como obligaciones principales:

,

• Garantizar al titular, de manera permanente, el pleno y efectivo ejercicio del derecho de Hábeas Data; entendiendo por este el derecho a conocer, actualizar y rectificar la información que sobre él reposa en las bases de datos personales que son administradas por el encargado de tratamiento,,

• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento,,

• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley,,

• Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo,,

• Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la ley,,

• Registrar en la base de datos las leyendas «reclamo en trámite» en la forma en que se regula en la ley,,

• Insertar en la base de datos las leyendas «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal,,

• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio,,

• Permitir el acceso a la información únicamente a las personas que pueden tener accesoa ella,,

• Informar a la Superintendencia de Industria y Comercio cuando se le presenten violaciones a los códigos de seguridad y existan riesgos en la administración de lainformación de los titulares, ,

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. Deberes de seguridad:,

• Cuando el funcionario se ausente de su lugar de trabajo, debe bloquear su estación de trabajo y debe guardar en un lugar seguro y bajo llave cualquier medio magnético removible que contenga información sensible,,

• Al momento de finalizar la jornada de trabajo, el funcionario debe guardar en un lugar seguro y bajo llave los medios que contengan información sensible de CREDIMOTOS DE COLOMBIA S.A.S., a la que tenga acceso,,

• En caso que sea necesario imprimir algún documento que contenga información clasificada o sensible, se debe retirar inmediatamente de la impresora y asegurarse que no haya quedado nada en cola de impresión,,

• Obligación de notificar al área administrativa o a la persona encargada de la parte de informática sobre cualquier incidente de seguridad relacionado con el puesto de trabajo, en especial de:,

• Alerta de virus generadas por el antivirus,,

• Llamadas sospechosas solicitando información de los titulares de datos personales de la organización o de información confidencial y/o sensible, ,

• Pérdida de dispositivos móviles (computadores portátiles, celulares, tabletas, etc.) y externos de almacenamientos (discos duros extraíbles, USB, CD, etc.) que contengan información confidencial y/o sensible de la organización,

• Cualquier actividad sospechosa que observe en el puesto de trabajo,,

• Borrado accidental de información de los titulares de los datos personales, • Comportamientos extraños de los sistemas de información, ,

• Evidencia o sospecha de acceso de personal no autorizado al puesto de trabajo.,

• Prohibición de publicar o compartir contraseñas confidenciales, no debiendo estas compartirse ni apuntarse en ningún documento,,

• Prohibición de alteración de la configuración del equipo y la instalación de aplicaciones no autorizadas, ,

• No ingerir alimentos y bebidas en los puestos de trabajo, • Las estaciones de trabajo fijas y los equipos portátiles, deben tener configurado unestándar de protector de pantalla, de forma que se active ante un tiempo de como máximodoce (12) minutos sin uso,,

• La pantalla de autenticación para el acceso a la red de CREDIMOTOS DE COLOMBIA S.A.S., debe solicitar únicamente el ID de usuario y la contraseña, ,

• Cuando el colaborador se ausente de su lugar de trabajo, debe bloquear su estación de trabajo de tal forma que proteja el acceso a las aplicaciones, servicios y archivos,

• En casos de almacenamiento de información que requiere niveles altos de seguridad (Datos personales sensibles, información crítica de la organización) será necesario la destrucción total del soporte de almacenamiento.• Antes de que el equipo de cómputo sea cedido o desechado, además de realizar borrador
seguro, también será necesario eliminar las carpetas temporales, los datos guardados en las
cookies, los backups de los datos, configuración de cuentas de usuario y de correo. (Caso equipos
de cómputo leasing).
2. TITULARES DE DATOS PERSONALES.

2.1. AUTORIZACIONES Y CONSENTIMIENTO

El procedimiento para conseguir o fijar en medios de prueba, la manifestación de voluntad o
autorización del titular de los datos personales será el siguiente:

• Se pondrá en conocimiento del titular, las consideraciones respecto de la importancia de
manifestar su autorización para el uso de sus datos personales, atendiendo a los aspectos más
importantes de la presente política de manejo de datos,

• Una vez explicadas las consideraciones en relación con la autorización requerida, le será
entregada un formato de autorización que deberá ser suscrita por el titular,

• En los casos en los que se requiera de una autorización masiva de tratamiento de datos,
el encargado del evento en el que se desarrolle la recolección de datos, explicará al público las
implicaciones de la aceptación o autorización de tratamiento de datos personales. A continuación,
hará entrega de las respectivas planillas en las que las personas consignarán sus datos; dichas
planillas y el acta o formato de autorización se entenderán como un solo documento,

• En cualquier caso, la suscripción de cualquier tipo de autorización para el manejo de datos
hará indispensable una explicación de parte del funcionario sobre las implicaciones relativas a la
presente política,

• Las autorizaciones deberán constar en medios físicos o digitales; sus modelos o formatos
de aceptación estarán disponibles en Carrera 50 Nro. 65-66, Bogotá D.C.

2.2. PRUEBA DE LA AUTORIZACIÓN

Podrá ser física o electrónica. Los repositorios o archivos en los que se dé cuenta de lasactividades
que se realicen se mantendrán en la sede de la empresa y serán custodiados por la persona
encargada para tal fin. La suscripción de la autorización para el manejo de datospersonales o aviso
de privacidad será prueba de la voluntad del titular y otorgará la facultad de manejar sus datos de
acuerdo con la finalidad establecida en el documento para tal fin.

2.3. DERECHOS DE LOS TITULARES DE DATOS.

Los titulares podrán presentar solicitudes ante CREDIMOTOS DE COLOMBIA S.A.S., atendiendo a
los siguientes derechos:

• Acceder, conocer, rectificar y actualizar sus datos personales; este derecho será conocido
con el nombre de Hábeas Data,

• Solicitar prueba de la autorización otorgada para el tratamiento de sus datos,

• Recibir información respecto al uso que se le ha dado a sus datos personales,

• Acudir ante las autoridades, en especial ante la Superintendencia de Industria y Comercio,y presentar quejas por infracciones a lo dispuesto en la normatividad vigente y en el presente documento,

• Modificar y revocar la autorización y/o solicitar la supresión del dato personal,

• Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento. El ejercicio de los derechos por parte de los titulares de datos personales, se realizará de manera personal acreditando su identidad a través de la exhibición de su documento de identidad o el de sus dependientes; así mismo podrán hacerlo sus herederos, su apoderado y demás personas que sean facultadas por este de manera suficiente.

2.4. PROCEDIMIENTOS PARA HACER EFECTIVOS DERECHOS DE LOS TITULARES

Los titulares, o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos. En consecuencia, CREDIMOTOS DE COLOMBIA S.A.S., garantizará que los titulares puedan hacer efectivos sus derechos a través de los siguientes mecanismos:

2.5. CONSULTAS

La consulta es el derecho que poseen los titulares de conocer la información personal que reposaen cualquier base de datos de la CREDIMOTOS DE COLOMBIA S.A.S. la cual será atendida en un máximo de diez (10) días hábiles contados desde la fecha de recibo. Con el fin de atender las consultas que se presenten en relación con los datos personales que posea la sociedad comercial se procederá de la siguiente manera:

• Previo a la presentación de solicitudes, la empresa habilitará canales de comunicación física o electrónica lo suficientemente sencillos como para garantizar el acceso a los datos personales por parte de los titulares de los datos. Estos canales de acceso y comunicacióndeberán facilitar en todo caso los derechos de los titulares y se harán mediante formulariospreestablecidos sean físicos o virtuales,

• Una vez recibida la consulta, esta se dirigirá al área encargada de la administración de los datos personales. La cual la identificará, radicará y procederá a estudiarla,

• En un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo, deberá remitirse la respuesta a la consulta de acuerdo con el canal de comunicación establecido por el solicitante al momento de su solicitud, sea física o electrónica,

• Si por algún motivo ajeno a la voluntad del responsable de datos, no fuere posible atender la consulta dentro del término mencionado en el numeral anterior, se informará al interesado con dos (2) días hábiles previos al vencimiento, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

2.6. RECLAMOS

De acuerdo con lo establecido en las leyes que regulan la materia, el titular, sus herederos o representantes, pueden presentar reclamos cuando consideren que la información contenida en la base de datos deba ser corregida, actualizada o suprimida; así mismo podrán hacerlo cuando consideren que el responsable del tratamiento no ha cumplido con las disposiciones normativas vigentes. Los reclamos se tramitarán de la siguiente manera:

• Establecidos los canales de consulta y reclamo que deben darse a conocer al público en general, los interesados presentarán sus reclamos mediante comunicación dirigida a CREDIMOTOS DE COLOMBIA S.A.S. estableciendo su identificación, lo hechos que lo llevan a presentar su reclamación, su información para notificación y aquellos documentos que pretenda hacer valer,

• De ser necesario, CREDIMOTOS DE COLOMBIA S.A.S., como responsable de datos personales, podrá requerir al reclamante para que en un término de cinco (5) días adicione su solicitud con el fin de darle respuesta. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo,

• En caso de que quien reciba el reclamo no sea competente para resolverlo, dará trasladoa quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado,

• Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido,

• El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamodentro de dicho término, se informará al interesado los motivos de la demora y la fechaen que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término,

• Las reclamaciones podrán versar sobre rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad.

2.7. RECTIFICACIÓN, ACTUALIZACIÓN Y SUPRESIÓN DE DATOS

Se procederá de conformidad a las solicitudes de los titulares de los datos, siempre que presenten sus solicitudes de acuerdo con las normas mínimas sobre el tema. La supresión no requerirá esgrimir argumentos más allá de la simple voluntad del dato y por ello no habrá lugar a la réplica de parte del responsable de datos. La solicitud de rectificación, actualización o supresión deberá ser presentada a través de los medios anteriormente descritos y contendrá:

• El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta, • Los documentos que acrediten la identidad o la personalidad de su representante,

• La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos,

• En caso dado, otros elementos o documentos que faciliten la localización de los datos personales,

• Se procederá de conformidad a las solicitudes de los titulares de los datos, siempre que presenten sus solicitudes de acuerdo con las normas mínimas sobre el tema. La supresiónno requerirá esgrimir argumentos más allá de la simple voluntad del dato y por ello no habrá lugar a la réplica de parte del responsable de datos.

3. SISTEMA DE GESTIÓN DE DATOS PERSONALES

3.1. Socialización de la Política de Tratamiento de Datos Personales:

La política deberá ser comunicada y publicada tanto en medio físico como electrónico, esto es, a través de correo electrónico institucional enviado desde el órgano directivo de la compañía y su publicación en la página web de la sociedad.

3.2. Definición del Oficial

del Protección de Datos Personales: A través de una reunión interna de la dirección de la empresa, se definirá la persona que asumirá el cargo de Oficial de Protección de Datos Personales y sentar un acta de la reunión aludida como constancia y prueba de la ocurrencia de esta. El Oficial de Protección de Datos Personales es la persona designada al interior de la compañía como el responsable de vigilar el cumplimiento del Sistema de Gestión de Datos Personales, sus principales responsabilidades son la medición y evaluación permanente, y el trámite de las solicitudes que realicen los titulares de la información. Las funciones principales del Oficial de Protección de Datos Personales son:

• Actualizar la Política de Tratamiento de Datos Personales una vez por año,

• Socializar periódicamente la Política de Tratamiento de Datos Personales,

• Coordinar la definición e implementación de los controles del Sistema de Gestión de Datos Personales,

• Servir de coordinador con las demás áreas de la compañía para asegurar una correcta implementación transversal del Sistema de Gestión de Datos Personales,

• Impulsar una cultura de protección de datos dentro de la organización,

• Actualizar periódicamente el registro realizado en el Registro Nacional de Base de Datos establecido por la Superintendencia de Industria y Comercio,

• Realizar capacitaciones periódicas a los empleados en relación con la protección de datos personales,

• Capacitar a los empleados nuevos que tengan acceso debido a las condiciones de su cargo a datos personales dentro de la organización,

• Velar por la implementación de auditorías internas con el fin de verificar el cumplimiento de sus políticas de tratamiento de datos personales.